Vers une interopérabilité des données Passive DNS :
Dans le domaine de la cybersécurité, la capacité à agréger, structurer et corréler efficacement des données est un levier essentiel pour améliorer la détection des menaces.
C’est précisément dans cette optique qu’est né le projet Passive DNS Exchange, avec pour ambition de standardiser le format de sortie des serveurs de DNS passifs.
Depuis l’annonce initiale du concept de DNS passif par Florian Weimer lors de la 17e conférence annuelle FIRST sur la sécurité informatique, plusieurs implémentations de serveurs pDNS ont vu le jour.
Cependant, en l’absence d’un format commun, la mutualisation des données et l’automatisation de leur exploitation sont restées limitées.
Le groupe de travail, soutenu notamment par Farsight Security et le CIRCL, a défini un Common Output Format (COF) permettant de produire des fichiers structurés pouvant être facilement intégrés dans les outils CTI, notamment MISP.
Ce format facilite non seulement l’interopérabilité, mais permet surtout d’utiliser la puissance du moteur de corrélation de MISP pour établir des liens entre indicateurs de compromission issus de différentes sources.
Un module complémentaire, baptisé cof2misp, a été développé pour automatiser l’import des données au format COF dans MISP. Ce connecteur, déjà déployé sur l’instance MISP de FIRST, permet aux analystes de pivoter entre les événements stockés dans MISP et les enregistrements DNS passifs, favorisant une analyse plus complète des campagnes malveillantes.
Le projet a franchi une étape importante en mai 2021 avec la fin de la procédure de silence sur le draft, ouvrant la voie à son intégration dans le processus de normalisation de l’IETF.
Les travaux en cours portent désormais sur la définition d’un format de requête standard entre client et serveur pDNS, probablement via une API RESTful.
La standardisation des échanges DNS passifs représente un progrès tangible pour les équipes de réponse à incident, les plateformes de renseignement sur les menaces et les chercheurs en sécurité.
Elle renforce la capacité à établir rapidement des connexions entre des infrastructures malveillantes et les IOC identifiés sur le terrain.
Sources :
- Passive DNS Exchange – FIRST Special Interest Group https://www.first.org/global/sigs/pdns/
- Internet-Draft: A Common Output Format for Passive DNS Servers https://datatracker.ietf.org/doc/draft-dulaunoy-dnsop-passive-dns-cof/
- Module cof2misp sur GitHub https://github.com/MISP/misp-modules/tree/main/misp_modules/modules/import_mod/cof2misp
