Détection d’événements de sécurité
| Détection d’événements de sécurité | |
|---|---|
| Pour l’annotation « ShortDescription », l’analyseur n’a pas pu déterminer un code de langue (par ex. « foo@en »). | |
| Statut | Listé |
| Catégorie : Cas d'usage | |
Descriptif du use case
Améliorer l'efficacité de la détection d'événements de sécurité anormaux en mesurant leur déviation par rapport à un comportement considéré comme ordinaire ou à faible risque. L’objectif est d’améliorer l’efficacité de détection du SOC (Security Operation Center) via l’ajout de l’Intelligence Artificielle au sein du SIEM (Security Information and Event Management).
Approche
Via de l’Isolation Forest et un arbre de décision, l’objectif est de détecter les chemins peu visités donc anormaux. Des jeux de données sont utilisés pour faire apprendre à l'algorithme les chemins classiques, puis l’algorithme est relancé pour faire de l’apprentissage permanent.
Statut
Déployé/ POC /Recherche/Idéation/Prospective
Données
Similairement à un SIEM, l’algorithme aurait besoin d’une collection centralisée de données. Des informations à collecter : IP source, IP cible, protocole, date/heure, … Plus il y a d’informations pertinentes collectés, plus l’algorithme sera efficace.
Catégories d'algorithmes utilisés
Apprentissage supervisé (Régression Linéaire / Arbre de décision).
Besoin en temps de calcul
N/A
Cloud ou On Premise
On premise.
Autres logiciels nécessaires
Potentiellement Cryptographie et ETL.
Mitre Att@ck
T1222: File and Directory Permissions Modification T1548: Abuse Elevation Control Mechanisms T1560: Archive Collected data T1570: Lateral Tool Transfer
Mitre Defend
User Behavior Analysis (Job Function Access Pattern Analysis, Resource Access Pattern Analysis, User Data Transfer Analysis, Session Duration Analysis, Web Session Activity Analysis).
Cyber Kill Chain
N/A
