User behavior anomaly detection

De Wiki Campus Cyber
Aller à :navigation, rechercher
User behavior anomaly detection
Pour l’annotation « ShortDescription », l’analyseur n’a pas pu déterminer un code de langue (par ex. « foo@en »).
Statut Développé
Catégorie : Cas d'usage

Descriptif du use case[modifier | modifier le wikicode]

User behavior anomaly detection Détecter les anomalies dans les modèles de comportement des utilisateurs afin de détecter les comptes compromis, les accès non autorisés, les mouvements latéraux et/ou les menaces internes.

Approche[modifier | modifier le wikicode]

Le modèle apprend le comportement normal de chaque utilisateur du système surveillé et détecte toute déviation.

Comme le comportement des utilisateurs peut changer au fil du temps et que de nouveaux utilisateurs sont constamment ajoutés, le modèle doit être ré-entraîné périodiquement.

Un post traitement des résultats est effectué avec prise en compte de l’expertise humaine pour notamment éliminer ou prioriser les résultats positifs.

In fine, ces résultats permettent d’aiguiller des analystes humains dans la recherche de menaces sur un système d’information.

Statut[modifier | modifier le wikicode]

  • Déployé / POC / Recherche / Idéation / Prospective
  • Ce modèle ne pourra pas être exécuté dans la sandbox du Campus Cyber.

Données[modifier | modifier le wikicode]

Sources : toute source de logs comportant une entité utilisateur Un pré-traitement est appliqué aux données en entrée pour notamment :

  • Encoder certaines données (catégories)
  • Retirer des valeurs corrompues
  • Réduire certaines données par une agrégation
  • Générer des données dérivées additionnelles (enrichissement)

Catégories d'algorithmes utilisés[modifier | modifier le wikicode]

Apprentissage non supervisé

Besoin en temps de calcul[modifier | modifier le wikicode]

Ce modèle tourne sur un cluster big-data en environnement mutualisé. Il n'existe pas de benchmark individuel.

Cloud ou On Premise[modifier | modifier le wikicode]

L'environnement de production est dans le Cloud.

Autres logiciels nécessaires : ETL, qualité, sécurité, crypto, anonymisation[modifier | modifier le wikicode]

Un SIEM est utilisé pour collecter les données et effectuer le pré-traitement.

Mitre Att@ck[modifier | modifier le wikicode]

  • Privilege Escalation
  • Defense Evasion
  • Credential Access
  • Discovery
  • Lateral Movement
  • Collection
  • Exfiltration

Mitre Defend[modifier | modifier le wikicode]

  • Detect/Network Traffic Analysis
  • Detect/User Behavior Analysis

Cyber Kill Chain[modifier | modifier le wikicode]

  • Actions


Récupérée de « https://wiki.campuscyber.fr/index.php?title=User_behavior_anomaly_detection&oldid=3338 »

Charte de contribution

Plan du site

Linkedin.png
Youtube.png
Twitter.png
Logo-footer.png

Le Campus Cyber

CC-BY-SA
Powered by MediaWiki
Powered by Semantic MediaWiki