Modifier Cas d'usage : Détection d’événements de sécurité

Description free text : Enregistrez pour pouvoir passer à l'éditeur visuel.

==Descriptif du use case== Améliorer l'efficacité de la détection d'événements de sécurité anormaux en mesurant leur déviation par rapport à un comportement considéré comme ordinaire ou à faible risque. L’objectif est d’améliorer l’efficacité de détection du SOC (Security Operation Center) via l’ajout de l’Intelligence Artificielle au sein du SIEM (Security Information and Event Management). ==Approche== Via de l’Isolation Forest et un arbre de décision, l’objectif est de détecter les chemins peu visités donc anormaux. Des jeux de données sont utilisés pour faire apprendre à l'algorithme les chemins classiques, puis l’algorithme est relancé pour faire de l’apprentissage permanent. ==Statut== * <s>Déployé</s> / POC / <s>Recherche</s> / <s>Idéation</s> / <s>Prospective</s> == Données== Similairement à un SIEM, l’algorithme aurait besoin d’une collection centralisée de données. Des informations à collecter : IP source, IP cible, protocole, date/heure, … Plus il y a d’informations pertinentes collectés, plus l’algorithme sera efficace. ==Catégories d'algorithmes utilisés== Apprentissage supervisé (Régression Linéaire / Arbre de décision). ==Besoin en temps de calcul == N/A ==Cloud ou On Premise == On premise. ==Autres logiciels nécessaires == Potentiellement Cryptographie et ETL. ==Mitre Att@ck == T1222: File and Directory Permissions Modification T1548: Abuse Elevation Control Mechanisms T1560: Archive Collected data T1570: Lateral Tool Transfer ==Mitre Defend == User Behavior Analysis (Job Function Access Pattern Analysis, Resource Access Pattern Analysis, User Data Transfer Analysis, Session Duration Analysis, Web Session Activity Analysis). == Cyber Kill Chain == N/A  

Catégories liées[modifier | modifier le wikicode]