Détection d’événements de sécurité - Historique des versions

Juliette le 16 février 2023 à 10:55

2023-02-16T10:55:26Z

← Version précédente		Version du 16 février 2023 à 12:55
Ligne 1 :		Ligne 1 :
	{{Cas d'usage		{{Cas d'usage
	\|ShortDescription=Améliorer l'efficacité de détection du SOC via l’ajout de l’Intelligence Artificielle au sein du SIEM		\|ShortDescription=Améliorer l'efficacité de détection du SOC via l’ajout de l’Intelligence Artificielle au sein du SIEM
	\|Status=~~Développé~~		\|Status=Listé
	}}		}}
	==Descriptif du use case==		==Descriptif du use case==

Juliette le 22 novembre 2022 à 11:16

2022-11-22T11:16:21Z

← Version précédente		Version du 22 novembre 2022 à 13:16
Ligne 1 :		Ligne 1 :
	{{Cas d'usage		{{Cas d'usage
	\|ShortDescription=Améliorer l'efficacité de détection du SOC via l’ajout de l’Intelligence Artificielle au sein du ~~SIEMla détection d'événements de sécurité anormaux en mesurant leur déviation par rapport à un comportement considéré comme ordinaire ou à faible risque~~		\|ShortDescription=Améliorer l'efficacité de détection du SOC via l’ajout de l’Intelligence Artificielle au sein du SIEM
	\|Status=Développé		\|Status=Développé
	}}		}}

Juliette le 22 novembre 2022 à 11:12

2022-11-22T11:12:14Z

← Version précédente		Version du 22 novembre 2022 à 13:12
Ligne 1 :		Ligne 1 :
	{{Cas d'usage		{{Cas d'usage
	\|ShortDescription=Améliorer l'efficacité de la détection d'événements de sécurité anormaux en mesurant leur déviation par rapport à un comportement considéré comme ordinaire ou à faible risque		\|ShortDescription=Améliorer l'efficacité de détection du SOC via l’ajout de l’Intelligence Artificielle au sein du SIEMla détection d'événements de sécurité anormaux en mesurant leur déviation par rapport à un comportement considéré comme ordinaire ou à faible risque
	\|Status=Développé		\|Status=Développé
	}}		}}

Juliette le 22 novembre 2022 à 11:11

2022-11-22T11:11:25Z

← Version précédente		Version du 22 novembre 2022 à 13:11
Ligne 1 :		Ligne 1 :
	{{Cas d'usage		{{Cas d'usage
	\|~~Name~~=~~Détection d’événements~~ de sécurité		\|ShortDescription=Améliorer l'efficacité de la détection d'événements de sécurité anormaux en mesurant leur déviation par rapport à un comportement considéré comme ordinaire ou à faible risque
	\|Status=Développé		\|Status=Développé
	}}		}}
Ligne 29 :		Ligne 29 :
	N/A		N/A

			{{PageSubHeader Cas d'usage}}

194.206.236.81 : Page créée avec « {{Cas d'usage |Name=Détection d’événements de sécurité |Status=Développé }} ==Descriptif du use case== Améliorer l'efficacité de la détection d'événements de sécurité anormaux en mesurant leur déviation par rapport à un comportement considéré comme ordinaire ou à faible risque. L’objectif est d’améliorer l’efficacité de détection du SOC (Security Operation Center) via l’ajout de l’Intelligence Artificielle au sein du SIEM (Secur... »

2022-06-15T08:34:49Z

Page créée avec « {{Cas d'usage |Name=Détection d’événements de sécurité |Status=Développé }} ==Descriptif du use case== Améliorer l'efficacité de la détection d'événements de sécurité anormaux en mesurant leur déviation par rapport à un comportement considéré comme ordinaire ou à faible risque. L’objectif est d’améliorer l’efficacité de détection du SOC (Security Operation Center) via l’ajout de l’Intelligence Artificielle au sein du SIEM (Secur... »

Nouvelle page

{{Cas d'usage
|Name=Détection d’événements de sécurité
|Status=Développé
}}
==Descriptif du use case==
Améliorer l'efficacité de la détection d'événements de sécurité anormaux en mesurant leur déviation par rapport à un comportement considéré comme ordinaire ou à faible risque. L’objectif est d’améliorer l’efficacité de détection du SOC (Security Operation Center) via l’ajout de l’Intelligence Artificielle au sein du SIEM (Security Information and Event Management).
==Approche==
Via de l’Isolation Forest et un arbre de décision, l’objectif est de détecter les chemins peu visités donc anormaux. Des jeux de données sont utilisés pour faire apprendre à l'algorithme les chemins classiques, puis l’algorithme est relancé pour faire de l’apprentissage permanent.
==Statut==
* <s>Déployé</s> / POC / <s>Recherche</s> / <s>Idéation</s> / <s>Prospective</s>
== Données==
Similairement à un SIEM, l’algorithme aurait besoin d’une collection centralisée de données. Des informations à collecter : IP source, IP cible, protocole, date/heure, … Plus il y a d’informations pertinentes collectés, plus l’algorithme sera efficace.
==Catégories d'algorithmes utilisés==
Apprentissage supervisé (Régression Linéaire / Arbre de décision).
==Besoin en temps de calcul ==
N/A
==Cloud ou On Premise ==
On premise.
==Autres logiciels nécessaires ==
Potentiellement Cryptographie et ETL.
==Mitre Att@ck ==
T1222: File and Directory Permissions Modification
T1548: Abuse Elevation Control Mechanisms
T1560: Archive Collected data
T1570: Lateral Tool Transfer
==Mitre Defend ==
User Behavior Analysis (Job Function Access Pattern Analysis, Resource Access Pattern Analysis, User Data Transfer Analysis, Session Duration Analysis, Web Session Activity Analysis).
== Cyber Kill Chain ==
N/A