User behavior anomaly detection - Historique des versions

Juliette le 16 février 2023 à 10:55

2023-02-16T10:55:55Z

← Version précédente		Version du 16 février 2023 à 12:55
Ligne 1 :		Ligne 1 :
	{{Cas d'usage		{{Cas d'usage
	\|ShortDescription=Détecter les anomalies dans les modèles de comportement des utilisateurs afin de détecter les comptes compromis, les accès non autorisés, les mouvements latéraux et/ou les menaces internes		\|ShortDescription=Détecter les anomalies dans les modèles de comportement des utilisateurs afin de détecter les comptes compromis, les accès non autorisés, les mouvements latéraux et/ou les menaces internes
	\|Status=~~Listé~~		\|Status=Développé
	}}		}}
	== Descriptif du use case ==		== Descriptif du use case ==

Juliette le 16 février 2023 à 10:54

2023-02-16T10:54:47Z

← Version précédente		Version du 16 février 2023 à 12:54
Ligne 1 :		Ligne 1 :
	{{Cas d'usage		{{Cas d'usage
	\|ShortDescription=Détecter les anomalies dans les modèles de comportement des utilisateurs afin de détecter les comptes compromis, les accès non autorisés, les mouvements latéraux et/ou les menaces internes		\|ShortDescription=Détecter les anomalies dans les modèles de comportement des utilisateurs afin de détecter les comptes compromis, les accès non autorisés, les mouvements latéraux et/ou les menaces internes
	\|Status=~~Développé~~		\|Status=Listé
	}}		}}
	== Descriptif du use case ==		== Descriptif du use case ==

Juliette le 9 novembre 2022 à 13:26

2022-11-09T13:26:54Z

← Version précédente		Version du 9 novembre 2022 à 15:26
Ligne 1 :		Ligne 1 :
	{{Cas d'usage		{{Cas d'usage
	\|~~Name~~=~~User behavior anomaly detection~~		\|ShortDescription=Détecter les anomalies dans les modèles de comportement des utilisateurs afin de détecter les comptes compromis, les accès non autorisés, les mouvements latéraux et/ou les menaces internes
	\|Status=Développé		\|Status=Développé
	}}		}}
Ligne 45 :		Ligne 45 :
	==Cyber Kill Chain ==		==Cyber Kill Chain ==
	* Actions		* Actions
			{{PageSubHeader Cas d'usage}}

194.206.236.81 : Page créée avec « {{Cas d'usage |Name=User behavior anomaly detection |Status=Développé }} == Descriptif du use case == User behavior anomaly detection Détecter les anomalies dans les modèles de comportement des utilisateurs afin de détecter les comptes compromis, les accès non autorisés, les mouvements latéraux et/ou les menaces internes. ==Approche== Le modèle apprend le comportement normal de chaque utilisateur du système surveillé et détecte toute déviation.... »

2022-06-15T08:14:36Z

Page créée avec « {{Cas d'usage |Name=User behavior anomaly detection |Status=Développé }} == Descriptif du use case == User behavior anomaly detection Détecter les anomalies dans les modèles de comportement des utilisateurs afin de détecter les comptes compromis, les accès non autorisés, les mouvements latéraux et/ou les menaces internes. ==Approche== Le modèle apprend le comportement normal de chaque utilisateur du système surveillé et détecte toute déviation.... »

Nouvelle page

{{Cas d'usage
|Name=User behavior anomaly detection
|Status=Développé
}}
== Descriptif du use case ==
User behavior anomaly detection
Détecter les anomalies dans les modèles de comportement des utilisateurs afin de détecter les comptes compromis, les accès non autorisés, les mouvements latéraux et/ou les menaces internes.
==Approche==
Le modèle apprend le comportement normal de chaque utilisateur du système surveillé et détecte toute déviation.

Comme le comportement des utilisateurs peut changer au fil du temps et que de nouveaux utilisateurs sont constamment ajoutés, le modèle doit être ré-entraîné périodiquement.

Un post traitement des résultats est effectué avec prise en compte de l’expertise humaine pour notamment éliminer ou prioriser les résultats positifs.

In fine, ces résultats permettent d’aiguiller des analystes humains dans la recherche de menaces sur un système d’information.
==Statut==
* Déployé / POC / Recherche / Idéation / Prospective
* Ce modèle ne pourra pas être exécuté dans la sandbox du Campus Cyber.
==Données==
Sources : toute source de logs comportant une entité utilisateur
Un pré-traitement est appliqué aux données en entrée pour notamment :
* Encoder certaines données (catégories)
* Retirer des valeurs corrompues
* Réduire certaines données par une agrégation
* Générer des données dérivées additionnelles (enrichissement)
==Catégories d'algorithmes utilisés==
Apprentissage non supervisé
== Besoin en temps de calcul ==
Ce modèle tourne sur un cluster big-data en environnement mutualisé. Il n'existe pas de benchmark individuel.
==Cloud ou On Premise ==
L'environnement de production est dans le Cloud.
==Autres logiciels nécessaires : ETL, qualité, sécurité, crypto, anonymisation ==
Un SIEM est utilisé pour collecter les données et effectuer le pré-traitement.
==Mitre Att@ck==
* Privilege Escalation
* Defense Evasion
* Credential Access
* Discovery
* Lateral Movement
* Collection
* Exfiltration
==Mitre Defend==
* Detect/Network Traffic Analysis
* Detect/User Behavior Analysis
==Cyber Kill Chain ==
* Actions