« User behavior anomaly detection » : différence entre les versions
(Page créée avec « {{Cas d'usage |Name=User behavior anomaly detection |Status=Développé }} == Descriptif du use case == User behavior anomaly detection Détecter les anomalies dans les modèles de comportement des utilisateurs afin de détecter les comptes compromis, les accès non autorisés, les mouvements latéraux et/ou les menaces internes. ==Approche== Le modèle apprend le comportement normal de chaque utilisateur du système surveillé et détecte toute déviation.... ») |
Aucun résumé des modifications |
||
Ligne 1 : | Ligne 1 : | ||
{{Cas d'usage | {{Cas d'usage | ||
| | |ShortDescription=Détecter les anomalies dans les modèles de comportement des utilisateurs afin de détecter les comptes compromis, les accès non autorisés, les mouvements latéraux et/ou les menaces internes | ||
|Status=Développé | |Status=Développé | ||
}} | }} | ||
Ligne 45 : | Ligne 45 : | ||
==Cyber Kill Chain == | ==Cyber Kill Chain == | ||
* Actions | * Actions | ||
{{PageSubHeader Cas d'usage}} |
Version du 9 novembre 2022 à 14:26
User behavior anomaly detection | |
---|---|
Pour l’annotation « ShortDescription », l’analyseur n’a pas pu déterminer un code de langue (par ex. « foo@en »). | |
Statut | Développé |
Catégorie : Cas d'usage |
Descriptif du use case[modifier | modifier le wikicode]
User behavior anomaly detection Détecter les anomalies dans les modèles de comportement des utilisateurs afin de détecter les comptes compromis, les accès non autorisés, les mouvements latéraux et/ou les menaces internes.
Approche[modifier | modifier le wikicode]
Le modèle apprend le comportement normal de chaque utilisateur du système surveillé et détecte toute déviation.
Comme le comportement des utilisateurs peut changer au fil du temps et que de nouveaux utilisateurs sont constamment ajoutés, le modèle doit être ré-entraîné périodiquement.
Un post traitement des résultats est effectué avec prise en compte de l’expertise humaine pour notamment éliminer ou prioriser les résultats positifs.
In fine, ces résultats permettent d’aiguiller des analystes humains dans la recherche de menaces sur un système d’information.
Statut[modifier | modifier le wikicode]
- Déployé / POC / Recherche / Idéation / Prospective
- Ce modèle ne pourra pas être exécuté dans la sandbox du Campus Cyber.
Données[modifier | modifier le wikicode]
Sources : toute source de logs comportant une entité utilisateur Un pré-traitement est appliqué aux données en entrée pour notamment :
- Encoder certaines données (catégories)
- Retirer des valeurs corrompues
- Réduire certaines données par une agrégation
- Générer des données dérivées additionnelles (enrichissement)
Catégories d'algorithmes utilisés[modifier | modifier le wikicode]
Apprentissage non supervisé
Besoin en temps de calcul[modifier | modifier le wikicode]
Ce modèle tourne sur un cluster big-data en environnement mutualisé. Il n'existe pas de benchmark individuel.
Cloud ou On Premise[modifier | modifier le wikicode]
L'environnement de production est dans le Cloud.
Autres logiciels nécessaires : ETL, qualité, sécurité, crypto, anonymisation[modifier | modifier le wikicode]
Un SIEM est utilisé pour collecter les données et effectuer le pré-traitement.
Mitre Att@ck[modifier | modifier le wikicode]
- Privilege Escalation
- Defense Evasion
- Credential Access
- Discovery
- Lateral Movement
- Collection
- Exfiltration
Mitre Defend[modifier | modifier le wikicode]
- Detect/Network Traffic Analysis
- Detect/User Behavior Analysis
Cyber Kill Chain[modifier | modifier le wikicode]
- Actions