« Détection d’événements de sécurité » : différence entre les versions

De Wiki Campus Cyber
Aller à :navigation, rechercher
Aucun résumé des modifications
Aucun résumé des modifications
 
(2 versions intermédiaires par le même utilisateur non affichées)
Ligne 1 : Ligne 1 :
{{Cas d'usage
{{Cas d'usage
|ShortDescription=Améliorer l'efficacité de la détection d'événements de sécurité anormaux en mesurant leur déviation par rapport à un comportement considéré comme ordinaire ou à faible risque
|ShortDescription=Améliorer l'efficacité de détection du SOC via l’ajout de l’Intelligence Artificielle au sein du SIEM
|Status=Développé
|Status=Listé
}}
}}
==Descriptif du use case==
==Descriptif du use case==

Dernière version du 16 février 2023 à 11:55

Détection d’événements de sécurité
Pour l’annotation « ShortDescription », l’analyseur n’a pas pu déterminer un code de langue (par ex. « foo@en »).
Statut Listé
Catégorie : Cas d'usage

Descriptif du use case[modifier | modifier le wikicode]

Améliorer l'efficacité de la détection d'événements de sécurité anormaux en mesurant leur déviation par rapport à un comportement considéré comme ordinaire ou à faible risque. L’objectif est d’améliorer l’efficacité de détection du SOC (Security Operation Center) via l’ajout de l’Intelligence Artificielle au sein du SIEM (Security Information and Event Management).

Approche[modifier | modifier le wikicode]

Via de l’Isolation Forest et un arbre de décision, l’objectif est de détecter les chemins peu visités donc anormaux. Des jeux de données sont utilisés pour faire apprendre à l'algorithme les chemins classiques, puis l’algorithme est relancé pour faire de l’apprentissage permanent.

Statut[modifier | modifier le wikicode]

  • Déployé / POC / Recherche / Idéation / Prospective

Données[modifier | modifier le wikicode]

Similairement à un SIEM, l’algorithme aurait besoin d’une collection centralisée de données. Des informations à collecter : IP source, IP cible, protocole, date/heure, … Plus il y a d’informations pertinentes collectés, plus l’algorithme sera efficace.

Catégories d'algorithmes utilisés[modifier | modifier le wikicode]

Apprentissage supervisé (Régression Linéaire / Arbre de décision).

Besoin en temps de calcul[modifier | modifier le wikicode]

N/A

Cloud ou On Premise[modifier | modifier le wikicode]

On premise.

Autres logiciels nécessaires[modifier | modifier le wikicode]

Potentiellement Cryptographie et ETL.

Mitre Att@ck[modifier | modifier le wikicode]

T1222: File and Directory Permissions Modification T1548: Abuse Elevation Control Mechanisms T1560: Archive Collected data T1570: Lateral Tool Transfer

Mitre Defend[modifier | modifier le wikicode]

User Behavior Analysis (Job Function Access Pattern Analysis, Resource Access Pattern Analysis, User Data Transfer Analysis, Session Duration Analysis, Web Session Activity Analysis).

Cyber Kill Chain[modifier | modifier le wikicode]

N/A  


Récupérée de « https://wiki.campuscyber.fr/index.php?title=Détection_d’événements_de_sécurité&oldid=3337 »

Charte de contribution

Plan du site

Linkedin.png
Youtube.png
Twitter.png
Logo-footer.png

Le Campus Cyber

Ce projet a été financé par le gouvernement dans le cadre du Programme d’investissements d’avenir
Pia.png
CC-BY-SA
Powered by MediaWiki
Powered by Semantic MediaWiki