« Détection d’événements de sécurité » : différence entre les versions
(Page créée avec « {{Cas d'usage |Name=Détection d’événements de sécurité |Status=Développé }} ==Descriptif du use case== Améliorer l'efficacité de la détection d'événements de sécurité anormaux en mesurant leur déviation par rapport à un comportement considéré comme ordinaire ou à faible risque. L’objectif est d’améliorer l’efficacité de détection du SOC (Security Operation Center) via l’ajout de l’Intelligence Artificielle au sein du SIEM (Secur... ») |
Aucun résumé des modifications |
||
| (3 versions intermédiaires par le même utilisateur non affichées) | |||
| Ligne 1 : | Ligne 1 : | ||
{{Cas d'usage | {{Cas d'usage | ||
| | |ShortDescription=Améliorer l'efficacité de détection du SOC via l’ajout de l’Intelligence Artificielle au sein du SIEM | ||
|Status= | |Status=Listé | ||
}} | }} | ||
==Descriptif du use case== | ==Descriptif du use case== | ||
| Ligne 29 : | Ligne 29 : | ||
N/A | N/A | ||
{{PageSubHeader Cas d'usage}} | |||
Dernière version du 16 février 2023 à 11:55
| Détection d’événements de sécurité | |
|---|---|
| Pour l’annotation « ShortDescription », l’analyseur n’a pas pu déterminer un code de langue (par ex. « foo@en »). | |
| Statut | Listé |
| Catégorie : Cas d'usage | |
Descriptif du use case[modifier | modifier le wikicode]
Améliorer l'efficacité de la détection d'événements de sécurité anormaux en mesurant leur déviation par rapport à un comportement considéré comme ordinaire ou à faible risque. L’objectif est d’améliorer l’efficacité de détection du SOC (Security Operation Center) via l’ajout de l’Intelligence Artificielle au sein du SIEM (Security Information and Event Management).
Approche[modifier | modifier le wikicode]
Via de l’Isolation Forest et un arbre de décision, l’objectif est de détecter les chemins peu visités donc anormaux. Des jeux de données sont utilisés pour faire apprendre à l'algorithme les chemins classiques, puis l’algorithme est relancé pour faire de l’apprentissage permanent.
Statut[modifier | modifier le wikicode]
Déployé/ POC /Recherche/Idéation/Prospective
Données[modifier | modifier le wikicode]
Similairement à un SIEM, l’algorithme aurait besoin d’une collection centralisée de données. Des informations à collecter : IP source, IP cible, protocole, date/heure, … Plus il y a d’informations pertinentes collectés, plus l’algorithme sera efficace.
Catégories d'algorithmes utilisés[modifier | modifier le wikicode]
Apprentissage supervisé (Régression Linéaire / Arbre de décision).
Besoin en temps de calcul[modifier | modifier le wikicode]
N/A
Cloud ou On Premise[modifier | modifier le wikicode]
On premise.
Autres logiciels nécessaires[modifier | modifier le wikicode]
Potentiellement Cryptographie et ETL.
Mitre Att@ck[modifier | modifier le wikicode]
T1222: File and Directory Permissions Modification T1548: Abuse Elevation Control Mechanisms T1560: Archive Collected data T1570: Lateral Tool Transfer
Mitre Defend[modifier | modifier le wikicode]
User Behavior Analysis (Job Function Access Pattern Analysis, Resource Access Pattern Analysis, User Data Transfer Analysis, Session Duration Analysis, Web Session Activity Analysis).
Cyber Kill Chain[modifier | modifier le wikicode]
N/A
