« User behavior anomaly detection » : différence entre les versions

De Wiki Campus Cyber
Aller à :navigation, rechercher
Aucun résumé des modifications
Aucun résumé des modifications
Balise : Révocation manuelle
 
Ligne 1 : Ligne 1 :
{{Cas d'usage
{{Cas d'usage
|ShortDescription=Détecter les anomalies dans les modèles de comportement des utilisateurs afin de détecter les comptes compromis, les accès non autorisés, les mouvements latéraux et/ou les menaces internes
|ShortDescription=Détecter les anomalies dans les modèles de comportement des utilisateurs afin de détecter les comptes compromis, les accès non autorisés, les mouvements latéraux et/ou les menaces internes
|Status=Listé
|Status=Développé
}}
}}
== Descriptif du use case ==
== Descriptif du use case ==

Dernière version du 16 février 2023 à 11:55

Descriptif du use case[modifier | modifier le wikicode]

User behavior anomaly detection Détecter les anomalies dans les modèles de comportement des utilisateurs afin de détecter les comptes compromis, les accès non autorisés, les mouvements latéraux et/ou les menaces internes.

Approche[modifier | modifier le wikicode]

Le modèle apprend le comportement normal de chaque utilisateur du système surveillé et détecte toute déviation.

Comme le comportement des utilisateurs peut changer au fil du temps et que de nouveaux utilisateurs sont constamment ajoutés, le modèle doit être ré-entraîné périodiquement.

Un post traitement des résultats est effectué avec prise en compte de l’expertise humaine pour notamment éliminer ou prioriser les résultats positifs.

In fine, ces résultats permettent d’aiguiller des analystes humains dans la recherche de menaces sur un système d’information.

Statut[modifier | modifier le wikicode]

  • Déployé / POC / Recherche / Idéation / Prospective
  • Ce modèle ne pourra pas être exécuté dans la sandbox du Campus Cyber.

Données[modifier | modifier le wikicode]

Sources : toute source de logs comportant une entité utilisateur Un pré-traitement est appliqué aux données en entrée pour notamment :

  • Encoder certaines données (catégories)
  • Retirer des valeurs corrompues
  • Réduire certaines données par une agrégation
  • Générer des données dérivées additionnelles (enrichissement)

Catégories d'algorithmes utilisés[modifier | modifier le wikicode]

Apprentissage non supervisé

Besoin en temps de calcul[modifier | modifier le wikicode]

Ce modèle tourne sur un cluster big-data en environnement mutualisé. Il n'existe pas de benchmark individuel.

Cloud ou On Premise[modifier | modifier le wikicode]

L'environnement de production est dans le Cloud.

Autres logiciels nécessaires : ETL, qualité, sécurité, crypto, anonymisation[modifier | modifier le wikicode]

Un SIEM est utilisé pour collecter les données et effectuer le pré-traitement.

Mitre Att@ck[modifier | modifier le wikicode]

  • Privilege Escalation
  • Defense Evasion
  • Credential Access
  • Discovery
  • Lateral Movement
  • Collection
  • Exfiltration

Mitre Defend[modifier | modifier le wikicode]

  • Detect/Network Traffic Analysis
  • Detect/User Behavior Analysis

Cyber Kill Chain[modifier | modifier le wikicode]

  • Actions