« User behavior anomaly detection » : différence entre les versions

Descriptif du use case

User behavior anomaly detection Détecter les anomalies dans les modèles de comportement des utilisateurs afin de détecter les comptes compromis, les accès non autorisés, les mouvements latéraux et/ou les menaces internes.

Approche

Le modèle apprend le comportement normal de chaque utilisateur du système surveillé et détecte toute déviation.

Comme le comportement des utilisateurs peut changer au fil du temps et que de nouveaux utilisateurs sont constamment ajoutés, le modèle doit être ré-entraîné périodiquement.

Un post traitement des résultats est effectué avec prise en compte de l’expertise humaine pour notamment éliminer ou prioriser les résultats positifs.

In fine, ces résultats permettent d’aiguiller des analystes humains dans la recherche de menaces sur un système d’information.

Statut

• Déployé / POC / Recherche / Idéation / Prospective
• Ce modèle ne pourra pas être exécuté dans la sandbox du Campus Cyber.

Données

Sources : toute source de logs comportant une entité utilisateur Un pré-traitement est appliqué aux données en entrée pour notamment :

• Encoder certaines données (catégories)
• Retirer des valeurs corrompues
• Réduire certaines données par une agrégation
• Générer des données dérivées additionnelles (enrichissement)

Catégories d'algorithmes utilisés

Apprentissage non supervisé

Besoin en temps de calcul

Ce modèle tourne sur un cluster big-data en environnement mutualisé. Il n'existe pas de benchmark individuel.

Cloud ou On Premise

L'environnement de production est dans le Cloud.

Autres logiciels nécessaires : ETL, qualité, sécurité, crypto, anonymisation

Un SIEM est utilisé pour collecter les données et effectuer le pré-traitement.

Mitre Att@ck

• Privilege Escalation
• Defense Evasion
• Credential Access
• Discovery
• Lateral Movement
• Collection
• Exfiltration

Mitre Defend

• Detect/Network Traffic Analysis
• Detect/User Behavior Analysis

Cyber Kill Chain

• Actions