« Détection d’événements de sécurité » : différence entre les versions

De Wiki Campus Cyber
Aller à :navigation, rechercher
Aucun résumé des modifications
Aucun résumé des modifications
Ligne 1 : Ligne 1 :
{{Cas d'usage
{{Cas d'usage
|ShortDescription=Améliorer l'efficacité de détection du SOC via l’ajout de l’Intelligence Artificielle au sein du SIEMla détection d'événements de sécurité anormaux en mesurant leur déviation par rapport à un comportement considéré comme ordinaire ou à faible risque
|ShortDescription=Améliorer l'efficacité de détection du SOC via l’ajout de l’Intelligence Artificielle au sein du SIEM
|Status=Développé
|Status=Développé
}}
}}

Version du 22 novembre 2022 à 12:16

Descriptif du use case[modifier | modifier le wikicode]

Améliorer l'efficacité de la détection d'événements de sécurité anormaux en mesurant leur déviation par rapport à un comportement considéré comme ordinaire ou à faible risque. L’objectif est d’améliorer l’efficacité de détection du SOC (Security Operation Center) via l’ajout de l’Intelligence Artificielle au sein du SIEM (Security Information and Event Management).

Approche[modifier | modifier le wikicode]

Via de l’Isolation Forest et un arbre de décision, l’objectif est de détecter les chemins peu visités donc anormaux. Des jeux de données sont utilisés pour faire apprendre à l'algorithme les chemins classiques, puis l’algorithme est relancé pour faire de l’apprentissage permanent.

Statut[modifier | modifier le wikicode]

  • Déployé / POC / Recherche / Idéation / Prospective

Données[modifier | modifier le wikicode]

Similairement à un SIEM, l’algorithme aurait besoin d’une collection centralisée de données. Des informations à collecter : IP source, IP cible, protocole, date/heure, … Plus il y a d’informations pertinentes collectés, plus l’algorithme sera efficace.

Catégories d'algorithmes utilisés[modifier | modifier le wikicode]

Apprentissage supervisé (Régression Linéaire / Arbre de décision).

Besoin en temps de calcul[modifier | modifier le wikicode]

N/A

Cloud ou On Premise[modifier | modifier le wikicode]

On premise.

Autres logiciels nécessaires[modifier | modifier le wikicode]

Potentiellement Cryptographie et ETL.

Mitre Att@ck[modifier | modifier le wikicode]

T1222: File and Directory Permissions Modification T1548: Abuse Elevation Control Mechanisms T1560: Archive Collected data T1570: Lateral Tool Transfer

Mitre Defend[modifier | modifier le wikicode]

User Behavior Analysis (Job Function Access Pattern Analysis, Resource Access Pattern Analysis, User Data Transfer Analysis, Session Duration Analysis, Web Session Activity Analysis).

Cyber Kill Chain[modifier | modifier le wikicode]

N/A