Détection d’événements de sécurité

Descriptif du use case[modifier | modifier le wikicode]

Améliorer l'efficacité de la détection d'événements de sécurité anormaux en mesurant leur déviation par rapport à un comportement considéré comme ordinaire ou à faible risque. L’objectif est d’améliorer l’efficacité de détection du SOC (Security Operation Center) via l’ajout de l’Intelligence Artificielle au sein du SIEM (Security Information and Event Management).

Approche[modifier | modifier le wikicode]

Via de l’Isolation Forest et un arbre de décision, l’objectif est de détecter les chemins peu visités donc anormaux. Des jeux de données sont utilisés pour faire apprendre à l'algorithme les chemins classiques, puis l’algorithme est relancé pour faire de l’apprentissage permanent.

Statut[modifier | modifier le wikicode]

• Déployé / POC / Recherche / Idéation / Prospective

Données[modifier | modifier le wikicode]

Similairement à un SIEM, l’algorithme aurait besoin d’une collection centralisée de données. Des informations à collecter : IP source, IP cible, protocole, date/heure, … Plus il y a d’informations pertinentes collectés, plus l’algorithme sera efficace.

Catégories d'algorithmes utilisés[modifier | modifier le wikicode]

Apprentissage supervisé (Régression Linéaire / Arbre de décision).

Besoin en temps de calcul[modifier | modifier le wikicode]

N/A

Cloud ou On Premise[modifier | modifier le wikicode]

On premise.

Autres logiciels nécessaires[modifier | modifier le wikicode]

Potentiellement Cryptographie et ETL.

Mitre Att@ck[modifier | modifier le wikicode]

T1222: File and Directory Permissions Modification T1548: Abuse Elevation Control Mechanisms T1560: Archive Collected data T1570: Lateral Tool Transfer

Mitre Defend[modifier | modifier le wikicode]

User Behavior Analysis (Job Function Access Pattern Analysis, Resource Access Pattern Analysis, User Data Transfer Analysis, Session Duration Analysis, Web Session Activity Analysis).

Cyber Kill Chain[modifier | modifier le wikicode]

N/A