Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
bloc3:soc [2022/09/05 23:06] techer.charles_educ-valadon-limoges.fr [Les technologies dans un centre opérationnel de sécurité : SIEM] |
bloc3:soc [2022/09/20 10:15] (Version actuelle) techer.charles_educ-valadon-limoges.fr [Les CERT] |
||
---|---|---|---|
Ligne 5: | Ligne 5: | ||
* avec des professionnels de la cybesécurité, | * avec des professionnels de la cybesécurité, | ||
* dans des centres opérationnels de sécurité (SOC). | * dans des centres opérationnels de sécurité (SOC). | ||
+ | <WRAP center round info> | ||
+ | SOC : Security Operations center | ||
+ | </ | ||
Les services du SOC peuvent être installés en interne, ou être détenus et exploités par un prestataire de sécurité. | Les services du SOC peuvent être installés en interne, ou être détenus et exploités par un prestataire de sécurité. | ||
Ligne 19: | Ligne 22: | ||
==== Analyste des alertes de niveau 1 ==== | ==== Analyste des alertes de niveau 1 ==== | ||
- | * professionnels | + | * professionnels |
- | * vérifient s'il s'agit effectivement d'un véritable incident | + | |
- | * transmettent des tickets au niveau 2, si nécessaire. | + | |
==== Gestionnaires des incidents de niveau 2 ==== | ==== Gestionnaires des incidents de niveau 2 ==== | ||
Ligne 36: | Ligne 39: | ||
* professionnel qui gère toutes les ressources du centre | * professionnel qui gère toutes les ressources du centre | ||
* joue le rôle d' | * joue le rôle d' | ||
+ | |||
+ | ==== Les CERT ==== | ||
+ | Un CERT (Computer Emergency Response Team) ou CSIRT (Computer Security Incident Response Team) est : | ||
+ | * un **centre d' | ||
+ | * destiné aux **entreprises ou aux administrations**, | ||
+ | * mais dont les informations sont généralement **accessibles à tous**. | ||
+ | |||
+ | <WRAP center round info> | ||
+ | Chaque système d’information, | ||
+ | |||
+ | Le rôle d'un CSIRT est d' | ||
+ | * **maintenir** un bon niveau de confiance et de coopération | ||
+ | * d’**améliorer** la connaissance de l’état de la menace dans sa globalité | ||
+ | * **mieux se préparer** à faire face à des incidents dont sont victimes leurs bénéficiaires ou clients. | ||
+ | |||
+ | Lien CSIRT (CERT-FR) du gouvernement français | ||
+ | </ | ||
+ | |||
+ | <WRAP center round todo> | ||
+ | L' | ||
+ | * **Lien** : https:// | ||
+ | * **Document** : {{ : | ||
+ | </ | ||
+ | |||
+ | <WRAP center round todo> | ||
+ | Régulièrement l' | ||
+ | * précisez les **raisons** | ||
+ | * et la **démarche utilisée** | ||
+ | |||
+ | Lien : https:// | ||
+ | </ | ||
Ligne 42: | Ligne 76: | ||
* analyse des files d' | * analyse des files d' | ||
- | <WRAP center round info 60%> | + | <WRAP center round info> |
Le logiciel qui génère les alertes peut parfois déclencher de fausses alarmes, c'est pourquoi l' | Le logiciel qui génère les alertes peut parfois déclencher de fausses alarmes, c'est pourquoi l' | ||
Ligne 89: | Ligne 123: | ||
Les technologies d'un centre opérationnel de sécurité sont les suivantes : | Les technologies d'un centre opérationnel de sécurité sont les suivantes : | ||
- | * Collecte d' | + | |
- | * Surveillance de la sécurité | + | |
- | * Contrôle de la sécurité | + | |
- | * Gestion des événements | + | |
- | * Évaluation des vulnérabilités | + | |
- | * Suivi des vulnérabilités | + | |
- | * Informations sur les menaces | + | |
===== Automatisation de la réponse avec un SOAR ===== | ===== Automatisation de la réponse avec un SOAR ===== | ||
Ligne 118: | Ligne 152: | ||
SOAR traitera un grand nombre de ces alertes automatiquement et permettra au personnel de sécurité de se concentrer sur des exploits plus complexes et potentiellement dommageables. | SOAR traitera un grand nombre de ces alertes automatiquement et permettra au personnel de sécurité de se concentrer sur des exploits plus complexes et potentiellement dommageables. | ||
+ | |||
+ | ===== Métrique SOC ===== | ||
+ | |||
+ | Cinq métrique sont couramment utilisées comme métrique SOC : | ||
+ | |||
+ | * Temps d' | ||
+ | * **MTTD (Mean Time to Detect)** - le temps moyen nécessaire au personnel du SOC pour identifier les incidents de sécurité valides s'est produit sur le réseau. | ||
+ | * **MTTR (Mean Time to Respond)** - le temps moyen nécessaire pour arrêter et corriger un incident de sécurité. | ||
+ | * **MTTC (Mean Time to Contain)** - le temps nécessaire pour empêcher l' | ||
+ | * **Temps de contrôle** - le temps nécessaire pour arrêter la propagation des logiciels malveillants sur le réseau. |