Différences

Ci-dessous, les différences entre deux révisions de la page.

--- bloc3:soc [2022/09/05 22:50]
techer.charles_educ-valadon-limoges.fr créée
+++ bloc3:soc [2022/09/20 10:15] (Version actuelle)
techer.charles_educ-valadon-limoges.fr [Les CERT]
@@ Ligne 5: / Ligne 5: @@
   * avec des professionnels de la cybesécurité,
   * dans des centres opérationnels de sécurité (SOC).
+<WRAP center round info>
+SOC : Security Operations center
+</WRAP>
 Les services du SOC peuvent être installés en interne, ou être détenus et exploités par un prestataire de sécurité.
@@ Ligne 19: / Ligne 22: @@
 ==== Analyste des alertes de niveau 1 ====
-  * professionnels sui surveillent les alertes entrantes,
+  * professionnels qui **surveillent les alertes entrantes**,
-  * vérifient s'il s'agit effectivement d'un véritable incident
+  * **vérifient** s'il s'agit effectivement d'un véritable incident
-  * transmettent des tickets au niveau 2, si nécessaire.
+  * **transmettent** des tickets au niveau 2, si nécessaire.
 ==== Gestionnaires des incidents de niveau 2 ====
@@ Ligne 36: / Ligne 39: @@
   * professionnel qui gère toutes les ressources du centre
   * joue le rôle d'interlocuteur principal de l'entreprise ou du client.
+==== Les CERT ====
+Un CERT (Computer Emergency Response Team) ou CSIRT (Computer Security Incident Response Team) est :
+  * un **centre d'alerte et de réaction aux attaques informatiques**,
+  * destiné aux **entreprises ou aux administrations**,
+  * mais dont les informations sont généralement **accessibles à tous**.
+<WRAP center round info>
+Chaque système d’information, tout comme chaque Etat, est exposé à des menaces diverses et évolutives.
+Le rôle d'un CSIRT est d'échanger continuellement des informations et des retours d’expérience entre partenaires de confiance pour :
+  * **maintenir** un bon niveau de confiance et de coopération
+  * d’**améliorer** la connaissance de l’état de la menace dans sa globalité
+  * **mieux se préparer** à faire face à des incidents dont sont victimes leurs bénéficiaires ou clients.
+Lien CSIRT (CERT-FR) du gouvernement français  : https://www.cert.ssi.gouv.fr/
+</WRAP>
+<WRAP center round todo>
+L'ANSSI à publié le 16 septembre 2022 l'alerte' de sécurité CERTFR-2022-ALE-007. Quels sont les risques présentés dans cette alerte ?
+  * **Lien** : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2022-ALE-007/
+  * **Document** : {{ :bloc3:certfr-2022-ale-007.pdf |}}
+</WRAP>
+<WRAP center round todo>
+Régulièrement l'ANSSI effectue des **scans réseaux** :
+  * précisez les **raisons**
+  * et la **démarche utilisée**
+Lien : https://www.cert.ssi.gouv.fr/scans/
+</WRAP>
+===== Processus dans un centre opérationnel de sécurité niveau 1=====
+  * analyse des files d'attente d'alertes de sécurité, en général en utilisant un système de création de tickets pour sélectionner des alertes dans une file d'attente afin de les examiner.
+<WRAP center round info>
+Le logiciel qui génère les alertes peut parfois déclencher de fausses alarmes, c'est pourquoi l'analyste de Cybersécurité doit vérifier qu'une alerte correspond réellement à un incident.
+</WRAP>
+  * Après la vérification, l'incident peut être transmis aux enquêteurs ou à d'autres équipes de sécurité, ou désigné comme une fausse alerte. Sinon, l'alerte peut être rejetée en tant que fausse alarme.
+  * Si un ticket ne peut pas être résolu, l'analyste de cybersécurité de niveau 1 le transmettra à un analyste de gestionnaires des incidents de niveau 2 qui l'examinera plus en détail.
+  * Si l'analyste de gestionnaires des incidents de niveau 2 ne peut pas résoudre le ticket, il le transmettra à un analyste de niveau 3 qui dispose de connaissances plus poussées et de compétences en matière de détection de menaces.
+==== Niveau 3 ====
+  * Connaissances approfondies
+  * Chasse aux menaces
+  * Mesures préventives
+==== Niveau 2 ====
+  * Analyse approfondies
+  * Recommande des mesures de résolution
+==== Niveau 1 ====
+  * Surveille les incidents
+  * Crée des tickets d'incidents
+  * Protection de base contre les menaces
+===== Les technologies dans un centre opérationnel de sécurité : SIEM =====
+Un centre opérationnel de sécurité a besoin d'un système :
+  * de gestion des événements
+  * et des informations liés à la sécurité (SIEM) ou d'un système équivalent.
+<WRAP center round info>
+SIEM : Security Information and Event Management
+</WRAP>
+SIEM prend en compte toutes les données générées par :
+  * les pare-feu,
+  * les appliances réseau,
+  * les systèmes de détection d'intrusion (IDS) et d'autres périphériques.
+Les systèmes SIEM :
+  * collectent et filtrent les données,
+  * détectent et classent les menaces,
+  * analysent et examinent les menaces.
+Les systèmes SIEM peuvent également gérer les ressources nécessaires pour mettre en œuvre des mesures préventives et faire face aux menaces futures.
+Les technologies d'un centre opérationnel de sécurité sont les suivantes :
+  * **Collecte** d'événements, corrélation et analyse
+  * **Surveillance** de la sécurité
+  * **Contrôle** de la sécurité
+  * **Gestion** des événements
+  * **Évaluation** des vulnérabilités
+  * **Suivi** des vulnérabilités
+  * **Informations** sur les menaces
+===== Automatisation de la réponse avec un SOAR =====
+Un SIEM gère l'orchestration de la cybersécurité.
+L'automatisation de la réponse aux incidents de cybersécurité est le SOAR.
+SIEM et SOAR se complètent mutuellement.
+<WRAP center round info>
+SOAR : security orchestration, automation, and response.
+</WRAP>
+Plateformes de sécurité SOAR :
+  * Recueillir les données d'alarme de chaque composant du système.
+  * Fournir des outils qui permettent de faire des recherches, d'évaluer et d'enquêter sur les cas.
+  * Mettre l'accent sur l'intégration comme moyen d'automatiser les workflows complexes de réponse aux incidents qui permettent une intervention plus rapide et des stratégies de défense adaptatives.
+  * Inclure des playbooks prédéfinis qui permettent une réponse automatique à des menaces spécifiques. Les playbooks peuvent être lancés automatiquement selon des règles prédéfinies ou peuvent être déclenchés par le personnel de sécurité.
+SOAR met l'accent sur les outils d'intégration et l'automatisation des workflows SOC. Il orchestre de nombreux processus manuels tels que l'investigation des alertes de sécurité ne nécessitant une intervention humaine que lorsque cela est nécessaire. Cela permet au personnel de sécurité de traiter des questions plus urgentes et de plus  haut niveau afin de remédier aux menaces.
+Les systèmes SIEM produisent nécessairement plus d'alertes que la plupart des équipes SecOps ne peuvent étudier de manière réaliste afin de capturer de manière conservatrice autant d'exploits potentiels que possible.
+SOAR traitera un grand nombre de ces alertes automatiquement et permettra au personnel de sécurité de se concentrer sur des exploits plus complexes et potentiellement dommageables.
+===== Métrique SOC =====
+Cinq métrique sont couramment utilisées comme métrique SOC :
+  * Temps d'immobilisation - durée pendant laquelle les acteurs de menace ont accès à un réseau avant qu'ils ne soient détectés et que l'accès des acteurs de menace soit arrêté
+  * **MTTD (Mean Time to Detect)** - le temps moyen nécessaire au personnel du SOC pour identifier les incidents de sécurité valides s'est produit sur le réseau.
+  * **MTTR (Mean Time to Respond)** - le temps moyen nécessaire pour arrêter et corriger un incident de sécurité.
+  * **MTTC (Mean Time to Contain)** - le temps nécessaire pour empêcher l'incident de causer d'autres dommages aux systèmes ou aux données.
+  * **Temps de contrôle** - le temps nécessaire pour arrêter la propagation des logiciels malveillants sur le réseau.

Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Différences

Outils de la page