Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
bloc3:soc [2022/09/05 22:58] techer.charles_educ-valadon-limoges.fr [Niveau 1] |
bloc3:soc [2022/09/20 10:15] (Version actuelle) techer.charles_educ-valadon-limoges.fr [Les CERT] |
||
---|---|---|---|
Ligne 5: | Ligne 5: | ||
* avec des professionnels de la cybesécurité, | * avec des professionnels de la cybesécurité, | ||
* dans des centres opérationnels de sécurité (SOC). | * dans des centres opérationnels de sécurité (SOC). | ||
+ | <WRAP center round info> | ||
+ | SOC : Security Operations center | ||
+ | </ | ||
Les services du SOC peuvent être installés en interne, ou être détenus et exploités par un prestataire de sécurité. | Les services du SOC peuvent être installés en interne, ou être détenus et exploités par un prestataire de sécurité. | ||
Ligne 19: | Ligne 22: | ||
==== Analyste des alertes de niveau 1 ==== | ==== Analyste des alertes de niveau 1 ==== | ||
- | * professionnels | + | * professionnels |
- | * vérifient s'il s'agit effectivement d'un véritable incident | + | |
- | * transmettent des tickets au niveau 2, si nécessaire. | + | |
==== Gestionnaires des incidents de niveau 2 ==== | ==== Gestionnaires des incidents de niveau 2 ==== | ||
Ligne 36: | Ligne 39: | ||
* professionnel qui gère toutes les ressources du centre | * professionnel qui gère toutes les ressources du centre | ||
* joue le rôle d' | * joue le rôle d' | ||
+ | |||
+ | ==== Les CERT ==== | ||
+ | Un CERT (Computer Emergency Response Team) ou CSIRT (Computer Security Incident Response Team) est : | ||
+ | * un **centre d' | ||
+ | * destiné aux **entreprises ou aux administrations**, | ||
+ | * mais dont les informations sont généralement **accessibles à tous**. | ||
+ | |||
+ | <WRAP center round info> | ||
+ | Chaque système d’information, | ||
+ | |||
+ | Le rôle d'un CSIRT est d' | ||
+ | * **maintenir** un bon niveau de confiance et de coopération | ||
+ | * d’**améliorer** la connaissance de l’état de la menace dans sa globalité | ||
+ | * **mieux se préparer** à faire face à des incidents dont sont victimes leurs bénéficiaires ou clients. | ||
+ | |||
+ | Lien CSIRT (CERT-FR) du gouvernement français | ||
+ | </ | ||
+ | |||
+ | <WRAP center round todo> | ||
+ | L' | ||
+ | * **Lien** : https:// | ||
+ | * **Document** : {{ : | ||
+ | </ | ||
+ | |||
+ | <WRAP center round todo> | ||
+ | Régulièrement l' | ||
+ | * précisez les **raisons** | ||
+ | * et la **démarche utilisée** | ||
+ | |||
+ | Lien : https:// | ||
+ | </ | ||
Ligne 42: | Ligne 76: | ||
* analyse des files d' | * analyse des files d' | ||
- | <WRAP center round info 60%> | + | <WRAP center round info> |
Le logiciel qui génère les alertes peut parfois déclencher de fausses alarmes, c'est pourquoi l' | Le logiciel qui génère les alertes peut parfois déclencher de fausses alarmes, c'est pourquoi l' | ||
Ligne 81: | Ligne 115: | ||
* les systèmes de détection d' | * les systèmes de détection d' | ||
- | Les systèmes SIEM collectent et filtrent les données, détectent et classent les menaces, analysent et examinent les menaces. Les systèmes SIEM peuvent également gérer les ressources nécessaires pour mettre en œuvre des mesures préventives et faire face aux menaces futures. Les technologies d'un centre opérationnel de sécurité sont les suivantes : | + | Les systèmes SIEM : |
+ | * collectent et filtrent les données, | ||
+ | * détectent et classent les menaces, | ||
+ | * analysent et examinent les menaces. | ||
+ | |||
+ | Les systèmes SIEM peuvent également gérer les ressources nécessaires pour mettre en œuvre des mesures préventives et faire face aux menaces futures. | ||
+ | |||
+ | Les technologies d'un centre opérationnel de sécurité sont les suivantes | ||
+ | * **Collecte** d' | ||
+ | * **Surveillance** de la sécurité | ||
+ | * **Contrôle** de la sécurité | ||
+ | * **Gestion** des événements | ||
+ | * **Évaluation** des vulnérabilités | ||
+ | * **Suivi** des vulnérabilités | ||
+ | * **Informations** sur les menaces | ||
+ | |||
+ | ===== Automatisation de la réponse avec un SOAR ===== | ||
+ | Un SIEM gère l' | ||
+ | |||
+ | L' | ||
+ | |||
+ | SIEM et SOAR se complètent mutuellement. | ||
+ | <WRAP center round info> | ||
+ | SOAR : security orchestration, | ||
+ | </ | ||
+ | |||
+ | Plateformes de sécurité SOAR : | ||
+ | * Recueillir les données d' | ||
+ | * Fournir des outils qui permettent de faire des recherches, d' | ||
+ | * Mettre l' | ||
+ | * Inclure des playbooks prédéfinis qui permettent une réponse automatique à des menaces spécifiques. Les playbooks peuvent être lancés automatiquement selon des règles prédéfinies ou peuvent être déclenchés par le personnel de sécurité. | ||
+ | |||
+ | SOAR met l' | ||
+ | |||
+ | Les systèmes SIEM produisent nécessairement plus d' | ||
+ | |||
+ | SOAR traitera un grand nombre de ces alertes automatiquement et permettra au personnel de sécurité de se concentrer sur des exploits plus complexes et potentiellement dommageables. | ||
+ | |||
+ | ===== Métrique SOC ===== | ||
+ | |||
+ | Cinq métrique sont couramment utilisées comme métrique SOC : | ||
- | Collecte | + | * Temps d'immobilisation - durée pendant laquelle les acteurs de menace ont accès à un réseau avant qu'ils ne soient détectés |
- | Surveillance | + | * **MTTD (Mean Time to Detect)** - le temps moyen nécessaire au personnel du SOC pour identifier les incidents |
- | Contrôle | + | * **MTTR (Mean Time to Respond)** - le temps moyen nécessaire pour arrêter et corriger un incident |
- | Gestion des événements | + | * **MTTC (Mean Time to Contain)** - le temps nécessaire pour empêcher l' |
- | Évaluation | + | * **Temps de contrôle** - le temps nécessaire pour arrêter la propagation |
- | Suivi des vulnérabilités | + | |
- | Informations | + |