Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Piste:
bloc3:soc

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision 		Révision précédente
bloc3:soc [2022/09/05 23:06]
techer.charles_educ-valadon-limoges.fr [Les technologies dans un centre opérationnel de sécurité : SIEM] 		bloc3:soc [2022/09/20 10:15] (Version actuelle)
techer.charles_educ-valadon-limoges.fr [Les CERT]
Ligne 5: Ligne 5:
   * avec des professionnels de la cybesécurité,   * avec des professionnels de la cybesécurité,
   * dans des centres opérationnels de sécurité (SOC).    * dans des centres opérationnels de sécurité (SOC). 
 +<WRAP center round info>
 +SOC : Security Operations center
 +</WRAP>
  
 Les services du SOC peuvent être installés en interne, ou être détenus et exploités par un prestataire de sécurité. Les services du SOC peuvent être installés en interne, ou être détenus et exploités par un prestataire de sécurité.
Ligne 19: Ligne 22:
 ==== Analyste des alertes de niveau 1 ==== ==== Analyste des alertes de niveau 1 ====
  
-  * professionnels sui surveillent les alertes entrantes, +  * professionnels qui **surveillent les alertes entrantes**
-  * vérifient s'il s'agit effectivement d'un véritable incident +  * **vérifient** s'il s'agit effectivement d'un véritable incident 
-  * transmettent des tickets au niveau 2, si nécessaire.+  * **transmettent** des tickets au niveau 2, si nécessaire.
  
 ==== Gestionnaires des incidents de niveau 2 ==== ==== Gestionnaires des incidents de niveau 2 ====
Ligne 36: Ligne 39:
   * professionnel qui gère toutes les ressources du centre   * professionnel qui gère toutes les ressources du centre
   * joue le rôle d'interlocuteur principal de l'entreprise ou du client.   * joue le rôle d'interlocuteur principal de l'entreprise ou du client.
 +
 +==== Les CERT ====
 +Un CERT (Computer Emergency Response Team) ou CSIRT (Computer Security Incident Response Team) est :
 +  * un **centre d'alerte et de réaction aux attaques informatiques**,
 +  * destiné aux **entreprises ou aux administrations**,
 +  * mais dont les informations sont généralement **accessibles à tous**. 
 +
 +<WRAP center round info>
 +Chaque système d’information, tout comme chaque Etat, est exposé à des menaces diverses et évolutives.
 +
 +Le rôle d'un CSIRT est d'échanger continuellement des informations et des retours d’expérience entre partenaires de confiance pour : 
 +  * **maintenir** un bon niveau de confiance et de coopération
 +  * d’**améliorer** la connaissance de l’état de la menace dans sa globalité
 +  * **mieux se préparer** à faire face à des incidents dont sont victimes leurs bénéficiaires ou clients.
 +
 +Lien CSIRT (CERT-FR) du gouvernement français  : https://www.cert.ssi.gouv.fr/
 +</WRAP>
 +
 +<WRAP center round todo>
 +L'ANSSI à publié le 16 septembre 2022 l'alerte' de sécurité CERTFR-2022-ALE-007. Quels sont les risques présentés dans cette alerte ?
 +  * **Lien** : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2022-ALE-007/
 +  * **Document** : {{ :bloc3:certfr-2022-ale-007.pdf |}}
 +</WRAP>
 +
 +<WRAP center round todo>
 +Régulièrement l'ANSSI effectue des **scans réseaux** :
 +  * précisez les **raisons**
 +  * et la **démarche utilisée** 
 +
 +Lien : https://www.cert.ssi.gouv.fr/scans/
 +</WRAP>
  
  
Ligne 42: Ligne 76:
   * analyse des files d'attente d'alertes de sécurité, en général en utilisant un système de création de tickets pour sélectionner des alertes dans une file d'attente afin de les examiner.   * analyse des files d'attente d'alertes de sécurité, en général en utilisant un système de création de tickets pour sélectionner des alertes dans une file d'attente afin de les examiner.
  
-<WRAP center round info 60%>+<WRAP center round info>
 Le logiciel qui génère les alertes peut parfois déclencher de fausses alarmes, c'est pourquoi l'analyste de Cybersécurité doit vérifier qu'une alerte correspond réellement à un incident. Le logiciel qui génère les alertes peut parfois déclencher de fausses alarmes, c'est pourquoi l'analyste de Cybersécurité doit vérifier qu'une alerte correspond réellement à un incident.
  
Ligne 89: Ligne 123:
  
 Les technologies d'un centre opérationnel de sécurité sont les suivantes : Les technologies d'un centre opérationnel de sécurité sont les suivantes :
-  * Collecte d'événements, corrélation et analyse +  * **Collecte** d'événements, corrélation et analyse 
-  * Surveillance de la sécurité +  * **Surveillance** de la sécurité 
-  * Contrôle de la sécurité +  * **Contrôle** de la sécurité 
-  * Gestion des événements +  * **Gestion** des événements 
-  * Évaluation des vulnérabilités +  * **Évaluation** des vulnérabilités 
-  * Suivi des vulnérabilités +  * **Suivi** des vulnérabilités 
-  * Informations sur les menaces+  * **Informations** sur les menaces
  
 ===== Automatisation de la réponse avec un SOAR ===== ===== Automatisation de la réponse avec un SOAR =====
Ligne 118: Ligne 152:
  
 SOAR traitera un grand nombre de ces alertes automatiquement et permettra au personnel de sécurité de se concentrer sur des exploits plus complexes et potentiellement dommageables. SOAR traitera un grand nombre de ces alertes automatiquement et permettra au personnel de sécurité de se concentrer sur des exploits plus complexes et potentiellement dommageables.
 +
 +===== Métrique SOC =====
 +
 +Cinq métrique sont couramment utilisées comme métrique SOC :
 +
 +  * Temps d'immobilisation - durée pendant laquelle les acteurs de menace ont accès à un réseau avant qu'ils ne soient détectés et que l'accès des acteurs de menace soit arrêté
 +  * **MTTD (Mean Time to Detect)** - le temps moyen nécessaire au personnel du SOC pour identifier les incidents de sécurité valides s'est produit sur le réseau.
 +  * **MTTR (Mean Time to Respond)** - le temps moyen nécessaire pour arrêter et corriger un incident de sécurité.
 +  * **MTTC (Mean Time to Contain)** - le temps nécessaire pour empêcher l'incident de causer d'autres dommages aux systèmes ou aux données.
 +  * **Temps de contrôle** - le temps nécessaire pour arrêter la propagation des logiciels malveillants sur le réseau.
bloc3/soc.1662411971.txt.gz · Dernière modification: 2022/09/05 23:06 de techer.charles_educ-valadon-limoges.fr

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Noncommercial-Share Alike 4.0 International
CC Attribution-Noncommercial-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki