Vous êtes sur la page 1sur 13

Cybersécurité

4 exemples de corrélations
Semaine 6
Définition

C'est l'étape qui va permettre de considérer un


événement d'un journal non plus
individuellement mais de manière croisée avec
d'autres événements du même journal ou bien
des logs d'autres équipements.
Corrélation

Process de rapprochement des événements depuis


différents systèmes (serveurs, postes de travail,
équipements réseau et de sécurité, …)

Combinaison et comparaison d’événements et


d'information de sources diverses pour identifier
des patterns de comportement invisibles au niveau
individuel de chaque équipement.
Corrélation

La corrélation vous permet d'automatiser la


détection d'incidents qui ne devraient pas se
produire sur votre infrastructure.

Elle va aussi vous permettre de construire des


modèles d'utilisation de votre SI par rapport
auxquels vous serez en mesure de détecter des
écarts.
Raison

Certains événements pris individuellement ne sont


pas porteur de sens. Ce n'est que replacés dans
leurs contextes qu'ils donnent toutes leurs valeurs.

Exemple 1 : accès autorisé sur un équipement

Exemple 2 : accès concomitants au SI depuis


plusieurs sites
Autres exemples

“si un utilisateur échoue dans sa tentative de


connexion sur 3 serveurs différents en utilisant le
même compte de connexion en l'espace de 10
secondes, générer un courriel d'alerte”

“si un ordinateur de bureau se connecte à des


heures non ouvrées vers des serveurs distants,
ajouter cette anomalie à un tableau de bord”
Besoin de pivot

Afin de pouvoir relier/croiser les contenus de


plusieurs sources d'informations, il nous faut
trouver un identifiant commun permettant
d'assurer la jointure.

On parle de clef ou de valeur pivot.

Les adresses IP, l'identifiant unique d'un utilisateur


ou un ID de message permettent généralement ce
rapprochement.
Croisement / enrichissement
avec sources externes

27/02/2019 22:05:07 User lmarot


Successfully Authenticate to 10.100.52.1
from 10.10.8.22

Traduisons-les :
« Le compte d'un utilisateur de l'équipe Marketing a
été utilisé pour se connecter avec succès à un
équipement réseau depuis un ordinateur de
bureau, un jour où personne n'est censé être au
bureau”
Détection générique et corrélation
Cas d’usage cyberdéfense

Tableaux de bord métiers d'un opérateur de retraite


Cas d’usage cyberdéfense

Traçabilité des mails dans une structure étatique


Cas d’usage cyberdéfense

Détection d’attaques sur le portail d’une administration


Cas d’usage cyberdéfense

SOC d’un opérateur bancaire

Vous aimerez peut-être aussi