Mooc s6 5

Cybersécurité
4 exemples de corrélations
Semaine 6
Définition
C'est l'étape qui va permettre de considérer un

événement d'un journal non plus
individuellement mais de manière croisée avec
d'autres événements du même journal ou bien
des logs d'autres équipements.
Corrélation
Process de rapprochement des événements depuis

différents systèmes (serveurs, postes de travail,
équipements réseau et de sécurité, …)
Combinaison et comparaison d’événements et

d'information de sources diverses pour identifier
des patterns de comportement invisibles au niveau
individuel de chaque équipement.
Corrélation
La corrélation vous permet d'automatiser la

détection d'incidents qui ne devraient pas se
produire sur votre infrastructure.
Elle va aussi vous permettre de construire des

modèles d'utilisation de votre SI par rapport
auxquels vous serez en mesure de détecter des
écarts.
Raison
Certains événements pris individuellement ne sont

pas porteur de sens. Ce n'est que replacés dans
leurs contextes qu'ils donnent toutes leurs valeurs.
Exemple 1 : accès autorisé sur un équipement
Exemple 2 : accès concomitants au SI depuis

plusieurs sites
Autres exemples
“si un utilisateur échoue dans sa tentative de

connexion sur 3 serveurs différents en utilisant le
même compte de connexion en l'espace de 10
secondes, générer un courriel d'alerte”
“si un ordinateur de bureau se connecte à des

heures non ouvrées vers des serveurs distants,
ajouter cette anomalie à un tableau de bord”
Besoin de pivot
Afin de pouvoir relier/croiser les contenus de

plusieurs sources d'informations, il nous faut
trouver un identifiant commun permettant
d'assurer la jointure.
On parle de clef ou de valeur pivot.
Les adresses IP, l'identifiant unique d'un utilisateur

ou un ID de message permettent généralement ce
rapprochement.
Croisement / enrichissement
avec sources externes
27/02/2019 22:05:07 User lmarot

Successfully Authenticate to 10.100.52.1
from 10.10.8.22
Traduisons-les :
« Le compte d'un utilisateur de l'équipe Marketing a
été utilisé pour se connecter avec succès à un
équipement réseau depuis un ordinateur de
bureau, un jour où personne n'est censé être au
bureau”
Détection générique et corrélation
Cas d’usage cyberdéfense
Tableaux de bord métiers d'un opérateur de retraite

Traçabilité des mails dans une structure étatique

Détection d’attaques sur le portail d’une administration

SOC d’un opérateur bancaire

Langue

Mooc s6 5

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Mooc s6 5

Titre original :

Transféré par

Droits d'auteur :

Formats disponibles

Cybersécurité

C'est l'étape qui va permettre de considérer un

Process de rapprochement des événements depuis

Combinaison et comparaison d’événements et

La corrélation vous permet d'automatiser la

Elle va aussi vous permettre de construire des

Certains événements pris individuellement ne sont

Exemple 1 : accès autorisé sur un équipement

Exemple 2 : accès concomitants au SI depuis

“si un utilisateur échoue dans sa tentative de

“si un ordinateur de bureau se connecte à des

Afin de pouvoir relier/croiser les contenus de

On parle de clef ou de valeur pivot.

Les adresses IP, l'identifiant unique d'un utilisateur

27/02/2019 22:05:07 User lmarot

Tableaux de bord métiers d'un opérateur de retraite

Traçabilité des mails dans une structure étatique

Détection d’attaques sur le portail d’une administration

SOC d’un opérateur bancaire

Centres d'intérêt liés

Vous aimerez peut-être aussi