SOC, CERT, CSIRT : les grands acteurs de

la sécurité opérationnelle
De la détection à la réaction

Eric Vedel, Directeur Architectures Cybersecurity, EMEA South

Alexandre Carle , Head of Intrinsec CERT

01/07/2021
 • Qu’est-ce qu’un SOC? , est-ce une
organisation humaine , de la
technologie, un projet, un service
• Rôle et fonction du CERT (Computer
Emergency Response Team) et CSIRT
(Computer Security Incident
Agenda Response Team)
• Les tendances et évolutions
• Retour d’expérience réel d’un leader
de services CERT

© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
“There are two types of companies: those who have been hacked, and
those who don’t yet know they have been hacked.” [John Chambers]
C’est quoi un SOC ?
• Le Security Operating Center ( SOC) est un centre de supervision et
d'administration de la sécurité.
• Le terme SOC désigne ainsi une plateforme dont la fonction est de fournir
des services de détection des incidents de sécurité, mais aussi de fournir
des services pour y répondre.
• Le centre de sécurité va ainsi collecter les événements (sous forme de logs
notamment) remontés par les composants de sécurité, les analyser,
détecter les anomalies et définir des réactions en cas d'émission d'alerte.
• Les équipes SOC travaillent étroitement avec les équipes d’intervention (
CERT/CSIRT ) afin de s’assurer que le problème de sécurité soit bien réglé
une fois qu’il a été découvert.
Et les CERT (Computer Emergency Response Team) et CSIRT
(Computer Security Incident Response Team) alors ?
• « CERT » est une marque déposée aux États-Unis par l’université Carnegie Mellon
à Pittsburgh / le Software Engineering Institute (Pennsylvanie – USA) suite à le
découverte du premier vers informatique : Morris en novembre 1988
• Quand un CSIRT obtient l’autorisation de la part du SEI d’utiliser la marque CERT,
celui-ci devient un CERT et intègre la communauté mondiale des CERT. A noter
que chaque CERT est indépendant du SEI. Il n’y a donc pas de différence
fondamentale entre les deux appellations concernant leurs activités
• En France, le CERT-FR est opéré par l’ANSSI et fournit ses services aux
administrations françaises
• Il est communément admis que la détection est assurée par le SOC tandis que la
réaction est pilotée par le CSIRT, éventuellement en collaboration avec un ou
plusieurs CERT
SOC Structure – Service Oriented
SOC Mission
SOC Governance
SOC Vision
Financial Model
SOC Strategy
Operating Model
SOC Roadmap
Strategy & Governance

Monitoring Process Analysis Process Response Process Intelligence Process Hunting Process

Process Release & Deployment Usecase Mgmt. Incident Playbooks Process SLA Process Integration

SOC Manager Capacity Skills Training Recruitment

SOC Analysts SOC Leads Incident Responders Intelligence Analysts SOC Engineer

People Organization Structure Roles & Responsibilities Role KPIs Career Path

Collaboration Hunting Platform Wiki Reporting

SIEM SOAR TIP Analytics Deception

Technology Contextual Data Threat Intelligence SOC Telemetry Usecase Framework

Cisco-Powered SOC TI Internal TI Private TI Public
Internal KB & Public
Vendor TI Feeds Feeds
CERT sharing
Threat
Intelligence
CERT
TIP – Threat Intelligence Platform

SOC
Monitoring SOAR – Security Orchstratioin Automatioin and Response
Incident Mgt
Event Mgt Incident Mgt Automatisation Orchestration Analysis
SIEM Ticketing Analyzer Orchestrator
System Responder Sandbox
Workflow

Visibility
Control NGFW EMAIL SIG/DNS Network User
EPP/EDR Identity
IPS
Enforcement

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7
Cisco-Powered SOC TI Internal TG TI Private Talos TI Public
Internal KB & Public
Vendor TI Feeds Feeds
CERT sharing Investigate
Threat
Intelligence CTIA
CERT
TIP – Threat Intelligence Platform

Third Party

SOC
Monitoring SOAR – Security Orchstratioin Automatioin and Response
Incident Mgt
Event Mgt Incident Mgt SecureX
Automatisation Orchestration Analysis
SIEM Ticketing Analyzer Orchestrator
System Responder Sandbox
Workflow

Dashboard Casebook Orbital CTR AO TG

Visibility
Control NGFW EMAIL SIG/DNS Network User
EPP/EDR Identity
IPS
Enforcement
Third Party FP AMP ESA/ UMB ISE/Anyconnect
FTD
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
CES 8
WSA SW/SWC DUO
Overall Architecture
SANS INSTITUE SOC Survey – SOC Challenges
Automating the SOC Tasks
Escalation and
Notification Case Management

Analysis and
Automation Data Enrichment
Investigation

Reporting and KPIs Adaptive Response

S

Sample Use Case – Response Automation

Inform the intelligence analyst

Instruct ISE to Contain

Reset the user
Machine
password
Request for
intelligence

Threat Hunting

Internal Tier 3 Analyst High Severity Malware Detected

CSIRT Ticket assigned Collect Forensics VIP Machine
Information
Update
Intelligence
rules
Initiate IR Retainer Analyst
Open Ticket
SOAR
Collect more data SIEM
(browsing history)
Get malware
Inform analysis Upload the
end user results Malware

Structured logs
Security Logs
High value logs
Unstructured data
Threat Grid High volume logs (i.e endpoint, DNS)
Introducing SecureX
A cloud-native, built-in platform experience within our portfolio
Cisco Secure Your Infrastructure

Network Endpoint 3rd Party/ITSM Intelligence

Cloud Applications Identity SIEM/SOAR

Unified Visibility

Detection Investigation Managed Orchestration

Analytics Remediation Policy Automation

SecOps ITOps NetOps

Your teams
© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
 SecureX unlocks value for your organization

Integrated and Unified in one Maximized

open for location for operational
simplicity visibility efficiency

Included In 15 minutes, In half the time, Save 100 hours 85% reduction
with every you achieve real benefits customers say they by unifying visibility and in time to respond and
Cisco Secure product using what you already have visualize threats within automating remediate to
as it’s cloud-native their environment1 your workflows an attack2

[1] Source: TechValidate

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
[2] Source: Based on internal simulation
Intrinsec : Nos services CERT En cours de qualification PRIS

Faites face aux menaces !

500 / 508 / 572 / 610

Réagir 5 Interventions par mois

Anticip
CERT- Intrinsec er
Renforcer

Réponse à Threat Investigation Abonnement Gestion de

incident Hunting numérique CERT crise
Stratégie, mise en
Recherche de Préparation à la place et
Levée de doutes, Intervention réponse & SLA organisation
menaces globales,
Intervention en cas spécialisée d’intervention d’exercices de
Threat Intelligence,
de nécessité & Intégrité de la gestion de crise
Recherche suite à
Gestion de crise. preuve. Options : adaptés à votre
réponse à incident contexte.
Renseignement cyber

© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
 Questions

© 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential