Quand on doit s'occuper de protéger un réseau, on se voit proposer une pléthore de stratégies, allant de l'analyse locale (par machine) à l'analyse globale (orientée sur la donnée). La première est largement couverte par des outils comme les antivirus et les EDR, la seconde va nous permettre de mettre en évidence des menaces plus avancées.
Pour mettre en place une politique de détection globale, nous allons baser notre stratégie sur un SIEM (Security Information and Event Manager) afin de collecter et analyser les données provenant de l'ensemble de notre parc.
Ces données sont au cœur de notre stratégie ; c’est là-dessus que vont s'appuyer les règles de détection, pour tenter de mettre en exergue des comportements malveillants. Mais pour avoir des moteurs de détection efficaces, il nous est impératif d’obtenir des données pertinentes en adéquation avec ce que l'on veut détecter, et surtout d’être en mesure de filtrer le bruit.
Dans cet article, nous allons détailler notre stratégie de collecte de données dans le cadre de la mise en place d'un SIEM sur un réseau Windows, comprendre comment cibler et filtrer les données qui nous paraissent pertinentes dans le cadre d'une détection dynamique, ainsi que dans le contexte d’opérations de réponses sur incident.
Nous allons procéder...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première