L’énergie de l’analyste est précieuse : économisons-la ! Si la nécessité d’automatiser la corrélation de données ou les remédiations en cas de cyberattaque n’est plus une idée innovante depuis longtemps, son application concrète ou la méthodologie de sa mise en œuvre demeurent problématiques. Cet article est le premier d’une série de 2 articles visant à expliciter pourquoi et comment orchestrer efficacement les alertes de sécurité au sein d’une équipe de détection ou réponse à incidents.
La fatigue, les faux-positifs en pagaille, et in fine le manque d'efficacité au sein d'un SOC, sont une dure réalité, bien connue des analystes et documentée par plusieurs études [TURF WARS].
Les fournisseurs de services de sécurité managés (Managed Security Services Providers ou MSSP) font ainsi face aux défis multiples de faire passer à l'échelle leurs opérations commerciales, avec naturellement une pression à la réduction des coûts (souvent des investisseurs ou de la direction du groupe auquel le MSSP appartient), en essayant de fournir un niveau de qualité de service acceptable, et accessoirement en utilisant des outils « nouvelle génération ».
1. Cas d’usage de l’orchestration de sécurité
1.1 If this then that
Pour éviter un style trop académique, la définition précise de l’orchestration, peu évidente, sera abordée au chapitre suivant, et plutôt que de discuter des différences entre Kubernetes et Siemplify (un des objectifs de...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
[TURF WARS] https://securityboulevard.com/2021/12/security-operations-center-soc-performance-falling-short/
[STACKSTORM] https://stackstorm.com/
[WINSTON] https://stackstorm.com/case-study-netflix/
[SWAGGER] https://swagger.io/
[SHUFFLE] https://github.com/Shuffle/Shuffle
[WALKOFF] https://nsacyber.github.io/WALKOFF/
[AIRFLOW] https://airflow.apache.org/
[N8N] https://n8n.io/
[INFINITIC] https://docs.infinitic.io/
