© YAKOBCHUK VASYL

En préambule, Cahrles Ibrahim a défini un SOC et un SIEM. Pour lui, un SOC permet de détecter les anomalies de sécurité sur le réseau. Un SOC a donc besoin d’outils mais aussi d’analystes qui vont qualifier les événements, faire de la veille de sécurité, proposer des améliorations de la sécurité du SI... Il peut ainsi évoluer vers un CERT. Quant aux SIEM ce sont des collecteurs de logs sous forme de Méta données.

L’attaque commence comme souvent par l’envoi d’un simple mail qui est détecté comme étant dangereux par un antimalwares pour l’exemple par l’IDS Suricata. Une alerte est émise qui permet de retrouver le mail au sein de l’index Splunk qui a été paramétrer au préalable. A partir du premier mail, il est possible de retrouver toute la campagne de Spam même si les sujets et les destinataires sont différents. Par contre, si la messagerie est hébergée dans le Cloud par Microsoft ou Google par exemple, ce process est quasi impossible. Par la suite, il est possible de retrouver l’utilisateur afin qu’il adresse le mail suspect.

Puis, il a montré l’intérêt de la visualisation des données de sécurité. Mis à part de fournir des rapports aux managers, cela permet de réagir dans des temps raisonnables lors d’incidents. Il a présenté plusieurs outils de visualisation dont la plus part sont écrits en JavaScript. Pour lui, en visualisation de sécurité, on a besoin de remettre en contexte les informations collectées. Il faut mener une réflexion importante sur les algorithmes afin de faire du Big Data ou du Machine Learning. Ces outils permet de dégrossir le travail des analystes.

En conclusion, Charles Ibrahim considère que la gestion de logs est un outil nécessaire pour la détection des menaces.