Академический Документы
Профессиональный Документы
Культура Документы
Le Security Operations center, SOC, désigne dans une entreprise l’équipe en charge d’assurer la
sécurité de l’information.
Le SOC est une plateforme permettant la supervision et l’administration de la sécurité du système
d'information au travers d’outils de collecte, de corrélation d'événements et d'intervention à distance.
Le SIEM (Security Information Event Management) est l'outil principal du SOC puisqu'il permet de gérer
les évènements d'un SI.
L’objectif d’un SOC est de détecter, analyser et remédier aux incidents de cybersécurité à l’aide de
solutions technologiques et d’un ensemble de démarches. Ils surveillent et analysent l'activité sur les
réseaux, les serveurs, les terminaux, les bases de données, les applications, les sites Web et autres
systèmes, à la recherche de signaux faibles ou de comportements anormaux qui pourraient être le signe
d'un incident ou d'un compromis en matière de sécurité. Le SOC doit veiller à ce que les incidents de
sécurité potentiels soient correctement identifiés, analysés, défendus, enquêtés et signalés.
Oracle
Threat Intelligence
Est la collecte et l'analyse de données de cybersécurité multi-sources à l'aide
d'algorithmes analytiques avancés. En collectant de grandes quantités de données sur
les menaces et les tendances de cybersécurité actuelles et en effectuant des analyses
sur ces données, les fournisseurs de renseignements sur les menaces peuvent obtenir
des données et des informations utilisables qui aident leurs clients à mieux détecter et
se préparer aux cybermenaces.
L'objectif de l'intelligence sur les menaces est de créer et de partager des
connaissances sur l'état actuel du paysage en évolution rapide des cybermenaces, et
de fournir aux utilisateurs et aux solutions de cybersécurité les informations et le
contexte nécessaires pour identifier les menaces actuelles et prendre des décisions
stratégiques pour l'avenir.
Checkpoint
Une solution IDS peut être classée de plusieurs manières. L'un d'eux est son
emplacement de déploiement. Un IDS peut être déployé sur un hôte particulier, lui
permettant de surveiller le trafic réseau de l'hôte, les processus en cours d'exécution,
les journaux, etc., ou au niveau du réseau, lui permettant d'identifier les menaces sur
l'ensemble du réseau. Le choix entre un système de détection d'intrusion basé sur
l'hôte (HIDS) et un IDS basé sur le réseau (NIDS) est un compromis entre la
profondeur de visibilité et l'étendue et le contexte qu'un système reçoit.
Les solutions IDS peuvent également être classées en fonction de la manière dont
elles identifient les menaces potentielles. Un IDS basé sur des signatures utilise une
bibliothèque de signatures de menaces connues pour les identifier. Un IDS basé sur
des anomalies construit un modèle de comportement «normal» du système protégé et
signale tout écart. Un système hybride utilise les deux méthodes pour identifier les
menaces potentielles.
F5
L'anomalie de protocole utilise une approche appelée «refus par défaut». Avec le refus
par défaut, le contenu est autorisé à passer selon des protocoles prédéfinis. Seul le
contenu qui correspond au profil acceptable peut être traité. Ceci est différent de
permettre le passage de tout ce qui n'est pas identifié comme malveillant, ce qui peut
encore permettre à des attaques inconnues de pénétrer sur le réseau.
Solutions IPS
Les solutions IPS peuvent bloquer les menaces en temps réel, et certaines d'entre
elles utilisent DPI. Un défi, cependant, est que les solutions IPS peuvent, à certains
moments, émettre des faux positifs. L'utilisation de politiques prudentes peut réduire
l'impact d'un IPS qui tend à indiquer des alertes faussement positives.
Correspondance de motif ou de signature