Défense
Détection et logs
La détection repose sur une idée simple : voir assez d'événements pour repérer un comportement anormal, sans noyer l'équipe sous du bruit. Les logs doivent aider à décider, pas seulement remplir un disque.
Sources importantes
- authentifications
- changements de privilèges
- création de comptes
- exécution de processus
- connexions réseau
- DNS
- proxy et filtrage web
- EDR ou antivirus
- journaux applicatifs
- base de données
- cloud et IAM
Qualité des logs
Un journal utile contient si possible :
- heure fiable
- identité
- source
- destination
- action
- résultat
- ressource concernée
- identifiant de corrélation
Sans heure fiable et sans identité, la corrélation devient difficile.
Alertes à fort signal
Commence par des scénarios concrets :
- connexion admin inhabituelle
- MFA désactivé
- création de règle de transfert email
- exécution depuis dossier temporaire
- volume d'échecs anormal
- connexion depuis pays inattendu
- création d'un compte privilégié
- désactivation d'un agent de sécurité
- suppression ou vidage de logs
Réduire le bruit
Une alerte utile doit être compréhensible et actionnable.
À documenter :
- objectif de l'alerte
- sources nécessaires
- seuils
- faux positifs connus
- criticité
- action attendue
- propriétaire
Questions de triage
Quand une alerte arrive :
- quel actif est concerné
- quel compte est concerné
- est-ce attendu
- quelle preuve existe
- quel est l'impact possible
- faut-il contenir
- quels logs complémentaires lire
À retenir
La détection efficace commence par des logs fiables, des scénarios clairs et des alertes que quelqu'un peut réellement traiter.