Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
Scribd Logo
Importer

Bienvenue sur Scribd !

  • 122 vues

    SOC Afnet

    Transféré par

    Jone
    Le document décrit les rôles des SOC, CERT et CSIRT dans la détection et la réponse aux incidents de sécurité. Un SOC collecte les logs et événements de sécurité et détecte les anomalies. Les équipes SOC collaborent avec les CERT/CSIRT pour résoudre les problèmes une fois découverts.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd

    SOC Afnet

    Transféré par

    Jone
    122 vues16 pages
    Le document décrit les rôles des SOC, CERT et CSIRT dans la détection et la réponse aux incidents de sécurité. Un SOC collecte les logs et événements de sécurité et détecte les anomalies. Les équipes SOC collaborent avec les CERT/CSIRT pour résoudre les problèmes une fois découverts.

    Description originale:

    SOC et CERT

    Titre original

    SOC-Afnet (1)

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Le document décrit les rôles des SOC, CERT et CSIRT dans la détection et la réponse aux incidents de sécurité. Un SOC collecte les logs et événements de sécurité et détecte les anomalies. Les équipes SOC collaborent avec les CERT/CSIRT pour résoudre les problèmes une fois découverts.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    122 vues16 pages

    SOC Afnet

    Transféré par

    Jone
    Le document décrit les rôles des SOC, CERT et CSIRT dans la détection et la réponse aux incidents de sécurité. Un SOC collecte les logs et événements de sécurité et détecte les anomalies. Les équipes SOC collaborent avec les CERT/CSIRT pour résoudre les problèmes une fois découverts.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    Vous êtes sur la page 1sur 16

    SOC, CERT, CSIRT : les grands acteurs de

    la sécurité opérationnelle
    De la détection à la réaction

    Eric Vedel, Directeur Architectures Cybersecurity, EMEA South


    Alexandre Carle , Head of Intrinsec CERT

    01/07/2021
    • Qu’est-ce qu’un SOC? , est-ce une
    organisation humaine , de la
    technologie, un projet, un service
    • Rôle et fonction du CERT (Computer
    Emergency Response Team) et CSIRT
    (Computer Security Incident
    Agenda Response Team)
    • Les tendances et évolutions
    • Retour d’expérience réel d’un leader
    de services CERT

    © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
    “There are two types of companies: those who have been hacked, and
    those who don’t yet know they have been hacked.” [John Chambers]
    C’est quoi un SOC ?
    • Le Security Operating Center ( SOC) est un centre de supervision et
    d'administration de la sécurité.
    • Le terme SOC désigne ainsi une plateforme dont la fonction est de fournir
    des services de détection des incidents de sécurité, mais aussi de fournir
    des services pour y répondre.
    • Le centre de sécurité va ainsi collecter les événements (sous forme de logs
    notamment) remontés par les composants de sécurité, les analyser,
    détecter les anomalies et définir des réactions en cas d'émission d'alerte.
    • Les équipes SOC travaillent étroitement avec les équipes d’intervention (
    CERT/CSIRT ) afin de s’assurer que le problème de sécurité soit bien réglé
    une fois qu’il a été découvert.
    Et les CERT (Computer Emergency Response Team) et CSIRT
    (Computer Security Incident Response Team) alors ?
    • « CERT » est une marque déposée aux États-Unis par l’université Carnegie Mellon
    à Pittsburgh / le Software Engineering Institute (Pennsylvanie – USA) suite à le
    découverte du premier vers informatique : Morris en novembre 1988
    • Quand un CSIRT obtient l’autorisation de la part du SEI d’utiliser la marque CERT,
    celui-ci devient un CERT et intègre la communauté mondiale des CERT. A noter
    que chaque CERT est indépendant du SEI. Il n’y a donc pas de différence
    fondamentale entre les deux appellations concernant leurs activités
    • En France, le CERT-FR est opéré par l’ANSSI et fournit ses services aux
    administrations françaises
    • Il est communément admis que la détection est assurée par le SOC tandis que la
    réaction est pilotée par le CSIRT, éventuellement en collaboration avec un ou
    plusieurs CERT
    SOC Structure – Service Oriented
    SOC Mission
    SOC Governance
    SOC Vision
    Financial Model
    SOC Strategy
    Operating Model
    SOC Roadmap
    Strategy & Governance

    Monitoring Process Analysis Process Response Process Intelligence Process Hunting Process

    Process Release & Deployment Usecase Mgmt. Incident Playbooks Process SLA Process Integration

    SOC Manager Capacity Skills Training Recruitment

    SOC Analysts SOC Leads Incident Responders Intelligence Analysts SOC Engineer

    People Organization Structure Roles & Responsibilities Role KPIs Career Path

    Collaboration Hunting Platform Wiki Reporting

    SIEM SOAR TIP Analytics Deception

    Technology Contextual Data Threat Intelligence SOC Telemetry Usecase Framework


    Cisco-Powered SOC TI Internal TI Private TI Public
    Internal KB & Public
    Vendor TI Feeds Feeds
    CERT sharing
    Threat
    Intelligence
    CERT
    TIP – Threat Intelligence Platform

    SOC
    Monitoring SOAR – Security Orchstratioin Automatioin and Response
    Incident Mgt
    Event Mgt Incident Mgt Automatisation Orchestration Analysis
    SIEM Ticketing Analyzer Orchestrator
    System Responder Sandbox
    Workflow

    Visibility
    Control NGFW EMAIL SIG/DNS Network User
    EPP/EDR Identity
    IPS
    Enforcement

    © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7
    Cisco-Powered SOC TI Internal TG TI Private Talos TI Public
    Internal KB & Public
    Vendor TI Feeds Feeds
    CERT sharing Investigate
    Threat
    Intelligence CTIA
    CERT
    TIP – Threat Intelligence Platform

    Third Party

    SOC
    Monitoring SOAR – Security Orchstratioin Automatioin and Response
    Incident Mgt
    Event Mgt Incident Mgt SecureX
    Automatisation Orchestration Analysis
    SIEM Ticketing Analyzer Orchestrator
    System Responder Sandbox
    Workflow

    Dashboard Casebook Orbital CTR AO TG

    Visibility
    Control NGFW EMAIL SIG/DNS Network User
    EPP/EDR Identity
    IPS
    Enforcement
    Third Party FP AMP ESA/ UMB ISE/Anyconnect
    FTD
    © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
    CES 8
    WSA SW/SWC DUO
    Overall Architecture
    SANS INSTITUE SOC Survey – SOC Challenges
    Automating the SOC Tasks
    Escalation and
    Notification Case Management

    Analysis and
    Automation Data Enrichment
    Investigation

    Reporting and KPIs Adaptive Response


    S

    Sample Use Case – Response Automation


    Inform the intelligence analyst

    Instruct ISE to Contain


    Reset the user
    Machine
    password
    Request for
    intelligence

    Threat Hunting

    Internal Tier 3 Analyst High Severity Malware Detected


    CSIRT Ticket assigned Collect Forensics VIP Machine
    Information
    Update
    Intelligence
    rules
    Initiate IR Retainer Analyst
    Open Ticket
    SOAR
    Collect more data SIEM
    (browsing history)
    Get malware
    Inform analysis Upload the
    end user results Malware

    Structured logs
    Security Logs
    High value logs
    Unstructured data
    Threat Grid High volume logs (i.e endpoint, DNS)
    Introducing SecureX
    A cloud-native, built-in platform experience within our portfolio
    Cisco Secure Your Infrastructure

    Network Endpoint 3rd Party/ITSM Intelligence

    Cloud Applications Identity SIEM/SOAR

    Unified Visibility

    Detection Investigation Managed Orchestration


    Analytics Remediation Policy Automation

    SecOps ITOps NetOps

    Your teams
    © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
    SecureX unlocks value for your organization

    Integrated and Unified in one Maximized


    open for location for operational
    simplicity visibility efficiency

    Included In 15 minutes, In half the time, Save 100 hours 85% reduction
    with every you achieve real benefits customers say they by unifying visibility and in time to respond and
    Cisco Secure product using what you already have visualize threats within automating remediate to
    as it’s cloud-native their environment1 your workflows an attack2

    [1] Source: TechValidate


    © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
    [2] Source: Based on internal simulation
    Intrinsec : Nos services CERT En cours de qualification PRIS

    Faites face aux menaces !


    500 / 508 / 572 / 610

    Réagir 5 Interventions par mois

    Anticip
    CERT- Intrinsec er
    Renforcer

    Réponse à Threat Investigation Abonnement Gestion de


    incident Hunting numérique CERT crise
    Stratégie, mise en
    Recherche de Préparation à la place et
    Levée de doutes, Intervention réponse & SLA organisation
    menaces globales,
    Intervention en cas spécialisée d’intervention d’exercices de
    Threat Intelligence,
    de nécessité & Intégrité de la gestion de crise
    Recherche suite à
    Gestion de crise. preuve. Options : adaptés à votre
    réponse à incident contexte.
    Renseignement cyber

    © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
    Questions

    © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Confidential

    Vous aimerez peut-être aussi