Detection Engineering à grande échelle - un focus sur le long terme

11/10/2024 : 15h45 - 16h30 | FabLab | Guillaume Couchard, Erwan Chevalier

La plupart des équipes d’un Security Operation Center (SOC) ont aujourd’hui du mal à construire en permanence mais aussi à maintenir des règles de détection et leur documentation associée dans le temps, principalement lorsqu’il y en a des centaines. Par ailleurs, le contrat de niveau de service (SLA), les indicateurs clés de performance (KPI) et la télémétrie liés aux alertes sont souvent des sujets clés pour ces équipes. Ce sont de grands défis, surtout compte tenu de la longue histoire du SOC, et nous aimerions partager notre méthodologie et nos outils pour essayer de résoudre ces défis.

Notre objectif principal sera le pipeline d’intégration et de livraison continues (CI/CD) entourant les règles de détection et les KPI, après avoir introduit un peu de contexte autour des journaux (logs) ingérés et des règles de détection.

Tout d’abord, nous décrirons certains problèmes concernant la collecte d’événements dans le contexte XDR (Extended Detection and Response) et les décisions prises pour les résoudre. Nous partagerons ensuite le langage de détection et quelques principes de règles de détection.

Dans un deuxième temps, nous expliquerons comment construire et maintenir des centaines de règles de détection et leur documentation associée, en utilisant les meilleures pratiques d’intégration et de livraison continue (CI/CD).

Enfin, et pour alimenter notre processus d’amélioration continue, nous partagerons comment les KPI pourraient aider les analystes SOC (ou les Detection Engineers) à surveiller leurs règles et à traquer des menaces spécifiques. Cette observabilité aidera à revoir les règles de détection, à améliorer la qualité en réduisant le taux de faux positifs et en testant les capacités de détection au fil du temps.

Conférence
Archi, Perf et Sécu