Introduction

Nous avons couvert une introduction au centre d'opérations de sécurité et à son fonctionnement, aux différents rôles et responsabilités tels que la surveillance du réseau et la détection des intrusions, la réponse aux incidents et la gestion des vulnérabilités. Cela faisait partie de TryHackMe Introduction à la piste de cybersécurité.

Obtenir les notes du certificat OSCP

UN Centre des opérations de sécurité (SOC) est un équipe de professionnels de la sécurité informatique chargés de surveiller le réseau et les systèmes d'une entreprise 24 heures sur 24, sept jours sur sept. Leur objectif de surveillance est de :

    • Trouver des vulnérabilités sur le réseau: UN vulnérabilité est une faiblesse qu'un attaquant peut exploiter pour effectuer des opérations au-delà de son niveau d'autorisation. Une vulnérabilité peut être découverte dans le logiciel de n'importe quel appareil (système d'exploitation et programmes) sur le réseau, tel qu'un serveur ou un ordinateur. Par exemple, le SOC pourrait découvrir un ensemble d'ordinateurs MS Windows qui doivent être corrigés contre une vulnérabilité publiée spécifique. À proprement parler, les vulnérabilités ne relèvent pas nécessairement de la responsabilité du SOC ; cependant, les vulnérabilités non corrigées affectent le niveau de sécurité de l’ensemble de l’entreprise.

    • Détecter les activités non autorisées: Prenons le cas où un attaquant a découvert le nom d'utilisateur et le mot de passe de l'un des employés et les a utilisés pour se connecter au système de l'entreprise. Il est crucial de détecter rapidement ce type d’activité non autorisée avant qu’elle ne cause des dommages. De nombreux indices peuvent nous aider à le détecter, comme la localisation géographique.

    • Découvrir les violations des règles: UN politique de sécurité est un ensemble de règles et de procédures créées pour aider à protéger une entreprise contre les menaces de sécurité et à garantir la conformité. Ce qui est considéré comme une violation varie d’une entreprise à l’autre ; les exemples incluent le téléchargement de fichiers multimédias piratés et l’envoi de fichiers confidentiels d’entreprise de manière non sécurisée.

    • Détecter les intrusionsIntrusions font référence aux intrusions dans le système et le réseau. Un exemple de scénario serait un attaquant qui parviendrait à exploiter notre application Web. Un autre exemple de scénario serait celui d’un utilisateur visitant un site malveillant et infecté son ordinateur.
  • Accompagnement à la réponse à incident: Un incident Il peut s'agir d'une observation, d'une violation de politique, d'une tentative d'intrusion ou de quelque chose de plus dommageable comme une violation majeure. Répondre correctement à un incident grave n’est pas une tâche facile. Le SOC peut aider l’équipe de réponse aux incidents à gérer la situation.

Les sources de données

Le SOC utilise de nombreuses sources de données pour surveiller le réseau à la recherche de signes d'intrusion et pour détecter tout comportement malveillant. Certaines de ces sources sont :

  • Journaux du serveur: Il existe de nombreux types de serveurs sur un réseau, tels qu'un serveur de messagerie, un serveur Web et un contrôleur de domaine sur les réseaux MS Windows. Les journaux contiennent des informations sur diverses activités, telles que les tentatives de connexion réussies et échouées, entre autres. De nombreuses informations peuvent être trouvées dans les journaux du serveur.
  • DNS activitéDNS signifie Domain Name System, et c'est le protocole responsable de la conversion d'un nom de domaine, tel que tryhackme.com, à une adresse IP, telle que 10.3.13.37, entre autres requêtes liées aux noms de domaine. Une analogie avec DNS La requête demande : « Comment puis-je atteindre TryHackMe ? » et quelqu'un qui répond avec l'adresse postale. En pratique, si quelqu'un essaie de naviguer tryhackme.com, le DNS Le serveur doit le résoudre et peut enregistrer la requête DNS pour la surveillance. Le SOC peut collecter des informations sur les noms de domaine avec lesquels les systèmes internes tentent de communiquer en inspectant simplement les requêtes DNS.
  • Journaux du pare-feu: Un pare-feu est un dispositif qui contrôle les paquets réseau entrant et sortant du réseau principalement en les laissant passer ou en les bloquant. Par conséquent, les journaux du pare-feu peuvent révéler de nombreuses informations sur les paquets qui ont réussi ou tenté de traverser le pare-feu.
  • DHCP journauxDHCP signifie Dynamic Host Configuration Protocol, et il est responsable de l'attribution d'une adresse IP aux systèmes qui tentent de se connecter à un réseau. Une analogie avec la requête DHCP serait lorsque vous entrez dans un restaurant chic et que le serveur vous accueille et vous guide vers une table vide. Sachez que DHCP a automatiquement fourni à votre appareil les paramètres réseau chaque fois que vous pouvez rejoindre un réseau sans configuration manuelle. En inspectant les transactions DHCP, nous pouvons en savoir plus sur les appareils qui ont rejoint le réseau.

Voici quelques-unes des sources de données les plus courantes ; cependant, de nombreuses autres sources peuvent être utilisées pour faciliter la surveillance de la sécurité du réseau et les autres tâches du SOC. Un SOC peut utiliser un système de gestion des informations et des événements de sécurité (SIEM). Le SIEM regroupe les données des différentes sources afin que le SOC puisse corréler efficacement les données et répondre aux attaques.

Réponses au défi

Qu'est-ce que NSM représenter?
Ajoutez les règles de pare-feu nécessaires pour bloquer l'attaque en cours. Quel est le drapeau que vous avez reçu après avoir réussi à arrêter l’attaque ?

Qu'est-ce que SOC représenter?

Combien d'heures par jour le SOC surveiller le réseau ?

Vidéo pas à pas

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles