|
 |
|
|
|
Risk-aware Anomaly Detection-based Automated Response (Réponse automatisée basée sur la détection des anomalies et la prise en compte des risques)
L’équipe IDPS-ESCAPE est heureuse d’annoncer une mise à jour majeure du sous-système RADAR, qui offre de nouvelles capacités SOAR pour la détection et la réponse automatisées aux menaces dans les centres d’opérations de sécurité (SOC) modernes.
L’équipe IDPS-ESCAPE est heureuse d’annoncer une mise à jour majeure du sous-système RADAR, qui offre de nouvelles capacités SOAR pour la détection et la réponse automatisées aux menaces dans les centres d’opérations de sécurité (SOC) modernes.
Cette version introduit trois nouveaux scénarios de détection RADAR :
Détection des connexions suspectes: identifie les comportements de connexion anormaux, tels que les accès depuis des lieux ou à des heures inhabituelles.
Détection des attaques DDoS : surveille les pics de trafic indiquant des attaques par déni de service distribué.
C2 Malware Communication : signale les modèles de trafic cachés liés aux serveurs de commande et de contrôle.
Pour prendre en charge ces scénarios, la mise à jour inclut un cadre de test RADAR automatisé rendu possible par Ansible. Ce cadre rationalise le déploiement, la simulation d’attaques, l’ingestion de données et l’évaluation statistique, facilitant ainsi le test et la validation des stratégies de détection.
Un module d’évaluation des expériences permettant de calculer la précision, le rappel et d’autres indicateurs de performance.
Ensembles de données sélectionnés pour l’évaluation comparative des expériences RADAR.
Scripts de déploiement Infrastructure-as-Code (IaC) pour le serveur et les agents Wazuh, permettant une configuration rapide et reproductible.
Cette version s’appuie sur l’approche hybride de détection des anomalies combinant les modèles d’apprentissage profond d’ADBox et l’algorithme Robust Random Cut Forest (RCF) via OpenSearch, offrant une résilience contre les interférences adversaires et les faux positifs.
Découvrez la version complète et la documentation sur GitHub.
Roadmap
Ajout de nouveaux scénarios d’utilisation réutilisables pour RADAR et ADBox ;
Hybridation des scénarios RADAR : AD + détection basée sur les signatures ;
Combinaison de l’AD classique et du deep learning, dans notre cas : RRCF + MTAD-GAT ;
Intégration du moteur SATRAP pour une CTI avancée en temps réel sur un graphe de sécurité du système combiné à la CTI mondiale ;
Conversion des dépendances des actifs OpenTRICK vers un graphe de sécurité du système SATRAP ;
Intégration d’OpenTide ;
Interconnexion d’ADBox et de RADAR ;
ADBox : ajout de la prise en charge des fonctionnalités catégorielles ;
ADBox : ajout d’un mécanisme d’entraînement de modèle automatique (en ligne) (basé sur des politiques, par exemple calendrier, critères personnalisés, etc.) ;
Stabilisation de la mise en œuvre actuelle et amélioration de sa résilience/tolérance aux pannes, en particulier lorsqu’il s’agit de traiter des données brutes manquantes ou mal formées.
