|
 |
|
|
|
Abstractions Lab annonce la publication de la version 0.6 d’IDPS-ESCAPE, désormais disponible sur GitHub. Cette version poursuit l’évolution initiée avec l’introduction du sous-système RADAR dans la version 0.4 et renforce considérablement la position d’IDPS-ESCAPE en tant que plateforme SOAR (Security Orchestration, Automation, and Response) ouverte, modulaire et axée sur la recherche.
Après l’extension fonctionnelle apportée tout au long de la série v0.5, la version v0.6 met l’accent sur la consolidation, la robustesse et la maintenabilité. Cette version améliore les scénarios opérationnels de RADAR, renforce la transparence grâce à une documentation détaillée et refactorise la couche d’automatisation afin de prendre en charge l’évolution à long terme et la reproductibilité. L’ensemble de scénarios actuel comprend la détection basée sur les signatures pour les connexions suspectes, la détection basée sur une liste blanche GeoIP et un scénario de détection des anomalies utilisant RRCF pour surveiller les changements de volume des journaux.
Principales nouveautés de la version 0.6
Scénarios RADAR améliorés sur des données Wazuh réelles
Cette version ajoute de nouvelles configurations de scénarios de détection d’anomalies dans les volumes de journaux RADAR, notamment des scripts d’ingestion, une logique de transformation et des définitions de pipeline. Ces améliorations permettent une agrégation et une détection des anomalies plus précises sur la télémétrie Wazuh réelle, renforçant ainsi le modèle de détection hybride de RADAR qui combine des approches basées sur les signatures et sur l’apprentissage automatique.
La détection des connexions suspectes a été affinée grâce à des règles améliorées et à une logique de détection en ligne simplifiée, ce qui augmente la robustesse tout en réduisant la complexité opérationnelle.
Automatisation refactorisée de l’infrastructure en tant que code
Une amélioration architecturale majeure dans la version 0.6 est la refonte des playbooks Ansible de Wazuh Manager. Les tâches précédemment contenues dans un grand fichier monolithique ont été modularisées en composants clairement délimités couvrant le bootstrap, la configuration de l’hôte, les décodeurs, les règles, les réponses, OSSEC, Filebeat, les listes et la mise en scène. Cette modification améliore la lisibilité, la maintenabilité et l’extensibilité de la pile de déploiement.
Pour des raisons d’exhaustivité et de traçabilité, le playbook monolithique d’origine a été conservé dans une archive au sein du référentiel.
Une meilleure compréhension du fonctionnement interne du RADAR
IDPS-ESCAPE v0.6 présente une documentation technique complète décrivant le pipeline d’exécution interne de run-radar.sh. Ce nouveau document détaille le workflow RADAR en trois étapes (ingestion des données, création de détecteurs et configuration des moniteurs), renforçant ainsi l’importance accordée par le projet à la traçabilité, à l’explicabilité et à la reproductibilité des expériences en matière de sécurité.
La documentation relative au déploiement pour l’activation automatisée de Wazuh et RADAR via Ansible a été affinée, fournissant ainsi une référence opérationnelle plus claire pour les environnements de recherche et de production.
Améliorations en matière de fiabilité et d’exactitude
IDPS-ESCAPE v0.6 corrige plusieurs problèmes liés à RADAR, notamment des bogues susceptibles d’endommager les scénarios précédemment installés en fonction de l’ordre d’exécution. L’image Docker RADAR CLI a été corrigée, et plusieurs modèles de scénarios et lacunes dans la documentation ont été résolus. Les améliorations apportées à la gestion de la connectivité, aux webhooks et au traitement des alertes renforcent encore la stabilité du runtime.
Disponibilité
IDPS-ESCAPE v0.6 est désormais disponible en version gratuite et open source sur GitHub :
https://github.com/AbstractionsLab/idps-escape
Le référentiel comprend une documentation mise à jour, l’automatisation du déploiement, les spécifications techniques et les artefacts de validation. Les commentaires et contributions de la communauté sont les bienvenus.
Roadmap
Calcul hybride des risques à l’aide d’une détection basée sur l’apprentissage automatique (ML) et sur les signatures
Intégration du sous-système DECIPHER de SATRAP pour améliorer les détections RADAR grâce à l’enrichissement CTI et aux playbooks
Intégration de Flowintel dans le cycle de détection RADAR via DECIPHER
Nouveaux scénarios RADAR : connexion suspecte hybride (basée sur le ML + basée sur la signature)
Refonte d’ADBox v2.0
Intégration d’ADBox et de RADAR
Intégration des objets de menace OpenTide
