Abstractions Lab annonce la publication de la version 0.6 d’IDPS-ESCAPE, désormais disponible sur GitHub. Cette version poursuit l’évolution initiée avec l’introduction du sous-système RADAR dans la version 0.4 et renforce considérablement la position d’IDPS-ESCAPE en tant que plateforme SOAR (Security Orchestration, Automation, and Response) ouverte, modulaire et axée sur la recherche. Après l’extension fonctionnelle apportée tout au long de la série v0.5, la version v0.6 met l’accent sur la consolidation, la robustesse et la maintenabilité. Cette version améliore les scénarios opérationnels de RADAR, renforce la transparence grâce à une documentation détaillée et refactorise la couche d’automatisation afin de prendre en charge l’évolution à long terme et la reproductibilité. L’ensemble de scénarios actuel comprend la détection basée sur les signatures pour les connexions suspectes, la détection basée sur une liste blanche GeoIP et un scénario de détection des anomalies utilisant RRCF pour surveiller les changements de volume des journaux. Principales nouveautés de la version 0.6 Scénarios RADAR améliorés sur des données Wazuh réelles Cette version ajoute de nouvelles configurations de scénarios de détection d’anomalies dans les volumes de journaux RADAR, notamment des scripts d’ingestion, une logique de transformation et des définitions de pipeline. Ces améliorations permettent une agrégation et une détection des anomalies plus précises sur la télémétrie Wazuh réelle, renforçant ainsi le modèle de détection hybride de RADAR qui combine des approches basées sur les signatures et sur l’apprentissage automatique. La détection des connexions suspectes a été affinée grâce à des règles améliorées et à une logique de détection en ligne simplifiée, ce qui augmente la robustesse tout en réduisant la complexité opérationnelle. Automatisation refactorisée de l’infrastructure en tant que code Une amélioration architecturale majeure dans la version 0.6 est la refonte des playbooks Ansible de Wazuh Manager. Les tâches précédemment contenues dans un grand fichier monolithique ont été modularisées en composants clairement délimités couvrant le bootstrap, la configuration de l’hôte, les décodeurs, les règles, les réponses, OSSEC, Filebeat, les listes et la mise en scène. Cette modification améliore la lisibilité, la maintenabilité et l’extensibilité de la pile de déploiement. Pour des raisons d’exhaustivité et de traçabilité, le playbook monolithique d’origine a été conservé dans une archive au sein du référentiel. Une meilleure compréhension du fonctionnement interne du RADAR IDPS-ESCAPE v0.6 présente une documentation technique complète décrivant le pipeline d’exécution interne de run-radar.sh. Ce nouveau document détaille le workflow RADAR en trois étapes (ingestion des données, création de détecteurs et… Read more »

Risk-aware Anomaly Detection-based Automated Response (Réponse automatisée basée sur la détection des anomalies et la prise en compte des risques) L’équipe IDPS-ESCAPE est heureuse d’annoncer une mise à jour majeure du sous-système RADAR, qui offre de nouvelles capacités SOAR pour la détection et la réponse automatisées aux menaces dans les centres d’opérations de sécurité (SOC) modernes. L’équipe IDPS-ESCAPE est heureuse d’annoncer une mise à jour majeure du sous-système RADAR, qui offre de nouvelles capacités SOAR pour la détection et la réponse automatisées aux menaces dans les centres d’opérations de sécurité (SOC) modernes. Cette version introduit trois nouveaux scénarios de détection RADAR : Détection des connexions suspectes: identifie les comportements de connexion anormaux, tels que les accès depuis des lieux ou à des heures inhabituelles. Détection des attaques DDoS : surveille les pics de trafic indiquant des attaques par déni de service distribué. C2 Malware Communication : signale les modèles de trafic cachés liés aux serveurs de commande et de contrôle. Pour prendre en charge ces scénarios, la mise à jour inclut un cadre de test RADAR automatisé rendu possible par Ansible. Ce cadre rationalise le déploiement, la simulation d’attaques, l’ingestion de données et l’évaluation statistique, facilitant ainsi le test et la validation des stratégies de détection. Autres nouveautés : Un module d’évaluation des expériences permettant de calculer la précision, le rappel et d’autres indicateurs de performance. Ensembles de données sélectionnés pour l’évaluation comparative des expériences RADAR. Scripts de déploiement Infrastructure-as-Code (IaC) pour le serveur et les agents Wazuh, permettant une configuration rapide et reproductible. Cette version s’appuie sur l’approche hybride de détection des anomalies combinant les modèles d’apprentissage profond d’ADBox et l’algorithme Robust Random Cut Forest (RCF) via OpenSearch, offrant une résilience contre les interférences adversaires et les faux positifs. Découvrez la version complète et la documentation sur GitHub. Roadmap Ajout de nouveaux scénarios d’utilisation réutilisables pour RADAR et ADBox ; Hybridation des scénarios RADAR : AD + détection basée sur les signatures ; Combinaison de l’AD classique et du deep learning, dans notre cas : RRCF + MTAD-GAT ; Intégration du moteur SATRAP pour une CTI avancée en temps réel sur un graphe de sécurité du système combiné à la CTI mondiale ; Conversion des dépendances des actifs OpenTRICK vers un graphe de sécurité du système SATRAP ; Intégration d’OpenTide ; Interconnexion d’ADBox et de RADAR ; ADBox : ajout de la prise en charge des fonctionnalités catégorielles ;… Read more »