BASE DE CONNAISSANCES

Archives classifiées : Outils, Internes et Méthodologies du SOC.

1. OUTILS DE SÉCURITÉ CŒUR (CORE)

Firewall (Pare-feu)

Forces

Contrôle centralisé du trafic (IP/Port/Protocole).
Segmentation réseau (réduction surface d'attaque).
Bloque l'accès externe non autorisé.

Faiblesses

Aveugle au trafic autorisé (ex: HTTP malveillant).
Gestion complexe des règles.
Inefficace contre les menaces internes.

Limites : Ne voit pas le contenu chiffré ni le comportement des endpoints.

Idée Reçue : "Croire qu'il arrête toutes les attaques ou remplace l'EDR."

Antivirus / EPP

Forces

Bloque les malwares connus (signatures).
Analyse heuristique de base.
Gestion centralisée.

Faiblesses

Inefficace contre les APT et attaques sans fichier.
Facilement contourné par les attaquants.
Peut impacter les performances.

Limites : Ne prévient pas les mouvements latéraux. Dépend des mises à jour.

Idée Reçue : "Suffisant pour arrêter les ransomwares modernes."

IDS / IPS

Forces

Détecte les scans et exploits réseaux connus.
IPS peut bloquer activement.
Visibilité sur les zones exposées (DMZ).

Faiblesses

Basé sur les signatures (rate les inconnus).
Aveugle au trafic chiffré.
Faux positifs fréquents.

Limites : Ne voit pas le trafic interne (workstation-to-workstation).

Idée Reçue : "Le voir comme une source de visibilité totale."

EDR (Endpoint Detection & Response)

Forces

Visibilité totale sur l'endpoint (processus, fichiers).
Détection comportementale (sans fichier).
Réponse automatisée (isolement).

Faiblesses

Nécessite un agent.
Génère beaucoup d'alertes (fatigue).
Peut être contourné par des experts.

Limites : Aveugle aux attaques purement réseau.

Idée Reçue : "Remplace l'antivirus ou garantit 100% de sécurité."

NDR (Network Detection & Response)

Forces

Visibilité réseau globale (Est-Ouest).
Détection des mouvements latéraux et C2.
Couvre les appareils non gérés (IoT).

Faiblesses

Aveugle au trafic chiffré (sans déchiffrement).
Détection souvent post-intrusion.
Peu de blocage actif.

Limites : Ne voit pas ce qui se passe DANS l'endpoint.

Idée Reçue : "Remplace l'IDS ou l'EDR."

SIEM

Forces

Centralisation des logs.
Corrélation multi-sources.
Support investigation et conformité.

Faiblesses

Pas de temps réel (latence).
Complexe à maintenir.
Dépend de la qualité des logs.

Limites : Ne bloque rien. Ne crée pas de données, il les collecte.

Idée Reçue : "Remplace les outils de détection ou 'trouve tout' seul."

2. OUTILS AVANCÉS & ORCHESTRATION

TIP (Threat Intelligence Platform)

Forces

Centralise les flux de menaces (Feeds).
Enrichit les alertes (IOCs).
Facilite le partage d'infos.

Faiblesses

Dépend de la qualité des feeds.
Risque d'IOCs obsolètes.
Ne détecte pas les attaques inconnues.

Limites : L'intelligence sans contexte est du bruit.

Idée Reçue : "Remplace la détection comportementale."

WAF (Web App Firewall)

Forces

Protège les applis web (OWASP Top 10).
Virtual Patching.
Filtre HTTP/HTTPS.

Faiblesses

Inefficace contre les failles logiques.
Contournable par obfuscation.
Ne protège pas l'interne.

Limites : Ne remplace pas le code sécurisé.

Idée Reçue : "Une solution magique pour ne pas fixer le code."

DLP (Data Loss Prevention)

Forces

Protège les données sensibles.
Bloque l'exfiltration (USB, Web).
Audit de conformité.

Faiblesses

Faux positifs bloquants.
Inefficace contre le chiffrement/stéganographie.
Lourd à gérer.

Limites : Ne protège pas contre la destruction de données.

Idée Reçue : "Remplace la sensibilisation des utilisateurs."

XDR (Extended Detection & Response)

Forces

Unifie EDR, NDR, SIEM.
Corrélation native.
Simplifie les opérations SOC.

Faiblesses

Souvent une suite de produits mal intégrés.
Vendor lock-in.
Promesse marketing vs réalité.

Limites : N'est pas magique si les composants individuels sont faibles.

Idée Reçue : "Une solution unique qui remplace tout le reste."

UEBA (User Behavior Analytics)

Forces

Détecte les menaces internes.
Repère les comptes compromis.
Basé sur les anomalies.

Faiblesses

Faux positifs (comportement inhabituel mais légitime).
Temps d'apprentissage long.
Cher.

Limites : Inefficace sans une bonne baseline.

Idée Reçue : "Remplace les règles de détection déterministes."

SOAR (Orchestration & Auto)

Forces

Automatise les tâches répétitives.
Enrichissement automatique.
Réponse rapide (blocage IP).

Faiblesses

Complexe à intégrer.
Risque de blocage abusif (Over-automation).
Maintenance des playbooks.

Limites : Garbage In, Garbage Out (dépend de la détection).

Idée Reçue : "Améliore la qualité de la détection (non, juste la vitesse)."

Vuln Scanning

Forces

Identifie les CVE connues.
Priorisation des patchs.
Vue surface d'attaque.

Faiblesses

Image à un instant T.
Faux positifs.
Ne voit pas les 0-days.

Limites : Ne remplace pas le Pentest.

Idée Reçue : "Suffisant pour dire 'on est sécurisé'."

3. MÉCANISMES INTERNES (INTERNALS)

Hashing & Fuzzy Hashing

Empreintes numériques pour identifier les fichiers.

MD5/SHA256 : Identification exacte (facile à changer par l'attaquant).
Imphash : Basé sur les imports PE (détecte les variantes).
SSDEEP/TLSH : Hachage flou pour la similarité (détecte le code modifié).

Signatures & Heuristics

Recherche de motifs et analyse statique.

Regex : Chaînes simples.
Yara : Le standard pour la chasse (Fichiers, Mémoire, Processus).
Heuristique : Analyse de la structure et de l'entropie (fichiers packés/chiffrés).

File Monitoring (Linux/Windows)

Comment le système voit les fichiers.

Linux inotify : Non-bloquant, user-space.
Linux fanotify : Bloquant, utilisé par les AV.
Windows Minifilter : Driver noyau, bloquant, standard pour les EDR.

Linux Kernel Interfaces

Sources de télémétrie Linux.

ProcFS/SysFS : Infos processus et système.
Netlink : Événements réseau.
eBPF : Le futur. Exécution de code sandboxé dans le noyau pour une visibilité totale et performante.

Windows Event Monitoring

Sources de télémétrie Windows.

ETW (Event Tracing for Windows) : Le système nerveux de Windows. Haute performance.
ETW-TI : Threat Intel feed pour détecter les injections (Mem, Process).
WMI : Interface de gestion (souvent abusée par les attaquants).

AMSI (Antimalware Scan Interface)

Protection contre les scripts.

Permet aux langages (PS, VBS, .NET) d'envoyer leur contenu à l'AV.
Détecte les scripts obfusqués APRÈS décodage en mémoire.
Contournable (Patching de la DLL amsi.dll en mémoire).

Logging Techniques

Collecte de preuves.

Linux : /var/log (texte), Auditd (structuré, noyau).
Windows : Event Logs (.evtx), Sysmon (Indispensable pour une bonne détection).

Sigma Rules

Standardisation de la détection.

Format générique pour les règles SIEM.
Indépendant de la plateforme (Splunk, ELK, QRadar).
Permet le partage communautaire.

4. PROTOCOLES & FORMATS

Threat Intel Formats

Structuration de la connaissance.

MISP : Modèle Événements/Attributs. Optimisé pour le partage et la corrélation.
STIX 2.x : Format JSON standard. Basé sur des objets et relations (Graph). Préféré pour l'analyse contextuelle.

Email Authentication

Protection contre le Spoofing.

SPF : Liste des IP autorisées (DNS). Fragile au forwarding.
DKIM : Signature cryptographique des mails. Garantit l'intégrité.
DMARC : Politique (Reject/Quarantine) et alignement SPF/DKIM.

EXAM SURVIVAL GUIDE

Oral Defense Checklist

Justify Tool Choice: Why EDR and not Firewall? (Visibility vs Blocking)
Explain Logic: Why did you use `Process Access` and not `Image Load`?
Know Your FPs: Admit the weaknesses of your rule. "This rule triggers on Admin scripts, but I accept the risk because..."
Bypass Awareness: "I know renaming the binary bypasses this, but I have another rule for that."

Common Pitfalls

The "Perfect Rule" Myth: Don't try to catch everything. A specific rule is better than a noisy generic one.
Ignoring Context: Blocking PowerShell globally is not a solution.
Over-reliance on Hashes: Hashes change. Behaviors stay.