2023-10-14, 14:00–14:20, Workshops & Speed
Le phénomène de la "fatigue des alertes" ("alert/ticket fatigue" en anglais) est bien réel et affecte probablement la majorité des organisations possédant un SOC. Les différentes solutions de sécurité génèrent de plus en plus d'alertes et afin d'éviter au maximum l'épuisement de nos équipes qui peuvent traiter des faux positifs à répétition, il faut repenser à notre stratégie vis-à-vis celles-ci. Une piste intéressante est la mise en place des alertes basées sur le risque, sommairement, les deux principaux avantages seraient de réduire le nombre de faux positifs et d'également détecter des événements qui individuellement n'auraient potentiellement pas levé d'alertes.
- Introduction (~1min)
- Qu'est-ce que la fatigue des alertes et pourquoi il faut en tenir compte? (~2min)
- Comment gérer la balance entre le volume d'alertes à traiter et la réduction des faux positifs? (Est-ce dangereux de réduire nos seuils pour recevoir moins d'alertes? Risque-t-on de manquer des alertes importantes?) (~4min)
- Pourquoi est-il possible pour une organisation de ne pas détecter certaines activités suspectes malgré la présence de centaines de cas d'usage (Use Case)? (~4min)
- Alerte vs. événement notable (~3min)
- Attribuer des scores de risque à des objets via les événements notables et générer des alertes selon un seuil prédéfini (Les scores peuvent se multiplier selon les phases de l'attaque (MITRE/Cyber Kill Chain) ou la sévérité des événements, notre imagination est la limite.) (~4min)
- Conclusion et questions (~2min)