Paper103 article rev1787 20220224 163801

Le laboratoire d ? analyse forensique Alexandre Compastié Inria Centre d ? opérations de sécurité SOC Rue Simone IFF Paris Résumé L ? analyse forensique consiste à rechercher des preuves sur des supports numériques pour comprendre un incident informatique passé ou en cours de manière à y remédier et pouvoir prendre des décisions éclairées Ces preuves sont des traces des artefacts numériques qui fournissent des informations sur l ? incident Une fois agrégés ils permettent de dégager un scénario factuel d ? évènements et d ? apporter des réponses à l ? équipe en charge des investigations Au travers de cet article nous exposerons l ? architecture technique ainsi que les composants sur lesquels repose le laboratoire forensique du centre d ? opérations de sécurité d ? Inria ?? les moyens de collecte d ? artefacts qu ? ils soient en mémoire dans des traces de ux réseau ou présents sur disque ?? les capacités de transfert et de stockage des artefacts précédemment récoltés ?? le traitement des artefacts et leur restitution dans un format facilitant les investigations Ce dernier point comprend notamment l ? analyse syntaxique des journaux l ? exploitation de règles de détection et l ? intégration de l ? information dans l ? outil de recherche en automatisant au mieux toute cette procédure En ?n nous ferons un retour d ? expérience sur l ? utilisation de cette solution par le SOC d ? Inria lors de la résolution d ? incidents de sécurité en présentant les avantages en matière de capacité de traitement et les limites de cet outil Mots-clefs Forensique analyse artefacts collecte traitement stockage compromission Introduction L ? adaptation continue de notre niveau de maturité en matière de sécurité des systèmes d ? information SSI est essentielle pour faire face aux menaces auxquelles sont confrontés nos systèmes d ? information Cela implique la mobilisation de multiples acteurs notamment les équipes opérationnelles de sécurité Ainsi pour assurer l ? évolution de sa posture défensive la compréhension de l ? origine d ? un incident qui repose sur la capacité d ? investigation de ces équipes JRES ?? Marseille Cest primordiale Malheureusement mener une levée de doute ou réaliser une analyse post-mortem aussi appelée analyse forensique ? présente un coût humain important qui peut limiter la capacité à y recourir d ? autant plus que l ? interconnexion toujours croissante de nos infrastructures impose d ? approfondir son enquête tout en élargissant ses moyens d ? intervention A ?n de prolonger ses capacités d ? analyse tout en préservant les ressources du service l ? emploi d ? un outillage spéci ?que répondant au besoin de l ? analyste et s ? adaptant aux contraintes opérationnelles s ? avère être une solution e ?cace dont nous présenterons les caractéristiques Un contexte d ? investigation contraint Le SOC d ? Inria opère avec trois contraintes majeures qui ont in ué sur les besoins de l ? équipe Premièrement le périmètre d ? intervention est très large

Documents similaires

M16 environnement internationalter tsc 3 0 0

Guide des bonnes pratique pour une meilleure gouvernance gpec tunisie 0 0

Modèle de lettre de motivation d'enseignant de français langue étrangère (FLE) 0 0

PRÉSENTATION GÉNÉRALE ET DÉFINITIONS 1 DÉFINITIONS ESP-CCA INTRODUCTION • Les g 0 0

Lettre de motivation teleconseillere 2015 0 0

Obtenir la certification iso 9001 0 0

Apprentissage texte 1 Apprentissage Texte Nous n ? en sortirons pas sans cette évidence c ? est l ? élève qui apprend et lui seul II apprend à sa manière comme n ? a jamais appris ni n ? apprendra personne Il apprend avec son histoire en partant de ce qu 0 0

Page 1 MINISTERE DES ENSEIGNEMENTS SECONDAIRE, SUPERIEUR ET DE LA RECHERCHE SCI 0 0

Gestion d x27 equipes principes de management 0 0

Liberté, fi nesse et courage leadership S T E V E N S A M P L E Cultiver son Li 0 0

• Détails
• Publié le Oct 02, 2022
• Catégorie Management
• Langue French
• Taille du fichier 56.3kB