Un éditeur de solutions de Cybersécurité vient de lancer un nouveau produit capable de détecter des actions malveillantes dans les systèmes d’information des entreprises. Ce produit, basé sur une technologie innovante, utilise des algorithmes d’apprentissage automatique pour créer une base de référence des comportements normaux des utilisateurs et des systèmes. Ainsi, une fois la phase d’apprentissage terminée, le produit est capable d’identifier tout comportement anormal ou suspicieux dans le système d’information et de remonter une alerte de sécurité à destination du SOC de l’entreprise. Dans quelle catégorie peut-on ranger ce produit ?
[A] SIEM
[B] EDR
[C] SOAR
[D] UEBA
Pour répondre facilement aux questions où toutes les réponses sont des abréviations, la meilleure façon est d’essayer, dans sa préparation à l’examen, d’apprendre et surtout de comprendre ce que signifient ces abréviations. Cela permet de bien mieux les mémoriser. C’est la raison pour laquelle VERISAFE a créé un dictionnaire des 200 sigles les plus utilisés en cybersécurité. Il fait partie des ressources disponibles dans notre formation CISSP.
SIEM acronyme de Security Information and Event management signifie gestion des informations et des évènements de sécurité. Le SIEM peut effectivement permettre de détecter des comportements anormaux des utilisateurs ou des systèmes encore faut-il avoir mis en place les bons agents pour remonter ces infos dans le SIEM et de disposer de règles pertinentes mis en œuvre par les analystes SOC. Un SIEM va d’ailleurs au-delà du périmètre décrit dans la question et permet de détecter d’autres types d’attaques notamment via des indicateurs de compromission (IoC). Le SIEM facilite également la réponse à incident mais cela n’est pas mentionnée dans la question. Alors à ce stade, on ne peut pas écarter cette proposition [A] mais voyons si nous n’avons pas une meilleure réponse dans les autres propositions.
EDR est l’abréviation de Endpoint Detection and Response. Ici on focalise sur le « Endpoint », le poste client qui n’est pas cité dans la question. On parle également de « Response », terme qui n’est également pas évoqué dans la question : on élimine.
SOAR est le sigle de Security Orchestration Automation and Response. Il n’y a ici aucun mot qui se rapporte à notre question, on peut également éliminer sans problème.
Et puis enfin UEBA est l’abréviation de User and Entity Behavior Analytics. Que veut dire “Behavior” ? c’est le comportement, la façon d’agir. « User » se rapporte bien sûr aux utilisateurs. « Entity » dans ce contexte ce sont des entités autres que des personnes (systèmes, devices, applications, process,…). Et pour finir, « Analytics » se passe je crois de tout commentaire. Bingo ! Un truc qui analyse le comportement des utilisateurs et des applications et qui signale des dérives c’est bien sûr UEBA.
La bonne réponse est la proposition [D] UEBA
Pourquoi le SIEM n’est-il pas la bonne réponse ?
On l’a vu il y a un instant, le SIEM couvre un périmètre beaucoup plus large en matière de détection et facilite également la réponse à incident. Il faut bien comprendre que pour toute question du CISSP on doit chercher LA MEILLEURE réponse, celle qui répond LE MIEUX à la question. Et clairement UEBA répond EXACTEMENT à la question posée.
J’avais également inséré une autre indication dans la question pour éviter que vous fassiez l’erreur de choisir SIEM. Je dis dans la question que le produit est capable d’identifier un comportement anormal dans le SI et de remonter une alerte de sécurité à destination du SOC. Et où remonte t-on les alertes de sécurité dans un SOC ? Dans un SIEM… Et donc le SIEM est le récepteur de l’info et la question nous demande d’identifier le produit émetteur qui alimente le SIEM. Il n’y a donc ici aucune ambiguïté sur la réponse à donner.
Pour en savoir plus sur la détection et la réponse aux incidents de sécurité nous vous recommandons de suivre le module n°17 de la formation CISSP de VERISAFE.
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE
