Un éditeur de solutions de Cybersécurité vient de lancer un nouveau produit capable de détecter des actions malveillantes dans les systèmes d’information des entreprises. Ce produit, basé sur une technologie innovante, utilise des algorithmes d’apprentissage automatique pour créer une base de référence des comportements normaux des utilisateurs et des systèmes. Ainsi, une fois la phase d’apprentissage terminée, le produit est capable d’identifier tout comportement anormal ou suspicieux dans le système d’information et de remonter une alerte de sécurité à destination du SOC de l’entreprise. Dans quelle catégorie peut-on ranger ce produit ?

[A] SIEM

[B] EDR

[C] SOAR

[D] UEBA


reponse linkedin

LK CBK7 Q01


Pour répondre facilement aux questions où toutes les réponses sont des abréviations, la meilleure façon est d’essayer, dans sa préparation à l’examen, d’apprendre et surtout de comprendre ce que signifient ces abréviations. Cela permet de bien mieux les mémoriser.

SIEM acronyme de Security Information and Event management signifie gestion des informations et des évènements de sécurité. Le SIEM peut effectivement permettre de détecter des comportements anormaux des utilisateurs ou des systèmes encore faut-il avoir mis en place les bons agents pour remonter ces infos dans le SIEM et de disposer de règles pertinentes mis en œuvre par les analystes SOC. Un SIEM va d’ailleurs au-delà du périmètre décrit dans la question et permet de détecter d’autres types d’attaques notamment via des indicateurs de compromission (IoC). Le SIEM facilite également la réponse à incident mais cela n’est pas mentionnée dans la question. Alors à ce stade, on ne peut pas écarter cette proposition [A] mais voyons si nous n’avons pas une meilleure réponse dans les autres propositions.

EDR est l’abréviation de Endpoint Detection and Response. Ici on focalise sur le « Endpoint », le poste client qui n’est pas cité dans la question. On parle également de « Response », terme qui n’est également pas évoqué dans la question : on élimine.

SOAR est le sigle de Security Orchestration Automation and Response. Il n’y a ici aucun mot qui se rapporte à notre question, on peut également éliminer sans problème.

Et puis enfin UEBA est l’abréviation de User and Entity Behavior Analytics. Que veut dire “Behavior” ? c’est le comportement, la façon d’agir. « User » se rapporte bien sûr aux utilisateurs. « Entity » dans ce contexte ce sont des entités autres que des personnes (systèmes, devices, applications, process,…). Et pour finir, « Analytics » se passe je crois de  tout commentaire. Bingo ! Un truc qui analyse le comportement des utilisateurs et des applications et qui signale des dérives c’est bien sûr UEBA.

La bonne réponse est la proposition [D] UEBA

Pourquoi le SIEM n’est pas la bonne réponse SIEM ?
On l’a vu il y a un instant, le SIEM couvre un périmètre beaucoup plus large en matière de détection et facilite également la réponse à incident. Il faut bien comprendre que pour toute question du CISSP on doit chercher LA MEILLEURE réponse, celle qui répond LE MIEUX à la question. Et clairement UEBA répond EXACTEMENT à la question posée.
J’avais également inséré une autre indication dans la question pour éviter que vous fassiez l’erreur de choisir SIEM. Je dis dans la question que le produit est capable d’identifier un comportement anormal dans le SI et de remonter une alerte de sécurité à destination du SOC. Et où remonte t-on les alertes de sécurité dans un SOC ? Dans un SIEM… Et donc le SIEM est le récepteur de l’info et la question nous demande d’identifier le produit émetteur qui alimente le SIEM. Il n’y a donc ici aucune ambiguïté sur la réponse à donner.


Question et réponse rédigées par VERISAFE selon le programme officiel du CISSP (mai 2021)
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE