Un analyste de la sécurité examine les journaux d’un SIEM et remarque une alerte. L’alerte indique qu’un compte utilisateur s’est connecté depuis une adresse IP aux États-Unis, puis, deux minutes plus tard, depuis une adresse IP en Chine. Quelle fonctionnalité/technologie du SIEM est la plus susceptible d’avoir généré cette alerte ?

[A] SOAR

[B] UEBA

[C] CTI

[D] STIX/TAXII

 

reponse linkedin

CBK7 Q18 LINK

 

[A] SOAR (Security Orchestration, Automation and Response)

Le SOAR automatise la réponse aux incidents (enquêtes, containment, notifications).
→ Il n’analyse pas les comportements ni ne génère d’alertes de ce type.
❌ Mauvaise réponse.

[B] UEBA (User and Entity Behavior Analytics)

L’UEBA repose sur des algorithmes de machine learning et d’analyse comportementale pour détecter des écarts par rapport au comportement normal des utilisateurs et entités (terminaux, serveurs…).
→ Typiquement, un scénario de “impossible travel” (connexion depuis deux zones géographiques incompatibles) est une alerte UEBA classique.
✅ Bonne réponse.

[C] CTI (Cyber Threat Intelligence)

La CTI fournit des informations sur les menaces connues (indicateurs de compromission, TTP, acteurs malveillants…).
→ Elle ne génère pas d’alertes comportementales à partir des journaux.
❌ Mauvaise réponse.

[D] STIX/TAXII

Ce sont des formats et protocoles d’échange de renseignement sur la menace (Threat Intelligence).
→ Ils permettent de partager des IOC, mais pas de détecter des anomalies comportementales.
❌ Mauvaise réponse.

La bonne réponse est la proposition [B] UEBA

💼 Plus de 30 ans d’expertise en cybersécurité condensés dans une méthode unique : pédagogie active, rigueur académique et application concrète des 8 domaines du CBK.

💡 En route vers la certification CISSP : https://www.verisafe.fr/formation-cissp

tip

Pour en savoir plus sur la détection et la réponse aux incidents de sécurité nous vous recommandons de suivre le module n°17 de la formation CISSP en distanciel de VERISAFE.

 

Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE