Skip to content

Comment établissez-vous un référentiel de la normalité, et comment vous aide-t-il à détecter les anomalies ?

Réponse courte

Un référentiel est un modèle du comportement normal d'un hôte, d'un utilisateur, d'un compte ou d'un segment réseau — quels processus s'exécutent, qui se connecte d'où et quand, les volumes de données typiques, les intervalles normaux de beaconing. Une fois la normalité connue, les anomalies (paires processus parent-enfant rares, binaires vus pour la première fois, connexions à des heures inhabituelles, exfiltration de données inhabituelle) deviennent détectables comme des écarts. L'établissement d'un référentiel est le fondement de la détection d'anomalies, mais il exige un historique propre suffisant et une gestion soigneuse des changements légitimes pour ne pas se noyer sous les faux positifs.

La détection d'anomalies ne fonctionne que si l'on sait ce qu'est le normal. L'établissement d'un référentiel est la discipline qui consiste à construire cette image de la normalité afin que l'anormal — là où vivent les adversaires — ressorte visiblement.

Ce que vous référencez

  • Comportement des processus — quels exécutables s'exécutent sur un hôte, leurs parents typiques et les motifs de ligne de commande. Un winword.exe engendrant un powershell.exe est un écart qui mérite un coup d'œil.
  • Identité — quand et d'où chaque utilisateur se connecte, quels systèmes il touche, à quoi ressemble son activité de rôle normale.
  • Réseau — destinations typiques, volumes de données et cadence des connexions par hôte.
  • Fréquence / rareté — analyse de « première occurrence » et de moindre fréquence : un binaire ou un domaine vu une seule fois sur l'ensemble du parc est intéressant précisément parce qu'il est rare.

Transformer le référentiel en détection

Avec un référentiel, les anomalies deviennent des requêtes : binaires vus pour la première fois cette semaine, connexions en dehors des heures historiques d'un utilisateur, un hôte exfiltrant soudain 50 fois son volume normal, ou une nouvelle relation processus parent-enfant. Ce sont des hypothèses qu'un chasseur teste.

Le hic : le changement aussi est normal

Les environnements évoluent — nouveaux logiciels, nouvelles recrues, nouveaux horaires d'ouverture. Un détecteur d'anomalies naïf signale chaque changement légitime et entraîne les analystes à l'ignorer. Un bon référentiel tient compte de la saisonnalité, se maintient dans le temps et associe la rareté statistique au contexte avant d'alerter.

Pourquoi c'est important

Les recruteurs veulent vous entendre comprendre à la fois la puissance et le mode de défaillance de la détection d'anomalies : elle fait remonter des menaces inconnues, mais sans un référentiel maintenu et conscient du contexte, elle devient une machine à faux positifs.

Questions de suivi probables

  • Qu'est-ce qui rend la détection par anomalie sujette aux faux positifs ?
  • Quelle durée de fenêtre de référence vous faut-il, et pourquoi ?
  • Donnez un exemple d'anomalie de type « première occurrence » digne d'une chasse.

Sources

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.