P.I.L.O.T.E

❯

❯

❯

❯

07_UEBA_SOAR_TI

07 août 20251 min de lecture

07 - Intégrations avancées : UEBA, SOAR, Threat Intelligence

Info

Ce chapitre explore les capacités de SIEM avancées, intégrées ou optionnelles, essentielles à un environnement moderne

🧠 UEBA (User and Entity Behavior Analytics)

Analyse des comportements utilisateurs et machines
Détection d’écarts par rapport à une base comportementale apprise
Scoring de risque utilisateur
Utilise l’intelligence artificielle (ML)

Example

Détection de logon à 3h du matin depuis un pays inhabituel = alerte

⚙️ SOAR (Security Orchestration, Automation and Response)

Playbooks automatisés (ex : blocage IP, désactivation compte…)
Réduction du MTTR
Intégration avec EDR, firewall, IAM, etc.

Tip

Les SIEM modernes proposent des interfaces low-code/no-code pour créer des réponses automatiques.

🌐 Threat Intelligence

Flux de renseignements sur les menaces (IP, domaines, hash…)
Enrichissement des alertes SIEM
Support des formats STIX/TAXII, OTX, etc.
Corrélation avec les indicateurs réseau/système

Info

Certaines plateformes proposent aussi l’injection de threat intel interne ou sectorielle.

🔗 Intégration des trois couches

UEBA fournit le contexte comportemental
Threat Intel fournit les IoC/IoA externes
SOAR automatise la réponse en cas de détection

Vue Graphique

07 - Intégrations avancées : UEBA, SOAR, Threat Intelligence
🧠 UEBA (User and Entity Behavior Analytics)
⚙️ SOAR (Security Orchestration, Automation and Response)
🌐 Threat Intelligence
🔗 Intégration des trois couches

Créé avec Quartz v4.5.1 © 2025

GitHub