08 - Scénarios d’incidents et cas d’usage
Info
Cas concrets illustrant la détection, l’investigation et la remédiation via un SIEM
📍 Scénario 1 : exfiltration de données
Déroulé :
- Logon VPN suspect (localisation inhabituelle)
- Échec → succès → accès à serveur SQL
- Export massif de données
- Événement détecté par corrélation + seuils
Réponse :
- Alerte prioritaire
- Blocage VPN
- Notification SOC
- Restauration état antérieur
📍 Scénario 2 : élévation de privilèges
- Création utilisateur inattendue
- Attribution droits admin
- Connexion admin à un horaire inhabituel
→ Corrélation + scoring UEBA → alerte
📍 Scénario 3 : malware furtif
- Accès vers IP malveillante
- Téléchargement fichier .exe
- Exécution → connexion à un C2
- Mouvements latéraux
→ Alertes multiples corrélées → visualisation graphique
📊 Investigation
- Timeline graphique des événements
- Agrégation des logs liés
- Corrélation enrichie par Threat Intel
- Rapport PDF généré automatiquement
🧰 Workflows type (SOAR)
- Fermeture session + ticket ITSM
- Notification DSI + RSSI
- Blocage de l’utilisateur ou de l’IP
- Rétro-analyse sur d’autres endpoints