Défense et opérations
SOAR
Définition
Plateforme qui automatise et orchestre les workflows du SOC en enchaînant détections, enrichissements et actions de réponse dans des playbooks exécutés à travers les outils de sécurité.
Exemples
- Un playbook de tri d'hameçonnage qui détone les URL dans un bac à sable, interroge VirusTotal et met l'e-mail en quarantaine.
- Un playbook XSOAR qui isole un hôte dans l'EDR et réinitialise le mot de passe utilisateur en cas de comportement de ransomware.
Termes liés
SIEM
Plateforme qui agrège, normalise et corrèle la télémétrie de sécurité de toute l'entreprise pour la détection, l'investigation, la conformité et le reporting.
Centre des Opérations de Sécurité (SOC)
Équipe et installation centralisées qui surveillent, détectent, analysent et traitent en continu les incidents de cybersécurité sur l'ensemble du système d'information.
Réponse à incident
Processus organisé permettant de préparer, détecter, analyser, contenir, éradiquer puis récupérer suite à un incident de cybersécurité, en capitalisant sur les leçons apprises.
EDR (Endpoint Detection and Response)
Technologie de sécurité d'endpoint qui enregistre en continu l'activité des processus, fichiers, registre et réseau pour détecter, analyser et répondre aux menaces sur les machines.
Renseignement sur les menaces
Connaissance fondée sur des preuves concernant les menaces et leurs auteurs — indicateurs, TTP et contexte — utilisée pour orienter les décisions de sécurité et la détection.
Mean Time to Respond (MTTR)
Mean Time to Respond (MTTR) — definition coming soon.