Recherches récentes

Aucune recherche récente

    Articles populaires

      Articles
      Afficher tout
        Sujets
        Afficher tout
          Tickets
          Afficher tout
            aucun résultat

            Désolé ! aucun résultat trouvé pour

            Moteur de corrélation et paramétrage avancé des règles

            Modifié le  Lun, 23 Févr. à 5:17 H

            1) Moteur de corrélation et mécanismes de déclenchement


            Nucleon XDR intègre un moteur de corrélation permettant de détecter des scénarios d’attaque complexes en reliant plusieurs événements issus d’une ou plusieurs sources. La plateforme supporte les quatre types de corrélation exigés, notamment :


            • Déclenchement simple (Single Query) : déclenchement sur un événement ou une condition unique correspondant à une règle de corrélation.
            • Corrélation temporelle (Temporal) : corrélation d’événements dans une fenêtre de temps, avec prise en charge de mécanismes de group-by, alias et agrégation pour reconstituer des séquences d’attaque.
            • Corrélation par compteur (Event Count / seuil) : déclenchement lorsque le nombre d’occurrences dépasse un seuil défini (ex. tentatives multiples, répétition d’un comportement).
            • Appariement statique (Static Match) : corrélation par comparaison avec des référentiels statiques (listes d’IoC, IPs malveillantes, comptes sensibles, inventaires, etc.).



            Ces règles sont éditables et administrables via la console (modification, activation/désactivation), avec une structure standard incluant les champs de corrélation, la logique, la sévérité et le mapping MITRE ATT&CK pour faciliter l’exploitation SOC.


            2 ) Paramétrage avancé des règles de corrélation


            Nucleon XDR permet un paramétrage avancé des règles de corrélation, incluant :

            • Définition des fenêtres temporelles (time window / timespan) pour corréler les événements sur une période donnée.

            • Réglage des seuils (event count) afin de déclencher une alerte selon le volume ou le nombre d’occurrences.

            • Mécanismes de regroupement (group-by) et d’alias, permettant d’agréger et de relier les événements pertinents.

            • Utilisation de référentiels statiques (listes de référence, IoC, objets sensibles, etc.) pour améliorer la précision des appariements.


            La plateforme permet également la simulation et la prévisualisation des corrélations avant mise en production, afin de valider la logique, évaluer l’impact (matches attendus, faux positifs) et sécuriser l’activation des règles.

            Cet article a-t-il été utile ?

            C'est super !

            Merci pour votre commentaire

            Désolé ! Nous n'avons pas pu vous être utile

            Merci pour votre commentaire

            Dites-nous comment nous pouvons améliorer cet article !

            Sélectionner au moins l'une des raisons

            Commentaires envoyés

            Nous apprécions vos efforts et nous allons corriger l'article

            Aperçu
            0 de 0