1. Livres & vidéos
  2. Le Security Operations Center au cœur de la cybersécurité
  3. Les outils du SOC
Extrait - Le Security Operations Center au cœur de la cybersécurité La nécessaire constante évolution du SOC
Extraits du livre
Le Security Operations Center au cœur de la cybersécurité La nécessaire constante évolution du SOC Revenir à la page d'achat du livre

Les outils du SOC

Introduction

Dans le chapitre précédent, nous avons exploré les concepts fondamentaux de la protection et de la supervision informatique. Nous avons également présenté le SIEM (Security Information and Event Management) dans sa fonctionnalité, en comprenant son rôle dans la collecte, la corrélation et l’analyse des événements de sécurité. Toutefois, un SOC ne repose pas uniquement sur un SIEM.

Mais au fond, qu’est-ce qu’un SOC ? La question paraît simple, mais la réponse l’est beaucoup moins. Longtemps perçu comme un centre technique dédié à la supervision de la sécurité regroupant outils et personnes, le SOC a profondément évolué. Ce livre vous propose justement de déconstruire et de reconstruire cette notion tout au long des chapitres. Vous découvrirez dans le chapitre Les outils du SOC les équipes humaines qui composent un SOC et leur rôle opérationnel, puis dans le chapitre Le SOC moderne, vers une supervision unifiée et proactive, les nouveaux piliers qui redéfinissent le SOC moderne.

images/02EP01.png

Dans ce chapitre, nous allons nous plonger plus en détail dans les outils techniques qui composent un SOC et qui permettent de garantir une supervision efficace. Nous allons notamment analyser les différentes facettes du SIEM, son architecture...

SIEM

1. Parsers et mapping des logs

Le bon fonctionnement d’un SIEM repose sur sa capacité à collecter, interpréter et normaliser les logs provenant de diverses sources. Cette étape, appelée parsing et mapping des logs, est essentielle pour garantir une exploitation efficace des événements de sécurité.

a. Rôle du parsing des logs

Lorsqu’un log est ingéré par le SIEM, il est rarement exploitable tel quel. Son format peut varier en fonction de l’équipement, du protocole utilisé et du fournisseur. Le parser est un composant qui permet de décoder, structurer et formater ces logs pour qu’ils puissent être interprétés par le SIEM.

Le parsing permet notamment :

  • d’extraire les champs clés (ex. : adresse IP source, identifiant utilisateur, type d’action effectuée),

  • d’harmoniser les formats de logs issus de différents équipements,

  • de filtrer ou enrichir les événements pour améliorer leur pertinence,

  • d’éviter les erreurs d’interprétation en corrigeant les incohérences syntaxiques ou en complétant les logs partiels.

b. Mapping des logs aux modèles de données

Une fois les logs parsés, ils doivent être mappés à un schéma de données standardisé pour faciliter les requêtes et la corrélation des événements. Cette étape permet :

  • d’uniformiser les informations en alignant les logs sur un format unique (ex. : mappage sur un modèle commun comme le CIM de Splunk ou l’ECS d’Elastic),

  • d’assurer la compatibilité avec les règles de corrélation du SIEM,

  • d’améliorer la recherche et l’analyse en facilitant les filtrages et agrégations de logs.

c. Défis du parsing et du mapping

Un log mal parsé ou non correctement mappé peut être totalement ignoré par le SIEM, le rendant inexploitable pour la corrélation ou la détection d’incidents. Cela réduit significativement la visibilité de la supervision et crée des angles morts dans la détection des menaces. Assurer une prise en charge correcte des logs est donc une priorité pour éviter qu’un événement...

Ticketing

La gestion des tickets est fondamentale dans l’organisation du traitement des incidents de sécurité. Bien qu’il ne s’agisse pas d’un outil de détection ou d’analyse à proprement parler, le ticketing constitue le fil conducteur opérationnel qui relie la détection d’une anomalie à son traitement par les équipes du SOC. Il structure les flux de travail, historise les actions, et assure un suivi rigoureux des incidents de cybersécurité.

1. Définition et rôle du ticketing dans un SOC

Un outil de ticketing est une solution logicielle permettant de centraliser, suivre et documenter les événements, incidents ou demandes traitées par les analystes. Dans le cadre d’un SOC, chaque alerte pertinente issue d’un outil de détection (SIEM, EDR, IDS…) peut potentiellement donner lieu à l’ouverture d’un ticket.

Ce ticket devient alors le point de référence unique pour toutes les actions entreprises sur l’incident : analyses, échanges, enrichissements, escalades, et clôture. Il assure ainsi la traçabilité complète du traitement d’un incident de sécurité.

Parmi ses rôles principaux :

  • formaliser le processus de traitement des alertes,

  • documenter les investigations menées par les analystes,

  • garder une trace des actions correctives,

  • centraliser les échanges entre niveaux d’analystes ou avec d’autres équipes (administrateurs, CSIRT…),

  • assurer un suivi des métriques de performance (SLA, MTTR…),

  • faciliter les audits internes ou externes.

2. Typologie des tickets

Il existe plusieurs types de tickets au sein d’un SOC, selon leur origine et leur nature :

  • Ticket d’alerte :...

Threat Intelligence Platform (TIP)

La Threat Intelligence (TI), ou « cyberveille » en français, est un élément devenu incontournable au sein des SOC modernes. Elle fournit des informations contextualisées et actualisées sur les menaces, permettant aux analystes de mieux comprendre, qualifier et anticiper les attaques informatiques.

1. Définition et objectifs

Pour être pleinement utile, cette intelligence doit être organisée, filtrée, exploitée et intégrée au quotidien. C’est le rôle du Threat Intelligence Management (TIM) : le processus et le cadre méthodologique qui permettent de collecter, structurer, analyser et utiliser efficacement l’information sur les menaces dans le SOC. Le TIM est la discipline qui transforme les données brutes en renseignements exploitables.

Ses objectifs sont multiples :

  • identifier plus rapidement les menaces connues,

  • fournir du contexte aux alertes détectées par le SIEM, l’EDR ou d’autres outils, 

  • prioriser les alertes en fonction de leur dangerosité réelle,

  • partager l’information avec les équipes du SOC ou les partenaires,

  • anticiper certaines campagnes d’attaque ou modes opératoires.

Qu’est-ce qu’une campagne d’attaque ? Dans le domaine de la cybersécurité, une « campagne d’attaque » désigne une série coordonnée et planifiée d’activités malveillantes menées par un acteur de la menace (groupe de cybercriminels, État-nation, etc.) sur une période donnée. Ces campagnes partagent souvent des caractéristiques communes, comme l’utilisation des mêmes outils, tactiques, infrastructures ou cibles, dans le but d’atteindre un objectif spécifique (espionnage, gain financier, sabotage, etc.). La Threat Intelligence permet d’identifier ces schémas pour mieux les contrer.

2. Les types de données de Threat Intelligence

Les bases de Threat Intelligence sont composées de divers types d’informations, essentiels pour une compréhension globale du paysage des menaces :

  • IOC (Indicators of Compromise) : indicateur ayant un verdict malicieux, indiquant qu’il est connu pour être potentiellement dangereux....

Endpoint Detection and Response (EDR)

L’EDR est aujourd’hui l’un des outils les plus stratégiques d’un SOC. Il ne s’agit plus simplement de surveiller les équipements réseau ou de collecter des logs centralisés : l’EDR permet d’avoir une visibilité directe, fine et en temps réel sur les postes de travail et serveurs, là où les attaques se concrétisent.

Contrairement au SIEM, qui dépend fortement de la configuration des logs et de leur exhaustivité, l’EDR agit au plus près de la cible des attaques et comble les angles morts laissés par une supervision basée uniquement sur les journaux.

1. Rôle et fonctionnement d’un EDR

Un EDR est une solution logicielle installée sur les terminaux (endpoints), qu’il s’agisse de postes utilisateurs, de serveurs, de machines virtuelles ou parfois d’équipements spécifiques. Il permet :

  • de surveiller l’activité locale en temps réel ;

  • de détecter des comportements suspects ou malveillants ;

  • d’enregistrer des événements pour analyse post-incident ;

  • de répondre rapidement à une menace (quarantaine, blocage, etc.).

Pour ce faire, l’EDR collecte une multitude de données sur le terminal, telles que :

  • création, modification ou suppression de fichiers ;

  • exécution de processus et scripts ;

  • accès mémoire ;

  • modifications du registre (sous Windows) ;

  • connexions réseau initiées ;

  • activité utilisateur (logon/logoff, élévation de privilège…).

Ces événements sont stockés localement puis remontés vers une console centralisée pour corrélation, visualisation et traitement.

2. Principales fonctionnalités

Voici les fonctions typiques d’un EDR :

  • Détection comportementale : identification de séquences d’événements anormales, même en l’absence d’IOC connu (par exemple, un binaire qui tente de s’élever en privilège juste après s’être copié dans un dossier temporaire).

  • Recherche et investigation : interface d’exploration qui permet de rechercher...

Security Orchestration, Automation and Response (SOAR)

Le SOAR est l’un des piliers modernes du SOC. Il ne s’agit pas seulement d’un outil : c’est un accélérateur de réponse, un réducteur de charge mentale pour les analystes, et un chef d’orchestre silencieux qui veille à ce que chaque alerte, chaque incident, chaque tâche répétitive soit traitée de manière rapide, cohérente et traçable.

L’objectif d’un SOAR n’est pas de détecter, mais de réagir efficacement à ce qui a été détecté. Il intervient donc en aval du SIEM, de l’EDR ou d’un outil IDS/IPS. Là où ces outils remontent des signaux bruts, le SOAR les traite, les enrichit, les contextualise et y répond.

1. Principes fondamentaux

Le SOAR s’articule autour de trois fonctions principales :

  • Orchestration : connecter entre eux les différents outils de sécurité (SIEM, EDR, ticketing, threat intelligence, pare-feu, etc.) afin de centraliser et standardiser les actions.

  • Automatisation : exécuter des tâches répétitives automatiquement selon des règles ou des Playbooks prédéfinis.

  • Réponse aux incidents : aider à contenir, éradiquer, documenter et clôturer les incidents via des processus semi-automatisés ou automatisés.

En simplifiant, un SOAR c’est comme un assistant SOC ultra-réactif, capable de faire en quelques secondes ce qui prendrait plusieurs minutes à un humain.

2. Les Playbooks : cœur du SOAR

Un Playbook est un scénario d’automatisation. Il décrit une séquence d’actions à exécuter lorsqu’un événement ou une alerte survient, ou lorsqu’on souhaite exécuter un Playbook périodiquement. Chaque Playbook peut être déclenché automatiquement par un type d’alerte spécifique, ou manuellement.

3. Playbooks s’exécutant sur une alerte

De manière générale, les Playbooks s’exécutant sur une alerte reçue d’un équipement de sécurité auront une logique similaire :

  • Enrichissement : le SOAR va interroger différents outils...

Sondes IDS

Le rôle des sondes IDS (Intrusion Detection System - Système de détection d’intrusion) est de détecter les tentatives d’intrusion en analysant le trafic réseau. Elles n’empêchent pas l’attaque, mais en permettent la détection.

Historiquement déployées en périphérie de réseau, elles sont aujourd’hui capables de s’intégrer au cœur des infrastructures, et d’inspecter aussi bien le trafic clair que chiffré. Elles sont souvent vues comme les « yeux du SOC sur le réseau ».

1. Fonctionnement général

Une sonde IDS est positionnée en écoute sur un segment réseau stratégique. Elle reçoit une copie du trafic (via port mirroring, SPAN, TAP), qu’elle analyse à la volée.

Deux grands types de détection coexistent :

  • Détection par signature : basée sur une base de règles connues (ex. : un paquet contenant une séquence de commandes suspectes connues pour être utilisées dans une attaque SQLi).

  • Détection comportementale (anomaly-based) : basée sur des profils normaux, avec détection de tout écart significatif (ex. : un poste qui envoie soudainement un grand volume de données vers l’extérieur).

2. IDS vs IPS

Le terme IDS signifie qu’il détecte, enregistre, alerte… mais ne bloque pas.

L’IPS (Intrusion Prevention System - Système de prévention d’intrusion), lui, va bloquer les communications suspectes en temps réel. Il se positionne dans le flux réseau (en ligne), contrairement à l’IDS qui reste passif.

Caractéristique

IDS

IPS

Mode de fonctionnement

En écoute (passif)

En ligne (actif)

Risque de perturbation

Aucun

Possible (latence, blocage)...

Network Detection and Response (NDR)

1. Définition et rôle des solutions NDR

Les solutions NDR (Network Detection and Response) sont conçues pour surveiller et analyser en continu l’ensemble du trafic réseau. Leur objectif principal est de détecter les activités suspectes, les menaces émergentes et les comportements anormaux qui pourraient indiquer une intrusion ou une compromission. En fournissant une visibilité approfondie sur ce qui se passe sur le réseau, de la périphérie jusqu’au cœur, les NDR permettent aux équipes de sécurité de passer d’une posture réactive à une posture proactive, en identifiant les menaces avant qu’elles ne causent des dommages significatifs. Elles sont cruciales pour détecter des attaques qui pourraient échapper aux défenses périmétriques traditionnelles.

2. Comment les NDR vont au-delà des IDS

Si les IDS (Intrusion Detection Systems) se basent principalement sur des signatures pour identifier des menaces connues, les NDR repoussent les limites de la détection. Elles utilisent des techniques bien plus sophistiquées :

  • Analyse comportementale (User and Entity Behavior Analytics - UEBA) : les NDR établissent une ligne de base du comportement réseau "normal" pour chaque entité (utilisateur, appareil, application). Toute déviation par rapport à cette norme...

Web Application Firewall (WAF)

Un WAF (Web Application Firewall) est un dispositif de sécurité spécialisé dans la protection des applications web, mais il joue également un rôle crucial dans la détection des menaces. À la différence des pare-feux traditionnels qui analysent les flux réseau en fonction des adresses IP, ports et protocoles, le WAF inspecte précisément le contenu des requêtes HTTP/HTTPS. Il est ainsi capable de bloquer les attaques ciblant directement les sites web ou les APIs. Sa véritable force réside dans sa spécialisation au niveau de la couche applicative. Au sein d’un SOC, le WAF constitue souvent le premier rempart face aux tentatives d’exploitation des sites exposés sur Internet, et se révèle être un indicateur précieux d’attaques web en cours.

Plus largement, toutes les considérations liées à la supervision des WAF s’appliquent également, par extension, aux pare-feu traditionnels.

1. Pourquoi mentionner le WAF dans un SOC ?

Les sites web sont des portes d’entrée privilégiées pour les attaquants. Un formulaire mal sécurisé, un champ de recherche vulnérable ou une API mal configurée peuvent être exploités pour :

  • voler des données ;

  • injecter du code malveillant ;

  • perturber le fonctionnement du service.

Dans ce contexte, un WAF constitue la première ligne de défense dédiée...

Honeypot

Un honeypot (littéralement « pot de miel ») est un leurre informatique déployé volontairement dans un système d’information pour attirer, détecter, surveiller et étudier les comportements des attaquants. À la différence des autres composants d’un SOC qui cherchent à se défendre, le honeypot se présente comme une cible volontairement exposée, dans le but de piéger les acteurs malveillants.

1. Principe général

Le honeypot simule un système vulnérable ou une ressource attractive (serveur web non patché, base de données mal configurée, port SSH ouvert, etc.). Lorsqu’un attaquant tente de l’exploiter, toute activité est considérée comme suspecte par définition, puisque cette machine ne devrait pas être sollicitée dans le cadre normal du fonctionnement de l’organisation.

Son intérêt est donc double :

  • détection précoce d’attaques ou de scans malveillants ;

  • collecte de renseignements sur les techniques, outils, ou origines des attaques. 

2. Types de honeypots

On distingue plusieurs catégories selon leur usage et leur niveau d’interaction :

  • Honeypots de production : déployés dans un réseau d’entreprise pour détecter les activités...

Sandbox

La sandbox (littéralement « bac à sable ») est un environnement sécurisé et isolé permettant d’exécuter et d’analyser des fichiers suspects, sans risquer de compromettre le système d’information. Dans le cadre d’un SOC, elle joue un rôle dans l’analyse comportementale des malwares, notamment ceux qui échappent à la détection classique par signature ou heuristique.

1. Principe général

Lorsqu’un fichier potentiellement malveillant est détecté (pièce jointe, exécutable téléchargé, document scripté, etc.), il est envoyé dans la sandbox. Là, il est ouvert dans un environnement contrôlé qui imite une machine utilisateur standard. L’objectif est de provoquer l’exécution du fichier, afin d’en observer le comportement :

  • tentatives de connexion vers l’extérieur,

  • création/modification de fichiers système,

  • injections de processus,

  • mouvements latéraux,

  • tentatives d’évasion de la sandbox,

  • téléchargements additionnels.

Chaque action est enregistrée avec de possibles captures d’écran, analysée et résumée sous forme d’un rapport technique ou d’un score de dangerosité.

En plus des fichiers, certaines sandboxes peuvent également analyser des URL ou des pages web, afin de détecter du phishing, de l’hébergement de malwares, ou des redirections malicieuses.

2. Exemples de fichiers analysés

Les sandboxes sont conçues pour traiter une large variété de fichiers :

  • fichiers exécutables (.exe, .dll, .bat, .ps1, etc.) ;

  • documents bureautiques (.doc, .xls, .ppt, .pdf) incluant des macros ou des liens ; vers des ressources...

Outils complémentaires au SOC, hors périmètre direct de supervision

Un SOC ne se limite pas aux outils destinés à la collecte, l’analyse et la détection des événements de sécurité. D’autres composants, bien qu’extérieurs à la supervision pure, jouent un rôle fondamental dans l’écosystème global de la cybersécurité. Ils interviennent en support, en renfort, ou en complément des actions du SOC, contribuant à la résilience, la traçabilité et la maîtrise des accès au sein de l’environnement informatique.

Dans cette section, nous allons présenter plusieurs de ces outils : bastion, NAS, outils de gestion des accès, et autres ressources que l’on retrouve fréquemment dans les environnements sécurisés.

1. Bastion

Le bastion est un système d’accès sécurisé utilisé pour contrôler, filtrer et tracer les connexions à des systèmes sensibles (serveurs, équipements réseau, etc.). Il agit comme une porte d’entrée unique vers les ressources critiques, en interposant une couche de contrôle entre l’utilisateur et la cible.

Principales fonctions d’un bastion :

  • authentification centralisée des utilisateurs ;

  • journalisation complète des actions (écran, commandes, transferts de fichiers) ;

  • séparation des flux (pas d’accès direct à la cible) ;

  • contrôle des droits (par profil, par rôle, par plage horaire) ;

  • relecture et export des sessions.

L’intérêt pour le SOC est double : le bastion renforce la sécurité des accès tout en offrant des logs extrêmement riches...