ATCHAHOUE

DESTIN

0%

Retour aux projets

Cyber2024

ShieldOps

Centre de sécurité opérationnel avec monitoring 24/7, corrélation d'événements SIEM, détection d'anomalies par ML et workflows de réponse aux incidents automatisés.

Client

Entreprise multi-sites

Stack

ReactElasticsearchPythonKafkaGrafana

Fonctionnalités

SIEM

Détection ML

Réponse auto

24/7 monitoring

Infos

CatégorieCyber

Année2024

Écrans5

Technologies5

Maquettes

5 écrans

ℹ

Les noms de domaine affichés sont purement illustratifs. Par souci de confidentialité, les vrais domaines des projets ne peuvent être divulgués.

01Centre SOC

desktop

⌘ shieldops.internal/soc

SOC Actif — 24/7

Rechercher menaces...

Analyste: A. Moreau

AM

Centre de Commande SOC

Dernières 24h ▾

NIVEAU MENACE

ÉLEVÉ

INCIDENTS ACTIFS

7

ALERTES 24H

342

ÉVÉNEMENTS/SEC

12,847

AGENTS ACTIFS

156/160

Carte des Menaces — Temps Réel

EUROPEASIEAMÉRIQUES

Critique Moyen Faible

Timeline Activité

14:47

Tentative brute-force SSH détectée

14:32

Scan de ports depuis 185.220.x.x

14:15

Connexion VPN suspecte — Russie

13:58

Règle SIEM #47 déclenchée

13:42

Malware bloqué — Endpoint #89

13:30

Patch critique appliqué — 12 serveurs

13:15

Audit automatique terminé — Zone B

Incidents Actifs

7 en cours

SEVIDDESCRIPTIONSOURCEASSIGNÉSTATUTDEPUIS

●INC-401Exfiltration données suspecteDLPA. MoreauEnquête2h 12min

●INC-399Ransomware détecté — SandboxEDRS. PetitConfiné4h 30min

●INC-398Phishing ciblé — 3 utilisateursEmail GWL. ChenAnalyse6h 15min

●INC-396Accès non autorisé — API interneWAFA. MoreauEnquête8h 45min

●INC-395Certificat SSL expirant — 3 joursScannerÉquipe infraPlanifié12h

Couverture MITRE ATT&CK

Reconnaissance

Accès Initial

Exécution

Persistance

Escalade

Évasion

Collecte

Couverture globale: 78%|156 règles actives|Dernière mise à jour: Il y a 4h

02Incident détail

desktop

⌘ shieldops.internal/incidents/INC-401

← Retour aux incidents

INC-401CRITIQUE

Exfiltration de données suspecte

Transfert de données volumineux détecté vers une IP externe non répertoriée.

DLPDATA LOSSEXFILTRATION

SÉVÉRITÉ

Critique

STATUT

Enquête

ASSIGNÉ

A. Moreau

CRÉÉ

14:35 — 07/02/2025

Détails de l'incident

Source IP192.168.12.45 (Poste-HR-07)

Destination IP185.220.101.34 (RU)

ProtocoleHTTPS (443) — DNS tunneling suspecté

Volume transféré2.4 GB en 47 minutes

Utilisateurj.martin@entreprise.com

Fichiers touchés347 fichiers — /data/clients/

Règle SIEM#R-047 — Exfiltration volumétrique

MITRE ATT&CKT1048 — Exfiltration Over Alternative Protocol

Assets impactés

Poste-HR-07EndpointWindows 11Isolé

SRV-DB-03ServeurUbuntu 22.04Surveillé

NAS-BACKUP-01StockageSynology DSMVérifié

Chronologie

Endpoint isolé du réseau

16:47 — A. Moreau

Analyse forensique démarrée

16:30 — A. Moreau

Incident escaladé — Sévérité Critique

15:58 — Système

Playbook PB-012 déclenché

15:45 — Automatique

Alerte DLP — Transfert volumineux

15:20 — SIEM

Incident créé automatiquement

14:35 — Système

Première détection — Règle #R-047

14:33 — SIEM

Actions recommandées

✓Réinitialiser credentials j.martin

✓Analyse complète endpoint HR-07

Vérifier accès NAS dernières 72h

Notifier DPO (violation données)

Rapport d'incident complet

Notes d'investigation

A. Moreau16:50

Endpoint isolé. Première analyse montre un processus svchost.exe modifié lançant des requêtes DNS encodées. Probablement DNS tunneling via un outil type dnscat2. Forensique en cours.

S. Petit15:30

Alerte confirmée. Le volume de transfert est anormal pour ce poste. Données client potentiellement compromises. DPO à notifier sous 72h (RGPD).

03Règles SIEM

desktop

⌘ shieldops.internal/rules

Rechercher règles...

AM

Règles SIEM

156 règles actives • 23 personnalisées • 133 fournisseur

ToutesActivesDésactivéesPersonnaliséesCritiques

Catégorie: Toutes ▾

SEVIDNOMCATÉGORIESOURCEDÉCL. 24HFAUX POS.STATUT

●R-047Exfiltration volumétriqueData LossCustom32%

●R-031Brute-force SSH (>10 tentatives)AuthSigma125%

●R-028Ransomware IOC détectéMalwareCustom10%

●R-055Scan de ports externeReconSigma4712%

●R-062Connexion VPN géo-impossibleAuthCustom28%

●R-071Modification Group PolicyPersistenceSigma03%

●R-089Accès fichier sensible hors horaireData AccessCustom515%

●R-095Nouveau service installéExecutionSigma822%

R-047 — Exfiltration volumétrique

// Détection exfiltration données

WHEN network.bytes_out > 500MB

AND time_window = 60min

AND destination.geo NOT IN ["FR", "EU"]

AND process.name NOT IN whitelist

THEN alert(severity="CRITICAL")

AND create_incident()

AND notify(channel="soc-critical")

Créée: 15/01/2025

Modifiée: 03/02/2025

Auteur: A. Moreau

MITRE: T1048

TOTAL DÉCLENCHEMENTS 24H

342

↓ 8% vs hier

TAUX FAUX POSITIFS

7.2%

Objectif: <5%

TEMPS MOYEN DÉTECTION

4.2 min

↓ 1.3 min vs mois dernier

04Playbooks SOAR

desktop

⌘ shieldops.internal/playbooks

Rechercher playbooks...

AM

Playbooks SOAR

18 playbooks • 12 automatisés • 6 semi-manuels

PB-001AUTO

Réponse Ransomware

Isolation, analyse, restauration et notification

Trigger: Alerte EDR malware

12 étapes3 exécutionsDernier: Il y a 4h

PB-012AUTO

Exfiltration Données

Confinement réseau, forensique, notification DPO

Trigger: Règle SIEM R-047

9 étapes7 exécutionsDernier: Il y a 2h

PB-005AUTO

Phishing Détecté

Quarantaine email, vérification endpoints, alerte utilisateurs

Trigger: Email Gateway alert

8 étapes24 exécutionsDernier: Hier

PB-008AUTO

Brute-Force Auth

Blocage IP, reset credentials, investigation

Trigger: Règle SIEM R-031

6 étapes15 exécutionsDernier: Il y a 6h

PB-015SEMI-MANUEL

Vulnérabilité Critique

Évaluation impact, patch prioritaire, validation

Trigger: Scanner vulnérabilités

10 étapes8 exécutionsDernier: 3 jours

PB-018SEMI-MANUEL

Accès Non Autorisé

Révocation accès, audit trail, rapport conformité

Trigger: WAF / IAM alert

7 étapes5 exécutionsDernier: Hier

PB-012 — Exfiltration Données (Flux)

1

Détection

Alerte SIEM reçue

AUTO

2

Isolation

Isoler endpoint du réseau

AUTO

3

Collecte

Capture mémoire + disque

AUTO

4

Analyse

Forensique automatisée

AUTO

5

Évaluation

Analyste vérifie résultats

MANUEL

6

Confinement

Bloquer IP + révoquer accès

AUTO

7

Notification

DPO + Management

AUTO

8

Remédiation

Nettoyage + restauration

MANUEL

9

Clôture

Rapport + leçons apprises

MANUEL

Historique d'exécution

DATEPLAYBOOKINCIDENTDURÉEÉTAPESRÉSULTAT

07/02 14:35PB-012INC-4012h 12min7/9En cours

06/02 09:12PB-005INC-39745min8/8Résolu

05/02 22:30PB-008INC-39418min6/6Résolu

04/02 15:00PB-001INC-3903h 45min12/12Résolu

05Rapports

desktop

⌘ shieldops.internal/reports

Rechercher...

AM

Rapports de Sécurité

Conformité, audits et synthèses opérationnelles

Synthèse Exécutive — Février 2025

Généré le 07/02/2025

SCORE SÉCURITÉ

82/100

↑ +4

INCIDENTS RÉSOLUS

23/24

96%

MTTR

2h 34min

↓ 18min

CONFORMITÉ RGPD

94%

↑ 2%

1 Fév7 Fév14 Fév21 Fév28 Fév

État de Conformité

ISO 27001CONFORME

96%

Dernier audit: 12/01/2025

Prochain: 12/07/2025

RGPDCONFORME

94%

Dernier audit: 15/01/2025

Prochain: 15/04/2025

PCI-DSSEN COURS

88%

Dernier audit: En cours

Prochain: —

Rapports Récents

RAPPORTTYPEPÉRIODESTATUTPAGESACTION

Synthèse SOC Hebdo #06Opérationnel03-09 FévPublié24↓ PDF

Audit Vulnérabilités Q1AuditJan-Mars 2025En cours—↓ PDF

Rapport Incident INC-390Incident04/02/2025Publié18↓ PDF

Conformité RGPD TrimestrielConformitéQ4 2024Publié32↓ PDF

Pentest Externe — RésultatsPentestJan 2025Confidentiel45↓ PDF

Revue Politique SécuritéGouvernance2025Brouillon12↓ PDF

Résumé Vulnérabilités

CRITIQUES

2

↓ 1 vs mois dernier

HAUTES

8

= 0 vs mois dernier

MOYENNES

34

↓ 5 vs mois dernier

FAIBLES

67

↑ 3 vs mois dernier

Projet suivantScanForge