Recommandation d'exploration pour l'investigation d'incidents de sécurité / Exploration recommendations for the investigation of security incidents.

Recommandation d'exploration pour l'investigation d'incidents de sécurité
English version below

Résumé :

Ces dernières années, les analystes en cybersécurité doivent faire face à des obstacles grandissants dans leur activité. Non seulement les données à investiguer sont hétérogènes, contiennent trop de dimensions, ou sont simplement incomplètes, mais aussi les attaques et attaquants se multiplient, créant une pénurie d'experts du domaine. De nombreux outils visent à soulager leur charge de travail, notamment pendant la réponse à incident, mais ce n'est pas suffisant. Les travaux de la thèse réalisée par Romain Brisse consistent à trouver des méthodes pour faciliter la phase investigative de la réponse à incident. Ils se focalisent notamment sur l'utilisation de systèmes de recommandation proposant des chemins d'exploration dans les journaux d'événements à investiguer. Les contributions de la thèse comportent deux systèmes de recommandation. Le premier, KRAKEN, repose sur l'utilisation de connaissances expertes de la communauté cyber, permettant de reconnaître l'attaque observée dans les données et de recommander les champs les plus pertinents à explorer. La seconde contribution s'inscrit dans une certaine continuité avec la première, car ayant remarqué la difficulté pour un système de recommandation à comprendre l'intention d'un analyste, un deuxième système de recommandation (MIMIR) se base sur une modélisation de ces intentions pendant une investigation afin de recommander la marche à suivre dans la suite de celle-ci. Finalement, s'intéressant aux problématiques d'évaluation et de manque de données cyber, une dernière contribution est faite sous la forme d'un exercice (CERBERE) pendant lequel des données permettant non seulement l'évaluation mais aussi l'amélioration des systèmes de recommandation sont générées et investiguées par les participants.

----------------------------

Exploration recommendations for the investigation of security incidents.

Abstract :

In recent years, cybersecurity analysts have encountered growing challenges in their field. Not only are the data they investigate heterogeneous, multidimensional or simply incomplete, but also the number of attacks and attackers is increasing, leading to a shortage of experts in the domain. While numerous tools aim to alleviate their workload, particularly during incident response, they fall short. Romain Brisse's thesis work focuses on developing methods to facilitate the investigative phase of incident response, specifically leveraging recommendation systems that propose exploration paths in event logs. The thesis contributions include two recommendation systems. The first, KRAKEN, relies on expert knowledge from the cyber community to recognize attacks in data and recommend the most relevant fields to explore in order to identify them. The second contribution aligns with the first, as it addresses the challenge of recommendation systems understanding an analyst's intent. The second system, MIMIR, is based on modelling these intentions during an investigation to suggest the subsequent investigation steps. Finally, addressing evaluation challenges and the lack of cyber data in the field, a final contribution takes the form of an exercise (CERBERE) during which data for the evaluation and improvement of recommendation systems are generated and investigated by participants.