Bonjour,
Voila ce n'est pas un exercice technique mais plutôt de logique : j'ai implémenté un IDS (Suricata), et affiché les alertes relevées par Suricata dans un serveur web jusque la aucun souci.
Ce qu'il faudrait, c'est alerter la direction technique lorsqu'il y a vraiment besoin.
J'ai donc établi la liste suivante des conditions requises pour alerter la direction technique en temps réel :
- Suricata relève une alerte applicative en entrée et une trame est renvoyée en sortie (ce qui veut dire que le serveur a traité la requête ayant relevée une alerte), sauf pour de l'authentification
- Un des serveurs répond à une IP ayant fait un scan de port.
- Une IP réussit à se connecter après X essais infructueux ou bien une IP tente plusieurs ogin/mdp infructueux en un temps donné.
- Utilisation d’un protocole non utilisé dans l'infrastructure.
- Attaque de type DOS/DDOS
- une IP est souvent sujette à alertes
Si vous avez d'autres idées je suis preneur.
Merci !
Partager