Beaucoup de professionnels de la cybersécurité ne maîtrisent pas les rôles et missions clés des équipes Blue Team, créant des failles dans la défense des systèmes.
Une compréhension limitée de ces responsabilités peut entraîner une mauvaise coordination, des réponses tardives face aux menaces et une sécurité globale affaiblie.
Cet article vous guide à travers les métiers essentiels de la Blue Team, leurs tâches, et les compétences requises pour renforcer la posture défensive de votre organisation contre les cyberattaques.
Introduction
Blue Teaming vous ouvre les portes de la cyberdéfense en vous permettant d’acquérir les compétences essentielles pour protéger les organisations contre les menaces numériques. Vous explorerez les missions variées des équipes bleues, telles que le Threat Hunting et l’analyse du risque, avec une approche pratique représentant 80% de l’apprentissage.
Cet article vous prépare aux métiers clés de la sécurité informatique, comme l’Analyste SOC et le Threat Hunter, en vous fournissant les outils et les connaissances nécessaires pour relever les défis de la sécurité défensive.
De plus, vous plongerez dans la Cyber Threat Intelligence, découvrirez les normes et standards du Blue Teaming, et maîtriserez des compétences techniques telles que l’analyse de flux réseaux avec Wireshark, rendant votre formation complète et adaptable aux besoins concrets du marché de la cybersécurité.
Appréhender la relation entre les Blue, Red et Purple Team
Blue Team : L’équipe Blue est chargée de défendre les systèmes et réseaux contre les cyberattaques, mettant en place des mesures de sécurité et surveillant les activités pour assurer la protection. Pour rejoindre la Blue Team, plusieurs compétences sont requises, allant des Compétences Soft Skills :
- Autodidacte
- Autonomie et organisation
- Capacité d’analyse et de synthèse
- Rigueur
- Méthodologique
- Qualité rédactionnelle
- Communication
- L’art du KISS (Keep It Simple Stupid)
En parlent maintenant sur des hards skills les compétences techniques représentent ci-dessus :
- Purple Team (cauchemar en entreprise) : La Purple Team combine les approches Blue et Red, encourageant la collaboration pour évaluer les défenses, partager les connaissances et améliorer la posture globale de sécurité.
- Red Team : L’équipe Red simule des attaques réalistes pour identifier les vulnérabilités et renforcer la résilience en testant les défenses d’une organisation.
Red Team vs Pentest : Comparaison en Sécurité Blue Team
Connaissance de l'exercice par la Blue Team
- Red Team : La Blue Team (équipe de défense interne) n’est pas informée à l’avance de l’exercice de Red Team, ce qui permet de simuler au mieux un scénario réaliste.
- Pentest : La Blue Team est généralement informée du Pentest, permettant une collaboration plus étroite et des résultats plus ciblés.
Périmètre de l'exercice de la Blue Team
- Red Team : Le périmètre de l’exercice de Red Team est souvent plus grand, simulant une attaque complète sur l’ensemble du réseau ou de l’organisation.
- Pentest : Le périmètre du Pentest est généralement plus restreint, se concentrant sur des cibles spécifiques ou des systèmes particuliers.
Remontée des vulnérabilités par la Blue Team
- Red Team : Les vulnérabilités sont remontées en suivant une trajectoire d’un point A à un point B, simulant ainsi le cheminement réel d’un attaquant.
- Pentest : Les vulnérabilités sont identifiées sur l’ensemble du scope défini, offrant une vue globale des faiblesses potentielles.
Ingénierie Sociale sur les Réseaux Sociaux en Sécurité Blue Team
- Red Team : L’ingénierie sociale, y compris sur les réseaux sociaux, est souvent intégrée dans les exercices de Red Team pour évaluer la réponse des utilisateurs.
- Pentest : L’ingénierie sociale sur les réseaux sociaux n’est généralement pas une composante standard des Pentests, qui se concentrent davantage sur les aspects techniques.
Nécessité d'une White Team en Sécurité Blue Team
- Red Team : Souvent, un exercice de Red Team nécessite une White Team, qui joue le rôle d’observateur neutre, évaluant les performances de la Blue Team.
- Pentest : La nécessité d’une White Team est moins courante dans les Pentests, où la collaboration avec la Blue Team est plus directe.
En résumé, le Red Teaming vise à simuler une attaque complète de bout en bout, tandis que le Pentest se concentre souvent sur des aspects spécifiques de la sécurité. Les deux approches sont complémentaires et contribuent à renforcer la résilience d’une organisation face aux cybermenaces.
Découvrir les métiers liés au Blue Teaming
Métiers liés au Blue Teaming
- Analyste Sécurité
- Consultant, Ingénieur et Architecte en cyber sécurité
- Administrateurs réseaux et systèmes
- Analyste SOC (N1, N2 et N3)
- Responsable du CSIRT
- Threat Hunter
- Cyber Threat Analyst
- Analyste réponse aux incidents de sécurité
- Gestionnaire de crise de cyber sécurité
- Analyste IA
Plus d’informations découvrir l’ensemble des métiers quand a cite
Effectuer un Focus sur les Métiers Liés au SOC en Sécurité Blue Team
Introduction
C’est quoi un SOC en sécurité Blue Team ?
Un SOC (Security Operations Center) est une fonction centralisée employant des personnes, des processus et des technologies pour surveiller et améliorer en permanence la posture de sécurité d’une organisation. Dans le cadre de la sécurité Blue Team, bien qu’il soit impossible d’arrêter toutes les attaques, le SOC vise à limiter l’impact et sécuriser le scope concerné lors des incidents de cybersécurité.
L’analyste SOC participe à la prévention des attaques en effectuant une veille sur les vulnérabilités critiques, en sensibilisant et en gérant les vulnérabilités dans le cadre de la sécurité Blue Team.
Cela nous permet de détecter les incidents, que ce soit grâce à l’analyse de logs ou à d’autres méthodes mentionnées dans la figure suivante.
Il nous permet également d’initier la réaction. Tout cela passe par une administration sécurité de l’organisation en lien avec la sécurité Blue Team.
Quelle sont les métier d’un analyste SOC pour la sécurité Blue team ?
Un analyste SOC ou analyste cyber SOC est un des postes des plus prisés aujourd’hui, il joue un rôle essentiel dans la sécurité des organismes
Dans le cadre de la sécurité Blue Team, l »analyste SOC gère également la coordination et le suivi des incidents, ainsi que le reporting
- Les analystes SOC de niveau 1
Tirage, Surveillance, Configuration, Forwarding
- Les analystes SOC de niveau 2
Investigation, Réponse à incident, Forensique, amélioration
- Les analystes SOC de niveau 3
Threat Hunting, Threat intellgance et même pentest/red teaming
Workflow de la data dans un SOC en Blue Team
Le workflow de la data dans la sécurité Blue Team commence par la surveillance, où les logs sont collectés à partir de divers périphériques pour analyser les journaux système, le trafic réseau et les activités.
Ensuite, dans la phase de corrélation, des modèles de comportement et des indicateurs d’attaques sont extraits pour déterminer si une action malveillante est en cours dans le cadre de la sécurité Blue Team.
La détection intervient alors pour repérer tout comportement inhabituel, souvent caché, en se basant sur des modèles comportementaux ou la détection de signaux faibles en sécurité Blue Team.
Enfin, les actions sont priorisées en fonction de la gravité de la menace, de sa crédibilité et de sa pertinence, permettant d’identifier les véritables menaces et de réagir efficacement dans le contexte de la sécurité Blue Team.
Maîtriser l'Essentiel des Composants des Infrastructures SOC en Sécurité Blue Team
Must have pour un SOC en sécurité Blue Team
Pour garantir l’efficacité et l’évolution d’un SOC en sécurité Blue Team, quatre piliers fondamentaux doivent être pris en compte. Tout d’abord, une stratégie de collecte de logs adaptée est essentielle, suivie de l’enrichissement des bases de connaissances avec des IOCs pour une détection rapide des menaces en sécurité Blue Team.
Ensuite, des outils de corrélation des événements sont indispensables pour identifier les comportements suspects dans le cadre de la sécurité Blue Team. Enfin, une équipe compétente en sécurité Blue Team est cruciale pour assurer l’efficacité de toutes les mesures mises en place.
Event Management
Must have pour un SOC en sécurité Blue Team
Dans un SOC, nous avons besoin de divers composants essentiels tels que les UTM (Unified Threat Management), et autres éléments mentionnés dans le schéma suivant. Nous discuterons de chacun de ces éléments dans les articles dédiés.
Haut du formulaire
Temps de traitement d’incident
Généralement, il existe trois niveaux d’incidents. Voici les niveaux représentés dans la figure suivante :
Découvrir le Processus de Threat Hunting en Sécurité Blue Team
Qu'est-ce que le Threat Hunting en Sécurité Blue Team ?
Introduction et definition
Le Threat Hunting est l’art de recherche itérative dans le données (brut ou structurées) afin de pouvoir détecter des menaces (avancées principalement) qui passent entre les mailles du filet un contraste avec les mesures de détection de menaces traditionnel
- Firewalls
- Systèmes de détection d’intrusion
- Sandbox de détection de Malware
- SIEM
Attention : Ce n’est pas de la réponse à incident
Les différentes approches en sécurité Blue Team
Dans le cadre de la sécurité Blue team , la recherche proactive, ou threat hunting, consiste à anticiper et à rechercher activement les menaces potentielles avant qu’elles ne deviennent des problèmes majeurs.
En revanche, la recherche réactive intervient après la détection d’une menace, impliquant une réponse à un événement spécifique et une enquête pour comprendre ses causes et y remédier.
Haut du formulaire
Objectifs de Blue Team
Les principaux objectifs de Threat Hunting lister ci-dessus :
Méthodologie de threat Hunting en sécurité Bleu Team
La méthodologie du threat hunting commence par la collecte et le traitement des données, suivis par les étapes mentionnées ci-dessus.
Appréhender la Différence entre CERT et CSIRT en Sécurité Blue Team
CSIRT dans Blue Team
Computer Security Incident Response Team
Généralement un CSIRT est une équipe de sécurité opérationnelle, composée d’experts de différents domaines.
CERT dans Blue Team
Computer emergency response
Marque déposé et il faut respecter les conditions de la marque Carnegie Melon pour l’utiliser.
C’est quoi un CERT ?
Un CERT et un CSIRT (Plus mature) sont des termes interchangeables et certaines conditions les séparent (Droit d’utiliser la marque et Réponse à incident/Threat Intelligence)
Quelle sont les fonctions d’un CSIRT en sécurité Blue Team
- Centralisation des demandes d’assistance suite aux incidents de sécurité (attaques) sur les réseaux et les systèmes d’informations
- Traitement des alertes et réaction aux attaques informatiques
- Etablissement et maintenance d’une base de données des vulnérabilités
- Prévention par diffusion d’informations sur les précautions à prendre pour minimiser les risques d’incident ou au pire leurs conséquences
- Coordination éventuelle avec les autres entités (hors du domaine d’action
Un focus sur le CISRT est l’emplacement par rapport à un SOC
Computer Security Incident Response Team
SOC Vs CISRT en sécurité blue team
Structurer sa prise de note pour la Blue Team
Start.me est un outil de bookmarking en ligne qui permet aux utilisateurs de stocker, organiser et partager leurs favoris Internet sur une seule page personnalisable, offrant ainsi un accès rapide à leurs sites Web préférés
Haut du formulaire
En tapent www.start.me voici l’interface du lien
Pour commencer on doit cliquer sur commencer gratuit et de choisir de démarrer avec votre compte email
Une fois effectuer on a cette interface ci-dessus
Alors on va organiser nos liens telle que son format de page créer nouveau page et nommée Bleu team en clique sur l’icône Mes pages créer une nouvelle page nomme les Bleu Team est sauvegardé notre tâche en appuyant sur créer une page
Maintenant voici notre page nomme Bleu Team on peut ajouter des Widgets ou bien construire une page avec l’assistant et importer mes signes
Nous allons Ajouter des widgets nomme Lien SOC et ajouter un signet a notre widgets en cliquant sur ajouter des widgets après cliquer sur signets en donne Lien SOC comme un nom pour notre Widgets est en peux tapez n’importe quel lien comme représentent dans la capture d’écran suivante : capture d’écran suivante :
Maintenant on va confirmer les donnes qu’on a saisie on clique sur ajouter
On peut ajouter des autres widgets disponible est aussi on peut le rendre public ou bien privee comme ulistrer ci dessou dans la figure
Déployer le Lab de Blue Team
Configuration hôte conseillé
- RAM : 16 Go
- Disque Dur : 512 GB SSD
- Processeur : i5 (8ème Gen) ou plus
- OS: Windows 10 Hyperviseur: VMWare Workstation Pro 15 ou plus
OU Serveur dédié soyoustart & het
Installation d'une Machine Virtuelle Windows 10 pour la Sécurité Blue Team
On va créer un Folder pour organiser notre LAB nomme Bleu Team en appuyant sur New Folder
Notre folder est bien créer comme vous voyer
Pour commencer la création de la machine virtuelle Windows cliquer sur Create New Virtual Machine puis sélectionner le mode TYpical puis Next
On va sélectionner notre emplacement de notre image ISO
Nommer la virtuelle machine Windows 10
Et choisissez l’emplacement du machine
Spécifiant la capacité de Disk
On va modifier la RAM de notre machine à 4go RAM comment illustrer dans les images suivantes
Une fois que nous avons terminé on va cliquer sur finish pour lancer notre machine
Installation d'une Machine Virtuelle KALI pour la Sécurité Blue Team
On accède sur le site officiel du kali linux comme vous voyez sur l’image suivante
Choisissant VMware est installer le produit
Extraire vers Kali-linux-2023.4-vmware-amd64
En appuyant sur open a Virtual machine Sélectionner votre machine qu’on a extrait
Lancer la machine en cliquent sur Power
Notre machine Kali est bien installer
Id : Kali
Password : Kali
Découvrez les normes et standards du Blue Teaming et maîtrisez l’analyse de flux réseaux avec WireShark
Installation d'une Machine Virtuelle Windows Server 2016 pour la Sécurité Blue Team
Commencent par create a New virtual machine
Pour éviter le problème de la licence demander lors de démarrage on va mettre une petite technique simple lors de notre installation c’est que on ne va pas installer notre système avec l’image iso depuis le début c’est à dire on va installer une machine vide
En choississant I will install the operating system later
Nommée notre machine virtuel e Windows server 2016 est sélectionner l’emplacement du machine
Sélectionné le type et la version du système
Spécifiée la capacité du disc
Voici la configuration de notre machine
En revanche à la technique d’éviter la licence demander on doit cliquer sur Edit virtual machine settings
Sélectionner CD DVD puis activer use ISO image file, sélectionner votre image iso Windows server 2016
Après on va démarrer notre machine Windows server 2019 qui va afficher l’interface suivante
En sélectionner la langue de l’installation, format de la date et la langue du clavier
Cliquer sur Install now
Sélectioneer Windows Server 2016 standard Evaluation Desktop Experience
En choisissent le disc ou on va installer note système
L’installation à bien commencer
Après notre installation finie voici l’interface du notre machine virtuelle Windows server 2016
Perfectionnez vos Compétences en Blue Teaming : Protection Avancée
Installation d'une Machine Ubuntu 20.04 TLS pour la Sécurité Blue Team
Commencent par cliquer sur Create a New Virtual Machine
Choisissant notre image iso
Donnant un nom, un user Name est un mot de passe pour votre machi
On doit patienter ou attendre jusqu’au téléchargement des packages nécessaires.
Voici l’interface de notre machine
Formez-vous gratuitement avec Alphorm !
Maîtrisez les compétences clés en IT grâce à nos formations gratuites et accélérez votre carrière dès aujourd'hui. Découvrez des cours variés pour tous les niveaux !
Conclusion
En conclusion, la sécurité Blue Team joue un rôle crucial dans la cyberdéfense des entreprises. En maîtrisant les compétences et les méthodes présentées dans cet article, vous serez en mesure de détecter et de contrer efficacement les cyberattaques.
Que ce soit par le Threat Hunting, la gestion des incidents ou la collaboration avec les équipes Red et Purple, chaque aspect de la sécurité Blue Team est conçu pour renforcer la résilience de votre organisation face aux menaces numériques. Rejoignez la Blue Team et devenez un acteur clé de la cybersécurité. Et par la suite nous allons traiter le volet la gestion des vulnérabilités avec Blue teaming .