Sécurité Blue Team en Cyberdéfense

L'Équipe Alphorm
L'Équipe Alphorm 18e lecture en min

La sécurité Blue Team est essentielle pour protéger les entreprises contre les cybermenaces. Dans cet article, nous explorerons les différentes facettes de la Blue Team, ses compétences techniques et stratégiques, ainsi que les métiers liés à ce domaine. Nous détaillerons également la relation entre les équipes Blue, Red et Purple, et examinerons les composants clés des infrastructures SOC. Grâce à cette formation, vous serez préparé à relever les défis de la cyberdéfense et à contribuer activement à la protection des systèmes d’information.

 

Introduction

Blue Teaming vous ouvre les portes de la cyberdéfense en vous permettant d’acquérir les compétences essentielles pour protéger les organisations contre les menaces numériques. Vous explorerez les missions variées des équipes bleues, telles que le Threat Hunting et l’analyse du risque, avec une approche pratique représentant 80% de l’apprentissage.

Cet article vous prépare aux métiers clés de la sécurité informatique, comme l’Analyste SOC et le Threat Hunter, en vous fournissant les outils et les connaissances nécessaires pour relever les défis de la sécurité défensive.

De plus, vous plongerez dans la Cyber Threat Intelligence, découvrirez les normes et standards du Blue Teaming, et maîtriserez des compétences techniques telles que l’analyse de flux réseaux avec Wireshark, rendant votre formation complète et adaptable aux besoins concrets du marché de la cybersécurité.

Appréhender la relation entre les Blue, Red et Purple Team

Blue Team : L’équipe Blue est chargée de défendre les systèmes et réseaux contre les cyberattaques, mettant en place des mesures de sécurité et surveillant les activités pour assurer la protection. Pour rejoindre la Blue Team, plusieurs compétences sont requises, allant des Compétences Soft Skills :

  • Autodidacte
  • Autonomie et organisation
  • Capacité d’analyse et de synthèse
  • Rigueur
  • Méthodologique
  • Qualité rédactionnelle
  • Communication
  • L’art du KISS (Keep It Simple Stupid)

En parlent maintenant sur des hards skills les compétences techniques représentent ci-dessus :

Liste des compétences techniques requises pour la sécurité Blue Team.
  • Purple Team (cauchemar en entreprise) : La Purple Team combine les approches Blue et Red, encourageant la collaboration pour évaluer les défenses, partager les connaissances et améliorer la posture globale de sécurité.
  • Red Team : L’équipe Red simule des attaques réalistes pour identifier les vulnérabilités et renforcer la résilience en testant les défenses d’une organisation.

Référence : Site officiel du Hoplon le fruit de l’imagination de professionnels de l’informatique chevronnés du Bangladesh https://www.hoplonbd.com/

Comparaison des rôles de Red Team, Purple Team et Blue Team.

Red Team vs Pentest : Comparaison en Sécurité Blue Team

Référence : Site officiel du « Sh0ckFR » Red Team Operator https://sh0ckfr.com/pages/les-differences-entre-red-team-et-pentest/

Tableau comparatif des approches de la Red Team et des Pentests dans le cadre de Blue team

Connaissance de l'exercice par la Blue Team

  • Red Team : La Blue Team (équipe de défense interne) n’est pas informée à l’avance de l’exercice de Red Team, ce qui permet de simuler au mieux un scénario réaliste.
  • Pentest : La Blue Team est généralement informée du Pentest, permettant une collaboration plus étroite et des résultats plus ciblés.

Périmètre de l'exercice de la Blue Team

  • Red Team : Le périmètre de l’exercice de Red Team est souvent plus grand, simulant une attaque complète sur l’ensemble du réseau ou de l’organisation.
  • Pentest : Le périmètre du Pentest est généralement plus restreint, se concentrant sur des cibles spécifiques ou des systèmes particuliers.

Remontée des vulnérabilités par la Blue Team

  • Red Team : Les vulnérabilités sont remontées en suivant une trajectoire d’un point A à un point B, simulant ainsi le cheminement réel d’un attaquant.
  • Pentest : Les vulnérabilités sont identifiées sur l’ensemble du scope défini, offrant une vue globale des faiblesses potentielles.

Ingénierie Sociale sur les Réseaux Sociaux en Sécurité Blue Team

  • Red Team : L’ingénierie sociale, y compris sur les réseaux sociaux, est souvent intégrée dans les exercices de Red Team pour évaluer la réponse des utilisateurs.
  • Pentest : L’ingénierie sociale sur les réseaux sociaux n’est généralement pas une composante standard des Pentests, qui se concentrent davantage sur les aspects techniques.

Nécessité d'une White Team en Sécurité Blue Team

  • Red Team : Souvent, un exercice de Red Team nécessite une White Team, qui joue le rôle d’observateur neutre, évaluant les performances de la Blue Team.
  • Pentest : La nécessité d’une White Team est moins courante dans les Pentests, où la collaboration avec la Blue Team est plus directe.

En résumé, le Red Teaming vise à simuler une attaque complète de bout en bout, tandis que le Pentest se concentre souvent sur des aspects spécifiques de la sécurité. Les deux approches sont complémentaires et contribuent à renforcer la résilience d’une organisation face aux cybermenaces.

Découvrir les métiers liés au Blue Teaming

Métiers liés au Blue Teaming

  • Analyste Sécurité
  • Consultant, Ingénieur et Architecte en cyber sécurité
  • Administrateurs réseaux et systèmes
  • Analyste SOC (N1, N2 et N3)
  • Responsable du CSIRT
  • Threat Hunter
  • Cyber Threat Analyst
  • Analyste réponse aux incidents de sécurité
  • Gestionnaire de crise de cyber sécurité
  • Analyste IA

Plus d’informations découvrir l’ensemble des métiers quand a cite

Effectuer un Focus sur les Métiers Liés au SOC en Sécurité Blue Team

Introduction

C’est quoi un SOC en sécurité Blue Team ?

Un SOC (Security Operations Center) est une fonction centralisée employant des personnes, des processus et des technologies pour surveiller et améliorer en permanence la posture de sécurité d’une organisation. Dans le cadre de la sécurité Blue Team, bien qu’il soit impossible d’arrêter toutes les attaques, le SOC vise à limiter l’impact et sécuriser le scope concerné lors des incidents de cybersécurité.

Illustration des différents métiers et rôles au sein d'un SOC dans le Blue team

L’analyste SOC participe à la prévention des attaques en effectuant une veille sur les vulnérabilités critiques, en sensibilisant et en gérant les vulnérabilités dans le cadre de la sécurité Blue Team.

Cela nous permet de détecter les incidents, que ce soit grâce à l’analyse de logs ou à d’autres méthodes mentionnées dans la figure suivante.

Il nous permet également d’initier la réaction. Tout cela passe par une administration sécurité de l’organisation en lien avec la sécurité Blue Team.

Illustration des différents métiers et rôles au sein d'un SOC dans le Blue team

Quelle sont les métier d’un analyste SOC pour la sécurité Blue team ?

Un analyste SOC ou analyste cyber SOC est un des postes des plus prisés aujourd’hui, il joue un rôle essentiel dans la sécurité des organismes

Dans le cadre de la sécurité Blue Team, l »analyste SOC gère également la coordination et le suivi des incidents, ainsi que le reporting

  • Les analystes SOC de niveau 1

Tirage, Surveillance, Configuration, Forwarding

  • Les analystes SOC de niveau 2

Investigation, Réponse à incident, Forensique, amélioration

  • Les analystes SOC de niveau 3

Threat Hunting, Threat intellgance et même pentest/red teaming

Illustration des différents métiers et rôles au sein d'un SOC dans le blue team

Workflow de la data dans un SOC en Blue Team

Le workflow de la data dans la sécurité Blue Team commence par la surveillance, où les logs sont collectés à partir de divers périphériques pour analyser les journaux système, le trafic réseau et les activités.

Ensuite, dans la phase de corrélation, des modèles de comportement et des indicateurs d’attaques sont extraits pour déterminer si une action malveillante est en cours dans le cadre de la sécurité Blue Team.

La détection intervient alors pour repérer tout comportement inhabituel, souvent caché, en se basant sur des modèles comportementaux ou la détection de signaux faibles en sécurité Blue Team.

Enfin, les actions sont priorisées en fonction de la gravité de la menace, de sa crédibilité et de sa pertinence, permettant d’identifier les véritables menaces et de réagir efficacement dans le contexte de la sécurité Blue Team.

 

Diagramme du flux de travail des données au sein d'un SOC dans e blue team

Maîtriser l'Essentiel des Composants des Infrastructures SOC en Sécurité Blue Team

Must have pour un SOC en sécurité Blue Team

Schéma des composants essentiels d'une infrastructure SOC dans le blue team.

Pour garantir l’efficacité et l’évolution d’un SOC en sécurité Blue Team, quatre piliers fondamentaux doivent être pris en compte. Tout d’abord, une stratégie de collecte de logs adaptée est essentielle, suivie de l’enrichissement des bases de connaissances avec des IOCs pour une détection rapide des menaces en sécurité Blue Team.

Ensuite, des outils de corrélation des événements sont indispensables pour identifier les comportements suspects dans le cadre de la sécurité Blue Team. Enfin, une équipe compétente en sécurité Blue Team est cruciale pour assurer l’efficacité de toutes les mesures mises en place.

Event Management

Diagramme de la gestion des événements de sécurité dans un SOC dans le blue team.

Must have pour un SOC en sécurité Blue Team

Dans un SOC, nous avons besoin de divers composants essentiels tels que les UTM (Unified Threat Management), et autres éléments mentionnés dans le schéma suivant. Nous discuterons de chacun de ces éléments dans les articles dédiés.

Haut du formulaire

 

Liste des éléments indispensables pour un SOC performant dans le Blue team.

Temps de traitement d’incident

Généralement, il existe trois niveaux d’incidents. Voici les niveaux représentés dans la figure suivante :

Tableau des différents niveaux et temps de traitement des incidents dans le Blue team.

Découvrir le Processus de Threat Hunting en Sécurité Blue Team

Qu'est-ce que le Threat Hunting en Sécurité Blue Team ?

Introduction et definition

Le Threat Hunting est l’art de recherche itérative dans le données (brut ou structurées) afin de pouvoir détecter des menaces (avancées principalement) qui passent entre les mailles du filet un contraste avec les mesures de détection de menaces traditionnel

  • Firewalls
  • Systèmes de détection d’intrusion
  • Sandbox de détection de Malware
  • SIEM
Schéma illustrant les étapes du processus de Threat Hunting dans le Bue team.

Attention : Ce n’est pas de la réponse à incident

Les différentes approches en sécurité Blue Team

Dans le cadre de la sécurité Blue team , la recherche proactive, ou threat hunting, consiste à anticiper et à rechercher activement les menaces potentielles avant qu’elles ne deviennent des problèmes majeurs.

En revanche, la recherche réactive intervient après la détection d’une menace, impliquant une réponse à un événement spécifique et une enquête pour comprendre ses causes et y remédier.

Haut du formulaire

Objectifs du Threat Hunting dans le Blue team

Objectifs de Blue Team

Les principaux objectifs de Threat Hunting lister ci-dessus :

Diagramme de la méthodologie utilisée pour le Threat Hunting dans le Blue team.

Méthodologie de threat Hunting en sécurité Bleu Team

La méthodologie du threat hunting commence par la collecte et le traitement des données, suivis par les étapes mentionnées ci-dessus.

Diagramme de la méthodologie utilisée pour le Threat Hunting.

Appréhender la Différence entre CERT et CSIRT en Sécurité Blue Team

CSIRT dans Blue Team

Computer Security Incident Response Team

Généralement un CSIRT est une équipe de sécurité opérationnelle, composée d’experts de différents domaines.

CERT dans Blue Team

Computer emergency response

Marque déposé et il faut respecter les conditions de la marque Carnegie Melon pour l’utiliser.

C’est quoi un CERT ?

Un CERT et un CSIRT (Plus mature) sont des termes interchangeables et certaines conditions les séparent (Droit d’utiliser la marque et Réponse à incident/Threat Intelligence)

Schéma comparant les fonctions des équipes CERT et CSIRT.

Quelle sont les fonctions d’un CSIRT en sécurité Blue Team

  • Centralisation des demandes d’assistance suite aux incidents de sécurité (attaques) sur les réseaux et les systèmes d’informations
  • Traitement des alertes et réaction aux attaques informatiques
  • Etablissement et maintenance d’une base de données des vulnérabilités
  • Prévention par diffusion d’informations sur les précautions à prendre pour minimiser les risques d’incident ou au pire leurs conséquences
  • Coordination éventuelle avec les autres entités (hors du domaine d’action

Un focus sur le CISRT est l’emplacement par rapport à un SOC

Computer Security Incident Response Team

Schéma illustrant la relation et les différences entre CSIRT et SOC.

SOC Vs CISRT en sécurité blue team

Tableau comparatif des rôles et responsabilités du SOC et du CSIRT.

Structurer sa prise de note pour la Blue Team

Start.me est un outil de bookmarking en ligne qui permet aux utilisateurs de stocker, organiser et partager leurs favoris Internet sur une seule page personnalisable, offrant ainsi un accès rapide à leurs sites Web préférés

Haut du formulaire

Logo officiel de la plateforme de bookmarking en ligne Start.me dans le Blue team.

En tapent www.start.me voici l’interface du lien

Capture d'écran de l'interface utilisateur de la plateforme Start.me dans le Blue team.

Pour commencer on doit cliquer sur commencer gratuit et de choisir de démarrer avec votre compte email

Capture d'écran de la page de connexion à Start.me dans le Blue team.

Une fois effectuer on a cette interface ci-dessus

Capture d'écran de l'interface après connexion à Start.me dans le Blue team.

Alors on va organiser nos liens telle que son format de page créer nouveau page et nommée Bleu team en clique sur l’icône Mes pages créer une nouvelle page nomme les Bleu Team est sauvegardé notre tâche en appuyant sur créer une page

Capture d'écran montrant la création d'une nouvelle page sur Start.me dans le Blue team.
Capture d'écran montrant la création d'une nouvelle page sur Start.me dans le Blue team.

Maintenant voici notre page nomme Bleu Team on peut ajouter des Widgets ou bien construire une page avec l’assistant et importer mes signes

Capture d'écran de l'interface de la nouvelle page créée dans Start.me dans le Blue team.

Nous allons Ajouter des widgets nomme Lien SOC et ajouter un signet a notre widgets en cliquant sur ajouter des widgets après cliquer sur signets en donne Lien SOC comme un nom pour notre Widgets est en peux tapez n’importe quel lien comme représentent dans la capture d’écran suivante : capture d’écran suivante :

Capture d'écran montrant l'ajout de widgets sur une page Start.me dans Blue team.

Maintenant on va confirmer les donnes qu’on a saisie on clique sur ajouter

Capture d'écran montrant l'ajout d'un signet sur une page Start.me dans Blue team.

On peut ajouter des autres widgets disponible est aussi on peut le rendre public ou bien privee comme ulistrer ci dessou dans la figure

Capture d'écran montrant l'ajout de widgets sur une page Start.me dans Blue team.

Déployer le Lab de Blue Team

Configuration hôte conseillé

  • RAM : 16 Go
  • Disque Dur : 512 GB SSD
  • Processeur : i5 (8ème Gen) ou plus
  • OS: Windows 10 Hyperviseur: VMWare Workstation Pro 15 ou plus

OU Serveur dédié soyoustart & het

Illustration du lab utilisé pour la formation en cyberdéfense dans Blue team.

Installation d'une Machine Virtuelle Windows 10 pour la Sécurité Blue Team

On va créer un Folder pour organiser notre LAB nomme Bleu Team en appuyant sur New Folder

Capture d'écran de l'interface utilisateur de Vmware Workstation dans le Blue team.

Notre folder est bien créer comme vous voyer

Capture d'écran montrant la création d'un dossier dans Vmware pour Blue team.

Pour commencer la création de la machine virtuelle Windows cliquer sur Create New Virtual Machine puis sélectionner le mode TYpical puis Next

Capture d'écran du processus d'installation de Windows 10 dans Vmware dans Blue team.

On va sélectionner notre emplacement de notre image ISO

Capture d'écran de la sélection de l'emplacement du fichier ISO. pour Blue team

Nommer la virtuelle machine Windows 10

Et choisissez l’emplacement du machine

Capture d'écran pour nommer et sélectionner l'emplacement de la machine pour Blue team.

Spécifiant la capacité de Disk

Capture d'écran pour spécifier la capacité de la machine virtuelle pour Blue team.

On va modifier la RAM de notre machine à 4go RAM comment illustrer dans les images suivantes

Une fois que nous avons terminé on va cliquer sur finish pour lancer notre machine

 

Capture d'écran du processus d'installation de Windows 10 dans Vmware Blue team.

Installation d'une Machine Virtuelle KALI pour la Sécurité Blue Team

On accède sur le site officiel du kali linux comme vous voyez sur l’image suivante

Capture d'écran de la page d'accueil du site officiel de Kali Linux Blue team.

Choisissant VMware est installer le produit

Capture d'écran de l'interface d'installation de Kali Linux Blue team.

Extraire vers Kali-linux-2023.4-vmware-amd64

Capture d'écran montrant les étapes d'installation de Kali Linux Blue team.

En appuyant sur open a Virtual machine Sélectionner votre machine qu’on a extrait

 

Capture d'écran du démarrage de l'installation de Kali Linux Blue team.

Lancer la machine en cliquent sur Power

Capture d'écran du démarrage de l'installation de Kali Linux pour Blue team.

Notre machine Kali est bien installer

Id : Kali

Password : Kali

Capture d'écran de l'interface utilisateur de Kali Linux pour Blue team.

Prêt à devenir un expert en sécurité Blue Teaming ?  Ne manquez pas notre formation vidéo exclusive ! 🔒 Transformez votre carrière en cyberdéfense maintenant ! 🚀Formation Blue Teaming

Installation d'une Machine Virtuelle Windows Server 2016 pour la Sécurité Blue Team

Commencent par create a New virtual machine

Icône de création d'une nouvelle machine

Pour éviter le problème de la licence demander lors de démarrage on va mettre une petite technique simple lors de notre installation c’est que on ne va pas installer notre système avec l’image iso depuis le début c’est à dire on va installer une machine vide

En choississant I will install the operating system later

Capture d'écran de la sélection de l'emplacement du fichier ISO.

Nommée notre machine virtuel e Windows server 2016 est sélectionner l’emplacement du machine

Capture d'écran pour sélectionner le type et la version du système.

Sélectionné le type et la version du système

Capture d'écran pour nommer et sélectionner l'emplacement de la machine.

Spécifiée la capacité du disc

Capture d'écran pour spécifier la capacité de la machine virtuelle.

Voici la configuration de notre machine

Capture d'écran du processus d'installation de Windows Server 2016.

En revanche à la technique d’éviter la licence demander on doit cliquer sur Edit virtual machine settings

Capture d'écran de la sélection de l'emplacement du fichier ISO.

Sélectionner CD DVD puis activer use ISO image file, sélectionner votre image iso Windows server 2016

Capture d'écran du processus d'installation de Windows Server 2016.

Après on va démarrer notre machine Windows server 2019 qui va afficher l’interface suivante

En sélectionner la langue de l’installation, format de la date et la langue du clavier

Capture d'écran du processus d'installation de Windows Server 2016.

Cliquer sur Install now

Capture d'écran du processus d'installation de Windows Server 2016.

Sélectioneer Windows Server 2016 standard Evaluation Desktop Experience

Capture d'écran du processus d'installation de Windows Server 2017.

En choisissent le disc ou on va installer note système

Capture d'écran du processus d'installation de Windows Server 2018.

L’installation à bien commencer

Capture d'écran de l'icône pour créer une nouvelle machine virtuelle.

Après notre installation finie voici l’interface du notre machine virtuelle Windows server 2016

Capture d'écran de la sélection de l'emplacement du fichier ISO.

Envie d’élargir vos compétences en cybersécurité ?  Découvrez toutes nos formations de Blue teaming et trouvez celle qui vous convient le mieux : Parcours Blue Teaming

Installation d'une Machine Ubuntu 20.04 TLS pour la Sécurité Blue Team

Commencent par cliquer sur Create a New Virtual Machine

Icône de création d'une nouvelle machine

Choisissant notre image iso

Capture d'écran pour nommer et sélectionner l'emplacement de la machine.

Donnant un nom, un user Name est un mot de passe pour votre machi

Capture d'écran du processus d'installation de Ubuntu 20.04 TLS.

On doit patienter ou attendre jusqu’au téléchargement des packages nécessaires.

Capture d'écran du processus d'installation de Ubuntu 20.04 TLS.

Voici l’interface de notre machine

Capture d'écran de l'interface utilisateur de Ubuntu 20.04 TLS.

Conclusion

En conclusion, la sécurité Blue Team joue un rôle crucial dans la cyberdéfense des entreprises. En maîtrisant les compétences et les méthodes présentées dans cet article, vous serez en mesure de détecter et de contrer efficacement les cyberattaques. Que ce soit par le Threat Hunting, la gestion des incidents ou la collaboration avec les équipes Red et Purple, chaque aspect de la sécurité Blue Team est conçu pour renforcer la résilience de votre organisation face aux menaces numériques. Rejoignez la Blue Team et devenez un acteur clé de la cybersécurité. Et par la suite nous allons traiter le volet la gestion des vulnérabilités avec Blue teaming .

ÉTIQUETÉ : Blue teaming
Partager cet article
Par L'Équipe Alphorm Démocratiser la Connaissance Informatique pour Tous !
Suivre :
L'Équipe Alphorm, c'est la démocratisation de la connaissance informatique. Passionnés et dévoués, nous sommes là pour vous guider vers le succès en rendant la technologie accessible à tous. Rejoignez notre aventure d'apprentissage et de partage. Avec nous, le savoir IT devient une ressource inspirante et ouverte à tous dans un monde numérique en constante évolution.