Analyst SOC / SIEM – confirmé

1- Description du besoin

Le client a lancé une réflexion d’évolution de ces processus pour faire évoluer la façon dont sont gérées les logsources, les règles, etc. afin de fournir une vision de la couverture des assets du Groupe selon les bonnes pratiques actuelles. Ainsi, nous souhaitons avoir une vision fiable des menaces au sens TTP MITRE projetées sur les différents axes organisationnels du Groupe (entités, filiales, zones géographiques, etc.) et de quantifier les occurrences de leur apparition réelle suite aux détections.
Le SIEM, la solution IBM QRadar (version actuelle 7.4.3 FixPack 4), a été mis en place en 2015 et de nombreuses évolutions tant sur les règles que les logsources ont vu le jour depuis cette date.
Nous constatons aujourd’hui que de nombreuses logsources sont en erreurs, ou droppées, ce qui indique que les performances du SIEM ne sont pas optimales et ne permettent pas de délivrer la vision Menaces souhaitée.

La prestation est composée des activités suivantes :

Logsources
• Faire l’inventaire des logsources actuellement intégrées à notre SIEM
• Identifier les logsources actives et non actives
• Identifier les logsources en erreur ou qui ne respectent pas les spécifications du client
• Proposer un plan d’actions pour chaque typologie de logsource et d’erreur ou non-conformité rencontrées (recatégorisation, optimisation du parsing, etc.), selon la priorisation demandée par le client
• Piloter le plan d’actions après sa validation avec le client pour arriver à un état pleinement satisfaisant sur le statut des logsources
• Réaliser les actions de création/modification des logsources pour respecter les spécifications
• Livrer l’ensemble des livrables et KPI attendus dans le planning prévu

Règles
• Faire l’inventaire des règles actuellement intégrées à notre SIEM
• Identifier les règles actives et non actives
• Identifier les règles en erreur ou qui ne respectent pas les spécifications du client
• Proposer un plan d’actions pour chaque typologie de règles et d’erreur ou non-conformité rencontrées (consolidation de plusieurs règles similaires, amélioration de l’algorithme, etc.), selon la priorisation demandée par le client
• Piloter le plan d’actions après sa validation avec le client pour arriver à un état pleinement satisfaisant sur le statut des règles (incluant l’algorithme, les fiches réfexes, le respect de la nomenclature de nommage, les techniques et tactiques MITRE associées, etc.)
• Réaliser les actions de création/modification/validation des règles pour respecter les spécifications
• Livrer l’ensemble des livrables et KPI attendus dans le planning prévu

Processus et documentation
• Lister les processus et la documentation incomplets/inexistants dans la création/suppression/modification/validation des règles
• Etablir un plan d’action de complétion des processus et de la documentation pour la création/suppression/modification/validation des règles
• Lister les processus et la documentation incomplets/inexistants dans la création/suppression/modification/validation des logsources
• Etablir un plan d’action de complétion des processus et de la documentation pour la création/suppression/modification/validation de logsources, selon la priorisation demandée par le clent
• Piloter le plan d’actions après sa validation avec le client pour arriver à un état pleinement satisfaisant sur les processus et la documentation relatifs à leur création/suppression/modification/validation
• Livrer l’ensemble des livrables et KPI attendus dans le planning prévu

2- Livrables

Sont attendus les livrables suivants :

• Comptes-rendus des réunions hebdomadaires de suivi opérationnel
• Comptes-rendus des comités mensuels de pilotage
• Liste des actions du client attendues sur le mois M+1 (définies en comité de pilotage projet en fin de mois M)
• Liste des actions Prestataire attendues sur le mois M+1 (définies en comité de pilotage projet en fin de mois M)
KPI à livrer pendant toute la durée du projet
• Indicateur du niveau de santé de QRadar (à proposer par le soumissionnaire)
• Qualité de la détection (à proposer par le soumissionnaire)
• Pourcentage d’actions du client réalisées (sur la base de la liste des actions du client à l’issue du comilé de pilotage du mois M-1)
• Pourcentage d’actions Prestataire réalisées (sur la base de la liste des actions Prestataire à l’issue du comilé de pilotage du mois M-1)

• Suivi de l’avancement projet (vision hebdomadaire) :

  • Avancement sur la revue des règles
    Nombre règles revues et finalisées, validées par le client (conformes à l’attendu)
    Nombre de règles revues avec plan d’actions défini
  • Suivi de chaque plan d’action
    Nombre de règles en attente de révision
  • Avancement sur la revue des logsources
    Nombre de logsources revues et finalisées, validées par le client (conformes à l’attendu)
    Nombre de logsources revues avec plan d’actions défini
  • Suivi de chaque plan d’action
    Nombre de logsources en attente de révision
  • Avancement sur la rédaction/mise à jour de processus et documentation
    Nombre de processus rédigés/mis à jour, validés par le client
    Nombre de processus en cours de rédaction/mise à jour
    Nombre de processus identifiés pour rédaction/mise à jour

Livrables Logsources
• Liste des logsources à décommissionner et la raison du décommissionnement pour chacune
• Plan d’actions pour chaque logsource pour alignement sur la cible attendue (mis à jour chaque semaine)
• Évaluation du coût en UO des actions qui pourront être réalisée via le catalogue de service du fournisseur du client (mis à jour chaque mois)
• A l’issue du projet, ensemble des logsources mis à jour, et détail des évolutions apportées pour chacune (traçabilité)
Livrables Règles
• Liste des règles à décommissionner et la raison du décommissionnement pour chacune
• Plan d’actions pour chaque règle pour alignement sur la cible attendue (mis à jourchaque semaine)
• Evaluation du coût en UO des actions qui pourront être réalisée via le catalogue de service du fournisseur du client (mis à jour chaque mois)
• A l’issue du projet, ensemble de règles mises à jour, et détail des évolutions apportées pour chacune (traçabilité)
Livrables Processus et documentation
• Plan d’actions de complétion des processus et de la documentation pour la création/suppression/modification/validation de logsources
• Plan d’actions de complétion des processus et de la documentation pour la création/suppression/modification/validation de règles
• A l’issue du projet, liste de l’ensemble des processus et de la documentation créés ou mis à jour pour la création/suppression/modification/validation des règles et des logsources (traçabilité)

Réunions Spécifiques en Mode Agile

3- Savoir-faire

Le consultant devra avoir un bon niveau de maitrise et séniorité sur les compétences suivantes :
• Expertise dans les activités de cybersécurité et notamment d’un SOC
• Expertise SIEM IBM QRadar (audit de performance, création de règles, création de log source, capacité de conseil)
• Capacité à identifier la performance des détections (règles vs. logs vs. TTP)
• Algorithmie (performance des algorithmes des règles/parseurs/DSM)
• Maitrise des différents formats de logs des solutions utilisées en entreprise (Windows, Linux, Cisco, PaloAlto, solutions de proxy, logs applicatifs de middlewares (BDD, MQ, servers web, etc.))
• Connaissance des matrices MITRE et des TTP
• Gestion de projet
• Rigueur des intervenants et du suivi
• Processus qualité ISO9001





Envoyer votre condidature :

    Nous respectons votre droit à la vie privée

    Nous utilisons des cookies pour améliorer votre expérience sur notre site. Ils nous aident à améliorer la performance du site, à vous présenter des contenus pertinents et vous permettre de partager du contenu sur les réseaux sociaux.

    Vous pouvez accepter tous les cookies ou configurer vos préférences à tout moment dans la section « paramètres des cookies » disponible en bas de chaque page.

    Autoriser tous les cockies Bloquer tous les cookies