La sécurité avec Scom

En complément de l'article de Stéphane Papp : https://blog.papp.fr/2015/11/18/siem-versus-ueba/ , je vais rajouter ma pierre à l'édifice, comme il le précise dans son article, ACS peut répondre à une problématique technique qui est d'avoir des informations comme : Qui a locké un compte ? Qui s'authentifie à la place d'une autre personne ? Qui a rajouté un compte dans un groupe AD ? etc.

ACS est gratuit, on va dire que c'est une feature de Scom, et qu'il répond clairement à des problématiques qui ne sont parfois pas adressées dans le monde de l'entreprise.

Le RSSI ou la personne en charge de la sécurité pourrait avoir un certain nombre d'indicateurs ou de rapports sur ce qu'il ne va pas bien autour de la sécurité avec une "simple" installation qui n'ajoute pas de surcoût de licence dans une infrastructure Scom existante.

En plus d'ACS qui est OnPremise, on a maintenant OMS avec des informations plus fines autour de la détection d'intrusion:  https://blogs.technet.com/b/momteam/archive/2015/09/10/find-out-if-your-servers-are-talking-to-a-malicious-ip-address-with-operations-management-suite.aspx

Un super exemple d’utilisation d’OMS est la détection d'une attaque de type pass the hash lors de l'utilisation de mimikatz https://blogs.technet.com/b/privatecloud/archive/2015/07/20/security-threat-analysis-using-operations-management-suite.aspx

Alban