Sujet d’Amossys

Labélisation automatisée de datasets de traces d’attaque sur un SI.

Contexte
AMOSSYS développe M&NTIS Platform, qui est une solution d’émulation d’adversaire au sein d’un simulateur de SI (Cyber Range). Cette solution permet de tester des produits de sécurité en défense, et sert à entrainer des équipes SOC et CERT face à des attaques réalistes.
M&NTIS Platform permet notamment de générer et mettre à disposition des datasets de traces (logs systèmes et PCAP réseau) suite à des activités légitimes et malveillantes sur un système d’information simulé.
La capacité d’émulation d’adversaire permet de jouer des scénarios d’attaque réalistes et de produire un rapport contenant les métadonnées de chaque étape d’attaque (machine compromise, type de compromission effectuée, commande d’attaque exécutée, timestamps, etc.). Ce rapport d’attaque est généré au format JSON, ce qui permet d’automatiser son traitement par la suite. Par ailleurs, un moteur permet de jouer des activités de vie légitime (ouverture de session, navigation sur internet, échange de mail, bureautique), de manière furtive vis-à-vis de l’OS (i.e. sans agent). Cette capacité permet de produire des traces réseau et système contenant de l’activité bénine.
Challenge
L’objectif est de concevoir un algorithme de labélisation permettant d’identifier les traces malveillantes (log système et paquet réseau) au sein des datasets collectés, en s’appuyant sur la connaissance des métadonnées des étapes d’attaques réalisées et des actions légitimes exécutées.
Les participants auront accès à des datasets contenant des traces réseau (PCAP) et système (logs au format ECS) suite à l’exécution de modes opératoires d’attaque. Les métadonnées des actions d’attaque et de vie sont au format JSON.
L’intérêt d’un tel algorithme est de pouvoir produire un jeu de données labélisé, utilisable ensuite pour entrainer et tester des méthodes d’apprentissage au sein de produits de supervision de sécurité (SIEM, XDR, sondes réseau, etc.).