Analyse de journaux et détection d'anomalies
Description
Grille pour un rendu d'analyse de logs (auth, proxy, endpoint) : hypothèses, timeline, faux positifs.
Contexte d'application
Exercice Blue Team ou module SOC après injection d'événements dans un jeu de logs fourni.
Critères et rubrics
Formulation d'hypothèses
20 %Questions de recherche avant fouille dans les logs.
Insuffisant
Scroll infini sans question claire.
Acceptable
Hypothèses implicites peu structurées.
Bon
2–3 hypothèses testées avec critères d'écart.
Excellent
Arbre d'hypothèses lié aux TTP / use cases du scénario.
Méthode et requêtes
25 %Filtres, champs, corrélation entre sources.
Insuffisant
Requêtes non reproductibles ou absentes.
Acceptable
Requêtes correctes mais peu d'explications.
Bon
Requêtes documentées ; résultats interprétés.
Excellent
Optimisation (volume, performance) et variantes de détection proposées.
Timeline et narration
25 %Ordre chronologique des événements pertinents.
Insuffisant
Liste plate sans chronologie.
Acceptable
Timeline partielle ou gaps non signalés.
Bon
Timeline cohérente avec incertitudes notées.
Excellent
Fusion multi-sources ; pivot d'IOC clair.
Gestion du bruit
15 %Faux positifs, événements bénins, confiance.
Insuffisant
Tout signalé comme malveillant.
Acceptable
Quelques FP identifiés sans stratégie.
Bon
Tri FP / vrai positif argumenté.
Excellent
Proposition d'affinage des règles ou du parsing.
Recommandations
15 %Actions défense, confinement, durcissement.
Insuffisant
Aucune suite ou générique.
Acceptable
Mesures listées sans priorité.
Bon
Actions court terme alignées sur la timeline.
Excellent
Mesures préventives + détection + gouvernance du log.
Questions fréquentes
Comment utiliser cette grille avec un barème sur 20 ?
Attribuez une note partielle par critère selon le niveau (insuffisant à excellent), ou convertissez chaque critère en points proportionnels à son poids. Les pourcentages indiqués sur la grille servent de guide de pondération.
Cette grille convient-elle à une évaluation en groupe ?
Oui pour les parties méthodologie et documentation ; pour l'exécution technique, précisez si la note est collective ou individualisée (ex. contribution traçable dans le dépôt Git ou le rapport).
Comment lier cette évaluation au reste du cours ?
Référencez les objectifs pédagogiques du module dans le brief, et annoncez la grille avant le TP pour éviter les surprises. Un court auto-contrôle à remplir par les étudiants améliore la qualité des rendus.