Configuration et règles SIEM (corrélation, parsers)
Description
Évalue la mise en place de sources, parsers, règles de corrélation et tableaux de bord dans un SIEM pédagogique.
Contexte d'application
TP sur Wazuh, ELK, Splunk free, etc. avec scénarios d'attaque rejoués.
Critères et rubrics
Ingestion et normalisation
20 %Sources, champs, horloge, volume.
Insuffisant
Sources non fiables ou timestamps incohérents.
Acceptable
Ingestion OK mais champs hétérogènes.
Bon
Parsing / ECS ou mapping documenté.
Excellent
Gestion des lacunes, parsing resilient, tests de charge mentionnés.
Règles de détection
30 %Logique, seuils, tuning.
Insuffisant
Règles bruitées ou copiées sans adaptation.
Acceptable
Règles fonctionnelles avec FP élevés.
Bon
Règles alignées sur scénarios avec tests.
Excellent
Matrice MITRE + tuning documenté + versionning des règles.
Cas d'usage et playbooks
20 %Enrichissement, étapes d'investigation.
Insuffisant
Alerte sans playbook.
Acceptable
Playbook générique.
Bon
Playbook par alerte avec champs clés.
Excellent
Automation assistée (SOAR light) ou enrichissement CTI.
Dashboards et KPI
15 %Visibilité management vs analyste.
Insuffisant
Dashboard décoratif sans KPI.
Acceptable
KPI basiques (volume d'alertes).
Bon
KPI orientés MTTD/MTTR pédagogiques.
Excellent
Double vue efficacité détection vs charge analyste.
Gouvernance du contenu SIEM
15 %Ownership, revue, lifecycle des règles.
Insuffisant
Pas de process de mise à jour.
Acceptable
Responsable unique implicite.
Bon
Calendrier de revue des règles.
Excellent
Process d'onboarding de nouvelles sources + deprecation.
Questions fréquentes
Comment utiliser cette grille avec un barème sur 20 ?
Attribuez une note partielle par critère selon le niveau (insuffisant à excellent), ou convertissez chaque critère en points proportionnels à son poids. Les pourcentages indiqués sur la grille servent de guide de pondération.
Cette grille convient-elle à une évaluation en groupe ?
Oui pour les parties méthodologie et documentation ; pour l'exécution technique, précisez si la note est collective ou individualisée (ex. contribution traçable dans le dépôt Git ou le rapport).
Comment lier cette évaluation au reste du cours ?
Référencez les objectifs pédagogiques du module dans le brief, et annoncez la grille avant le TP pour éviter les surprises. Un court auto-contrôle à remplir par les étudiants améliore la qualité des rendus.