Scribd
Importer
431 vues4 pages

50 Questions Reponses Entretien SOC

Le document présente 50 questions et réponses essentielles pour un entretien dans un SOC en cybersécurité, couvrant des concepts clés tels que le rôle d'un SOC, les outils SIEM, les types d'incidents, et les étapes de réponse. Il aborde également des sujets techniques comme les indicateurs de compromission, les types de menaces, et les meilleures pratiques de sécurité. Enfin, il fournit des conseils pratiques pour la détection et la gestion des incidents de sécurité.

Transféré par

yafkinzebi
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
431 vues4 pages

50 Questions Reponses Entretien SOC

Le document présente 50 questions et réponses essentielles pour un entretien dans un SOC en cybersécurité, couvrant des concepts clés tels que le rôle d'un SOC, les outils SIEM, les types d'incidents, et les étapes de réponse. Il aborde également des sujets techniques comme les indicateurs de compromission, les types de menaces, et les meilleures pratiques de sécurité. Enfin, il fournit des conseils pratiques pour la détection et la gestion des incidents de sécurité.

Transféré par

yafkinzebi
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

50 Questions/Réponses pour un

Entretien SOC en Cybersécurité


1. Qu’est-ce qu’un SOC ?
Un SOC (Security Operations Center) est une équipe dédiée à la surveillance, la détection,
l’analyse et la réponse aux incidents de sécurité informatique.

2. Quels sont les objectifs principaux d’un SOC ?


Assurer la sécurité continue du système d'information, détecter rapidement les menaces,
analyser les incidents et coordonner la réponse.

3. Qu’est-ce qu’un SIEM ?


Un SIEM (Security Information and Event Management) est une solution qui collecte,
normalise, corrèle et analyse les logs afin d’identifier des activités suspectes.

4. Citez des exemples de solutions SIEM.


Splunk, IBM QRadar, ArcSight, Elastic SIEM, Azure Sentinel.

5. Quelle est la différence entre un SOC de niveau 1, 2 et 3 ?


N1 : Surveillance, tri des alertes, escalade.
N2 : Analyse approfondie, investigation des incidents.
N3 : Réponse aux incidents, chasse aux menaces, amélioration des détections.

6. Qu’est-ce qu’un IOC ?


Un Indicateur de Compromission est une donnée permettant d’identifier une
compromission (adresse IP malveillante, hash, URL, etc.).

7. Quels types de logs sont les plus utiles pour la détection d’incidents ?
Firewall, IDS/IPS, antivirus/EDR, authentification, proxy, Active Directory, etc.

8. Qu’est-ce qu’un EDR ?


Endpoint Detection and Response : outil de surveillance et de réponse sur les postes de
travail/serveurs.

9. Qu’est-ce qu’un playbook dans un SOC ?


Un guide opérationnel standardisé décrivant les étapes de réponse pour un type d’incident
spécifique.

10. Quelle est la première action à faire en cas d’alerte critique ?


Analyser l’alerte, vérifier sa validité, isoler si nécessaire, puis suivre le playbook.
11. Quels sont les ports TCP courants à surveiller ?
80 (HTTP), 443 (HTTPS), 22 (SSH), 3389 (RDP), 445 (SMB), 25 (SMTP), etc.

12. Que fait un firewall ?


Il filtre le trafic réseau entrant et sortant selon des règles définies.

13. Qu’est-ce qu’un IDS ? Et un IPS ?


IDS : détection d’intrusions (passif). IPS : prévention (actif).

14. Quelle est la différence entre NAT et PAT ?


NAT : traduit une IP privée en IP publique. PAT : multiple IP privées partagent une seule IP
publique via des ports.

15. Comment détecter un scan réseau ?


À l’aide d’un IDS/IPS ou d’un SIEM en surveillant des connexions à de nombreux ports/IPs.

16. Que faut-il rechercher dans un log d’authentification suspect ?


Tentatives échouées répétées, horaires inhabituels, adresses IP étrangères.

17. Qu’est-ce qu’un faux positif ?


Une alerte qui semble malveillante mais qui ne l’est pas.

18. Qu’est-ce qu’un vrai négatif ?


Un comportement normal qui ne génère aucune alerte, à juste titre.

19. Comment différencier un utilisateur légitime d’un compte compromis ?


Analyse du comportement (UEBA), géolocalisation, historique d’activité, heures d’accès, etc.

20. Que signifie “privilege escalation” ?


Lorsqu’un utilisateur obtient plus de droits que ceux qui lui sont attribués normalement.

21. Quelles sont les étapes d'une réponse à incident ?


Identification, confinement, éradication, récupération, leçons tirées.

22. Comment isoler un hôte compromis ?


Via l’EDR, le firewall, ou le réseau (VLAN, NAC).

23. Quels fichiers sont importants à collecter lors d’une analyse forensique ?
Logs système, fichiers suspects, captures réseau, RAM dump, etc.

24. Qu’est-ce qu’un malware fileless ?


Un malware qui n’écrit pas de fichiers sur le disque, il reste en mémoire.
25. Comment traiter une alerte d’exfiltration de données ?
Identifier les données concernées, bloquer la communication, notifier la DPO, analyser les
logs.

26. Qu’est-ce que la threat intelligence ?


C’est l’ensemble des informations sur les menaces actuelles ou futures permettant de se
protéger efficacement.

27. Quels sont les principaux types de cybermenaces ?


Phishing, ransomware, DDoS, APT, vol de données, etc.

28. Qu’est-ce qu’un TTP dans le modèle MITRE ATT&CK ?


Tactics, Techniques, and Procedures : comportements utilisés par les attaquants.

29. Quels sites utilises-tu pour collecter des IOC ?


VirusTotal, AbuseIPDB, AlienVault OTX, Malshare, etc.

30. À quoi sert MITRE ATT&CK ?


À catégoriser et documenter les comportements des attaquants pour améliorer la détection.

31. Comment voir les connexions RDP sur Windows ?


Via les logs d’événements : ID 4624 (logon), ID 4625 (échec).

32. Comment surveiller les privilèges sur Active Directory ?


Surveillance des groupes admins, des GPO, et des modifications sur les objets sensibles.

33. Comment identifier un compte service mal configuré ?


Mot de passe inchangé, droits excessifs, exécution interactive…

34. Commande pour afficher les connexions réseau sur Linux ?


`netstat -tunap` ou `ss -tulnp`

35. Comment surveiller les processus suspects sous Linux ?


`ps aux`, `top`, `lsof`, `strace`, etc.

36. Quels outils d’analyse utilises-tu dans un SOC ?


Wireshark, Splunk, ELK, VirusTotal, TheHive, MISP, etc.

37. C’est quoi un honeypot ?


Un leurre qui attire les attaquants pour les surveiller.

38. Qu’est-ce que l’analyse comportementale (UEBA) ?


Technique qui observe les comportements pour détecter des anomalies.
39. Quelle est la différence entre sécurité proactive et réactive ?
Proactive : prévention. Réactive : réponse après détection.

40. Comment effectuer une chasse aux menaces ?


Analyse manuelle proactive des systèmes/logs pour identifier des attaques non détectées.

41. Pourquoi segmenter un réseau ?


Pour limiter la propagation d’une attaque.

42. Que signifie le principe du moindre privilège ?


Donner uniquement les droits nécessaires à un utilisateur.

43. Cite un framework de cybersécurité.


NIST, ISO 27001, MITRE ATT&CK, CIS Controls.

44. Qu’est-ce qu’un plan de continuité d’activité ?


Stratégie pour maintenir les services essentiels en cas d’incident.

45. Quelle est la différence entre vulnérabilité et menace ?


Vulnérabilité : faiblesse. Menace : événement ou entité malveillante.

46. Un utilisateur signale un comportement bizarre de son PC, que fais-tu ?


Isoler, collecter les infos, analyser les logs/processus, vérifier avec l’EDR.

47. Une alerte indique une connexion RDP depuis l’étranger. Que fais-tu ?
Vérifier la légitimité, analyser les logs, bloquer la session si nécessaire.

48. Tu observes une élévation de privilèges suspecte, que fais-tu ?


Analyser les logs, alerter, isoler, suivre le playbook.

49. Tu reçois 50 alertes identiques en une minute, que fais-tu ?


Identifier si c’est un faux positif ou une attaque réelle (DoS, worm, etc.).

50. Tu dois former un collègue SOC niveau 1, que lui expliques-tu en premier ?
Les bases du tri des alertes, la classification des incidents, la documentation précise.

Vous aimerez peut-être aussi