Si la surveillance des indices de compromission est la base de la sécurité des systèmes d’information, ceux-ci ne sont que des indices et il peut être contre productif d’alerter les acteurs d’un SSI dès qu’un indice est détecté et ainsi générer des faux positifs qui auront comme conséquence une absence de réaction lors d’une véritable alerte.

Afin de réduire ces faux positifs, il est nécessaire de consolider les informations pour dégager, à partir d’indice de compromission, un faisceau de présomption d’une activité anormale.

Utiliser un réducteur d’URL, télécharger un fichier depuis un fournisseur non-institutionnel ou encore se connecter à plusieurs centaines de machines ne sont pas en soit des indicateurs suffisants s’ils sont pris de manière individuelle. Par contre, si ces trois paramètres concernent un seul et unique poste de travail, alors il est nécessaire d’analyser le poste en question.

Pour consolider les informations, le SOC de l’IN2P3 utilise la solution opensearch. Cette solution permet de centraliser les différents journaux d’alertes (aujourd’hui pDNSSOC) et de réaliser des tableaux de bord web qui vont permettre aux administrateurs systèmes en charge de la SSI d’avoir une vue synthétique des alertes et des différents niveaux d’alerte de chaque poste de travail.