La notification est la phase la plus critique lors de la mise en place d’une infrastructure de surveillance. En effet, il faut prendre en compte deux paramètres contradictoires :

• la sous-notification (faux négatif) qui a pour effet de ne pas être informé d’un risque
• la sur-notification (faux positif) qui va enterrer le risque réel en le noyant sous un tas de fausses alertes. Les personnes notifiées ne faisant plus la part entre les vrais risques et les fausses notifications.

La notification classique via e-mail n’ai plus capable de répondre à ces besoins, ceux-ci mélangeant les messages personnels, les notifications de toutes sortent, les SPAMs, … Etre réactif via la notification e-mail est devenu impossible.

Le dashboard permet d’éviter la sur-notification en présentant les résultats bruts de manière synthétique. Cela permet de voir situations inhabituelles et réagir à celle-ci sans même avoir reçu la moindre notification.

Pour éviter la sous-notification, le S.O.C se base sur le module d’alerting d’OpenSearch et la plateforme de ticketing zammad. Lorsqu’un événement est détecté comme suffisamment aberrant pour entrainer une notification, OpenSearch va créer un ticket dans zammad. Ce ticket va permettre de :

• notifier par e-mail le CERT-IN2P3
• proposer une interface de suivi des incidents de leur detection à leur cloture

Aujourd’hui, deux événements entrainent une notification e-mail

• une machine a déclenché plus de 10 indices de compromission dans les 16 dernières heures
• une même menace (groupe d’indice de compromission) a été detecté sur plus de 5 machines différentes dans les 16 dernières heures.

Pourquoi 16 heures ? Cela permet de à 9:00 d’avoir une vision de ce qui a pu se passer depuis 17:00 la veille. Nous n’avons donc pas d’angle mort du à la nuit (12:00) ou de recouvrement trop grand de la journée passée (24:00)