Un laboratoire multi-client reproductible couvrant Endpoint, Identity, Cloud, Mobile et Network — de la collecte des traces à la remédiation, avec règles versionnées, exclusions gouvernées, playbooks et pilotage opérationnel.
Le système relie les événements normalisés, les règles de détection, le tuning, la corrélation, l'investigation, le confinement, la remédiation, les preuves et les indicateurs de service dans une chaîne auditable.
Toutes les données, identités, entreprises et infrastructures sont fictives. Les méthodes, contrôles et formats de preuve sont conçus pour être reproductibles.
Dix indicateurs synthétisent la chaîne de détection et réponse du 1er au 30 juin 2026, du signal brut à l'incident qualifié et au respect des engagements de service.
Les deux écarts assumés — télémétrie et couverture ATT&CK — alimentent un backlog priorisé plutôt qu'un statut artificiellement parfait.
HELIOS démontre une chaîne XDR complète : compréhension du système d'information, intégration multi-source, détection portable, tuning gouverné, diagnostic d'incident, réponse, preuves, reporting technique et synthèse opérationnelle.
24 règles, 5 formats, 96 tests.
5 playbooks, 39 incidents, délais mesurés.
SLA, exclusions, ATT&CK, QA et feuille de route.
Chaque étape produit un objet traçable et un contrôle vérifiable, avec cloisonnement par client et liens explicites entre événement, alerte, cas, incident, playbook et preuve.
EDR, Entra ID, cloud, MTD, Suricata et Zeek
collecteurs, API, agents, syslog, schéma canonique
Sigma, KQL, Wazuh, Suricata et corrélation
seuils, déduplication et exclusions expirables
contexte client, actif, identité, technique et campagne
chronologie, preuves, cause racine et qualification
confinement, remédiation, recovery et réversibilité
SLA, ATT&CK, QA, reporting client et roadmap
Cloisonnement systématique par client_id.
Traçabilité règle → alerte → cas → incident → preuve.
Aucune exclusion globale d'une détection critique.
Le catalogue couvre cinq domaines et cinq formats de détection. Chaque règle est reliée à une technique ATT&CK, une sévérité, un propriétaire, une fréquence de revue et un jeu de tests positifs et négatifs.
| ID | Règle | Domaine | Sévérité | Technique | Format |
|---|---|---|---|---|---|
| R001 | PowerShell encodé ou obfusqué | Endpoint | High | T1059.001 | Sigma |
| R002 | Accès suspect à LSASS | Endpoint | Critical | T1003.001 | Sigma |
| R003 | Processus enfant inhabituel de Microsoft Office | Endpoint | High | T1204.002 | Sigma |
| R004 | Renommage massif de fichiers | Endpoint | Critical | T1486 | Sigma |
| R005 | Téléchargement via LOLBin | Endpoint | High | T1105 | Sigma |
| R006 | Échecs puis succès d’authentification | Identity | High | T1110 | KQL |
| R007 | Connexion géographiquement impossible | Identity | High | T1078 | KQL |
| R008 | Consentement OAuth à privilèges élevés | Cloud | High | T1098.003 | KQL |
| R009 | Attribution administrateur global | Cloud | Critical | T1098 | KQL |
| R010 | Stockage cloud rendu public | Cloud | High | T1530 | KQL |
Un test échoué bloque le quality gate de la règle concernée.
Les incidents sont qualifiés par chronologie, cause racine, techniques ATT&CK, playbook, actions de confinement, délais et respect du SLA.
Quinze connecteurs mesurent l'onboarding, la qualité de parsing et la latence d'ingestion pour trois environnements synthétiques.
| Client | Domaine | Connecteur | Attendus | Connectés | Couverture | Parsing | Latence P95 | Statut |
|---|---|---|---|---|---|---|---|---|
| FR-RET | Endpoint | MDE/Wazuh + Sysmon | 490 | 463 | 94.49% | 99.21% | 83.2s | Healthy |
| FR-RET | Identity | Entra ID Sign-in & Audit | 1 | 1 | 100% | 99.23% | 83.6s | Healthy |
| FR-RET | Cloud | Azure Activity + CloudTrail | 50 | 50 | 100% | 99.26% | 82.4s | Healthy |
| FR-RET | Mobile | Intune + MTD | 220 | 178 | 80.91% | 99.4% | 82.8s | Watch |
| FR-RET | Network | Suricata + Zeek | 18 | 17 | 94.44% | 99.31% | 82.3s | Healthy |
| FR-SAN | Endpoint | MDE/Wazuh + Sysmon | 370 | 357 | 96.49% | 99.04% | 83.1s | Healthy |
| FR-SAN | Identity | Entra ID Sign-in & Audit | 1 | 1 | 100% | 99.32% | 83.8s | Healthy |
| FR-SAN | Cloud | Azure Activity + CloudTrail | 30 | 30 | 100% | 98.94% | 83.9s | Healthy |
| FR-SAN | Mobile | Intune + MTD | 120 | 107 | 89.17% | 99.28% | 81.5s | Watch |
| FR-SAN | Network | Suricata + Zeek | 12 | 11 | 91.67% | 99.03% | 82.8s | Healthy |
| FR-IND | Endpoint | MDE/Wazuh + Sysmon | 390 | 366 | 93.85% | 99.3% | 83s | Healthy |
| FR-IND | Identity | Entra ID Sign-in & Audit | 1 | 1 | 100% | 99.14% | 83.5s | Healthy |
| FR-IND | Cloud | Azure Activity + CloudTrail | 40 | 39 | 97.5% | 99.42% | 81.8s | Healthy |
| FR-IND | Mobile | Intune + MTD | 80 | 73 | 91.25% | 99.3% | 83.1s | Healthy |
| FR-IND | Network | Suricata + Zeek | 16 | 14 | 87.5% | 98.89% | 81.9s | Watch |
La couverture de 70,00 % est mesurée sur une liste priorisée issue des scénarios de risque, et non sur l'intégralité du catalogue ATT&CK.
21 techniques couvertes · 9 en gap P2.
L'objectif est de réduire le bruit sans créer de zones aveugles permanentes. Chaque exception est limitée, documentée, approuvée, mesurée et soumise à expiration.
| ID | Règle | Champ | Valeur | Décision | Portée | Expiration | Supprimées |
|---|---|---|---|---|---|---|---|
| EXC-001 | R001 | actor | svc_sccm | Approved | Scoped | 2026-08-15 | 9 |
| EXC-002 | R004 | actor | svc_backup | Approved | Scoped | 2026-08-20 | 2 |
| EXC-003 | R017 | actor | svc_vulnscan | Approved | Scoped | 2026-07-28 | 4 |
| EXC-004 | R011 | actor | svc_migration | Approved | Scoped | 2026-07-31 | 5 |
| EXC-005 | R021 | actor | svc_cloudops | Approved | Scoped | 2026-09-03 | 5 |
| EXC-006 | R024 | actor | svc_backup | Approved | Scoped | 2026-08-05 | 2 |
| EXC-007 | R005 | actor | svc_sccm | Approved | Scoped | 2026-07-20 | 5 |
| EXC-008 | R010 | actor | svc_migration | Approved | Scoped | 2026-07-25 | 7 |
| EXC-009 | R002 | actor | * | Rejected | Scoped | 2026-12-31 | 0 |
| EXC-010 | R016 | actor | Network | Rejected | Scoped | 2026-12-31 | 0 |
EXC-009 et EXC-010 illustrent des demandes rejetées : preuve de gouvernance, non des erreurs.
Le workbook consolide actifs, alertes, incidents, SLA, couverture, tests, ATT&CK, exclusions et brief client avec des formules, contrôles croisés et un code couleur explicite.
Les standards structurent la collecte, la cartographie des menaces, les règles, la réponse à incident, la minimisation des traces et les contrôles, sans prétendre reproduire un environnement de production réel.
recommandations ANSSI
EBIOS Risk Manager
MITRE ATT&CK Enterprise & Mobile
NIST SP 800-61 Rev. 3
Sigma, KQL, Wazuh et Suricata
principes CNIL
Les chiffres décrivent une simulation reproductible. Ils ne constituent ni un canonical design de performance d'un SOC réel, ni une certification d'un produit, ni une affirmation sur une infrastructure tierce.
Quinze contrôles réconcilient les volumes, les ratios, les durées, les seuils et les politiques d'exclusion entre les données, Python, Excel et le site.
| ID | Contrôle | Statut |
|---|---|---|
| QA-001 | 3 clients | PASS |
| QA-002 | 1 790 actifs | PASS |
| QA-003 | 776 alertes brutes | PASS |
| QA-004 | 255 alertes qualifiées | PASS |
| QA-005 | 39 incidents | PASS |
| QA-006 | Réduction ≥ 65 % | PASS |
| QA-007 | Précision ≥ 85 % | PASS |
| QA-008 | MTTD ≤ 45 min | PASS |
| QA-009 | Confinement ≤ 120 min | PASS |
| QA-010 | SLA ≥ 90 % | PASS |
| QA-011 | Parsing ≥ 99 % | PASS |
| QA-012 | Tests de règles ≥ 95 % | PASS |
| QA-013 | Aucun actif orphelin | PASS |
| QA-014 | Aucune durée négative | PASS |
| QA-015 | Aucune exclusion approuvée hors politique | PASS |
Le rapport, le modèle, les règles, les playbooks, les notebooks, les données synthétiques, les preuves et les contrôles sont structurés pour être consultés et rejoués.