SOC et Detection

Détection des Attaques Active Directory avec Microsoft Sentinel 2026

Windows Events à Surveiller sur un Contrôleur de Domaine : Guide SOC 2026

Sysmon sur Contrôleurs de Domaine : Configuration et Détection 2026

Sysmon (System Monitor) est l'outil de télémétrie le plus puissant pour détecter les attaques sophistiquées sur les contrôleurs de domaine Windows. Contrairement aux journaux Windows natifs, Sysmon capture les créations de processus avec hash, les accès à LSASS (signature Mimikatz/DCSync), les connexions réseau, les chargements de DLL et les accès aux fichiers sensibles comme ntds.dit. Ce guide couvre le déploiement sur DC Windows Server 2025, la configuration XML optimisée, les Event IDs critiques pour la détection AD, et l'intégration avec Wazuh et Microsoft Sentinel.

Détecter les Attaques Active Directory avec Wazuh : Guide Complet

Guide complet pour détecter les attaques Active Directory avec Wazuh : règles XML pour DCSync (Event 4662), Kerberoasting (Event 4769 RC4), Pass-the-Hash, Golden Ticket, modifications GPO et groupes privilégiés. Architecture WEF + Sysmon pour SOC.

IA et Threat Intelligence Prédictive en 2026

CTEM et IA : Continuous Threat Exposure Management en 2026

AI-Driven SOC : Révolution ou Complexité Supplémentaire ?

AI Agents dans le SOC : Automatisation des Incidents en 2026

Suricata : IDS/IPS/NSM Open Source Multi-thread 2026

Suricata est le moteur IDS/IPS/NSM open source multi-thread de reference, developpe par l'Open Information Security Foundation (OISF) depuis 2009. Distribue sous licence GPLv2, il combine detection passive, prevention inline AF_PACKET/NFQUEUE et Network Security Monitoring dans un binaire unique. Avec Hyperscan, RSS multi-queue et eBPF/XDP bypass, il atteint 10-40 Gbps sur du materiel standard et 100+ Gbps avec SmartNIC Napatech. Compatible avec les signatures Snort 3 et Emerging Threats Open (70 000 regles), parser HTTP/2, TLS sans MITM, JA3/JA3S/JA4 fingerprinting, EVE JSON output natif. Version 7.0 LTS jusqu'en 2028, branche 8.0 en developpement.

Graylog : Plateforme SIEM Log Management Open Core

Graylog est une plateforme SIEM (Security Information and Event Management) et de log management centralise distribuee selon un modele open core par la societe Graylog Inc. (Houston, Texas, anciennement Hambourg). Concue pour ingerer, indexer, correler et analyser plusieurs teraoctets de logs par jour avec une latence inferieure a la seconde, la plateforme combine un coeur open source Graylog Open sous licence SSPLv1 et des editions commerciales Graylog Operations, Graylog Security et Graylog Enterprise. Demarree en 2010 a Hambourg par Lennart Koopmann sous le nom Graylog2, la solution atteint la version 6.2 en mai 2026 et compte plus de 50 000 deploiements declares dont environ 1 800 clients commerciaux. Graylog repose sur une architecture trois tiers : un cluster Graylog Server (JVM Java 17), une base MongoDB et un backend Elasticsearch ou OpenSearch.

SentinelOne Singularity : XDR Autonome Powered by AI

SentinelOne Singularity est la plateforme XDR autonome propulsée par l'IA agentique, fondée en 2013 par Tomer Weingarten et cotée au NYSE depuis l'IPO de juin 2021 (ticker S). Cette page entity-first détaille l'architecture autonome (ActiveEDR, Storyline, rollback ransomware VSS), les modules Singularity Endpoint / Identity (Attivo) / Cloud Workload (PingSafe) / Data Lake (Scalyr) / Ranger / Purple AI, le pricing 2026, le MDR Vigilance et les comparatifs face à CrowdStrike Falcon, Microsoft Defender XDR et Trellix.

Audit DNS 2026 : Sécuriser SOA, SPF, DMARC, DNSSEC, DANE

Le Domain Name System constitue la fondation invisible mais critique de l'Internet contemporain : aucun service moderne — courrier électronique, navigation web, voix sur IP, messagerie instantanée, plateformes SaaS, terminaux IoT, fintech ou systèmes industriels — ne fonctionne sans cette résolution silencieuse qui traduit les noms humains en adresses IP machines. Pourtant, en 2026, le DNS demeure le maillon le plus négligé des programmes de sécurité, alors même que la pression réglementaire NIS2, les exigences Yahoo et Google de février 2024 et la multiplication des incidents BEC, subdomain takeover et DKIM replay ont fait basculer cet héritage technique dans la catégorie des actifs cyber stratégiques.

Microsoft Defender : Suite XDR Microsoft 365 en 2026

Microsoft Defender est la suite XDR de Microsoft regroupant Defender for Endpoint, for Identity, for Office 365, for Cloud, for Servers, for IoT et for DevOps, unifiée par Microsoft Defender XDR (anciennement Microsoft 365 Defender). Cette page entity-first détaille les composants, les capacités EDR (NGAV, ASR, Tamper Protection, Smart App Control), le hunting KQL unifié, l'intégration Sentinel, les plans de licensing (P1, P2, E5, A5, Business Premium) et les comparatifs concurrentiels avec CrowdStrike Falcon, SentinelOne, ESET et Bitdefender pour les PME, ETI et grands comptes en 2026.

Splunk : Plateforme SIEM Observability (Cisco) 2026

Splunk est la plateforme commerciale de reference pour la collecte et l'analyse de donnees machine, leader Gartner SIEM depuis 2013 et rachete par Cisco en mars 2024 pour 28 Md$. Tour d'horizon de l'architecture (Indexers, Search Heads, Forwarders), du langage SPL, des modules Enterprise Security, SOAR, Mission Control, Observability Cloud et MLTK, du pricing workload et du comparatif face a Sentinel, Wazuh, Elastic et QRadar.

Microsoft Sentinel : SIEM/SOAR Cloud Microsoft Azure 2026

Guide entity-first 2026 sur Microsoft Sentinel : SIEM/SOAR cloud-native Azure. Architecture Log Analytics, langage KQL, 200+ data connectors, Analytics Rules (Scheduled, NRT, Fusion), UEBA, hunting Notebooks Jupyter, automation Logic Apps, unification Defender XDR, pricing Pay-As-You-Go vs Commitment Tiers, comparatif vs Splunk, Wazuh, IBM QRadar.

CrowdStrike Falcon : EDR/XDR cloud-native, modules et prix

CrowdStrike Falcon est la plateforme EDR/XDR cloud-native fondée en 2011 par Dmitri Alperovitch et George Kurtz. Cette page entity-first détaille l'architecture single-agent, le Threat Graph, les modules (Prevent, Insight, OverWatch, Identity, Cloud Workload, LogScale, Charlotte AI), le pricing 2026, les comparatifs SentinelOne / Defender / Sophos et les leçons retenues de l'incident Channel File 291 du 19 juillet 2024.

Wazuh : Plateforme XDR/SIEM Open Source 2026 - Guide Complet

Wazuh est une plateforme de securite unifiee XDR (Extended Detection and Response) et SIEM (Security Information and Event Management) open source, distribuee sous licence GPLv2, qui agrege la collecte de logs, la detection de menaces, le monitoring d'integrite des fichiers (FIM), l'evaluation des vulnerabilites, l'evaluation de la configuration de securite (SCA) et l'audit de conformite reglementaire dans une stack unique. Maintenue par Wazuh Inc. (Sunnyvale, Californie) depuis 2015 apres son fork de OSSEC, la plateforme atteint la version 4.12 en mai 2026 et compte plus de 20 000 deploiements actifs dans 150 pays. Wazuh repose sur quatre composants : Manager, Indexer, Dashboard et Agents.

Wazuh SIEM/XDR : Guide Déploiement et Détection 2026

Guide complet Wazuh SIEM/XDR : architecture, déploiement Docker/K8s, agents, règles détection, FIM, Active Response, intégration TheHive/MISP/Shuffle.

Incident Triage : Classification et Priorisation SOC 2026

Threat Hunting Proactif : Techniques et Outils SOC 2026

Sigma Rules : Standard de Détection Universel Guide Complet

SOC as a Service : Externaliser la Détection Guide 2026

XDR vs SIEM vs EDR : Comprendre les Différences en 2026

Purple Team : Collaboration entre SOC et Red Team Guide