En tant que sponsor, nous proposons un sujet de conception d’un algorithme de labélisation permettant d’identifier les traces malveillantes au sein des datasets collectés. Les participants auront accès à des datasets contenant des traces réseau (PCAP) et système (logs au format ECS) suite à l’exécution de modes opératoires d’attaque. Les métadonnées des actions d’attaque et de vie sont au format JSON. L’intérêt d’un tel algorithme est de pouvoir produire un jeu de données labélisé, utilisable ensuite pour entrainer et tester des méthodes d’apprentissage au sein de produits de supervision de sécurité (SIEM, XDR, sondes réseau, etc.).

Ce challenge s’inscrit dans le développement de M&NTIS Platform, notre solution d’émulation d’adversaire au sein d’un Cyber Range. Cette solution permet de tester des produits de sécurité en défense, et sert à entrainer des équipes SOC et CERT face à des attaques réalistes. M&NTIS Platform permet notamment de générer et mettre à disposition des datasets de traces (logs systèmes et PCAP réseau) suite à des activités légitimes et malveillantes sur un système d’information simulé. La capacité d’émulation d’adversaire permet de jouer des scénarios d’attaque réalistes et de produire un rapport contenant les métadonnées de chaque étape d’attaque (machine compromise, type de compromission effectuée, commande d’attaque exécutée, timestamps, etc.). Ce rapport d’attaque est généré au format JSON, ce qui permet d’automatiser son traitement par la suite. Par ailleurs, un moteur permet de jouer des activités de vie légitime (ouverture de session, navigation sur internet, échange de mail, bureautique), de manière furtive vis-à-vis de l’OS (i.e. sans agent). Cette capacité permet de produire des traces réseau et système contenant de l’activité bénine.