SlideShare uma empresa Scribd logo

Investigation de cybersécurité avec Splunk

I
Ibrahimous

Démonstration d'investigation sur des cyberattaques, dans le contexte d’un SOC, avec l’outil « Splunk ». Présentation réalisée pour le Security Tuesday de l'ISSA France le 19 mai 2015.

Apresentações e oratória
1 de 21
Baixar para ler offline
Détecter des cyberattaques Un exemple plein de Splunk et de visualisations Charles Ibrahim - @Ibrahimous
L’investigation de sécurité avec Splunk Exemple complet : Spam, pièces-jointes, et utilisateurs imprudents Dataviz, machine learning, Big Data Agenda de la présentation 19/05/2015 2 Introduction Conclusion Charles Ibrahim - @Ibrahimous
Introduction SOC/SIEM 19/05/2015 3 “A security operations center (SOC) is a centralized unit that deals with security issues, on an organizational and technical level” (Wikipedia)  Défense en profondeur. Si, ça sert.  SOC ? CERT ? CSIRT ? … WAT ?  Ten Strategies of a World-Class Cybersecurity Operations Center - www.mitre.org/sites/default/files/public ations/pr-13-1028-mitre-10-strategies- cyber-ops-center.pdf Charles Ibrahim - @Ibrahimous
L’investigation de sécurité avec Splunk Exemple complet : Spam, pièces-jointes, et utilisateurs imprudents Dataviz, machine learning, Big Data Agenda de la présentation 19/05/2015 4 Introduction Conclusion Charles Ibrahim - @Ibrahimous
Servers Storage DesktopsEmail Web Transaction Records Network Flows DHCP/ DNS Hypervisor Custom Apps Physical Access Badges Threat Intelligence Mobile CMBD 5 All Machine Data is Security Relevant Intrusion Detection Firewall Data Loss Prevention Anti- Malware Vulnerability Scans Authentication Traditional SIEM Splunk et la supervision de sécurité 19/05/2015 Charles Ibrahim - @Ibrahimous
Fonctionnement de Splunk – vue générale 19/05/2015 6  Cœur <-> démon splunkd : en C  Interface Web : Django  SplunkJS <-> full MVC Javascript côté serveur  … et BEAUCOUP de fichiers de conf ^^ Charles Ibrahim - @Ibrahimous
Des Apps ! Des T-A ! 19/05/2015 7  Splunk est modulaire : possibilité d’ajouter des « Technology Add-Ons » et d’installer des Apps Charles Ibrahim - @Ibrahimous
L’investigation de sécurité avec Splunk Exemple complet : Un spam, une pièce-jointe, un utilisateur imprudent Dataviz, machine learning, Big Data Agenda de la présentation 19/05/2015 8 Introduction Conclusion Charles Ibrahim - @Ibrahimous
Réception d’alerte suricata avec splunk 19/05/2015 9Charles Ibrahim - @Ibrahimous
Analyse de logs dans splunk 19/05/2015 10Charles Ibrahim - @Ibrahimous
Récupération de l’ensemble de la campagne 19/05/2015 11Charles Ibrahim - @Ibrahimous
Récupération de la PJ 19/05/2015 12Charles Ibrahim - @Ibrahimous … « Vous avez ouvert le mail ? » « … et la PJ ?? » « … une fenêtre avec des lignes de commandes ??? »
Localisation et réputation 19/05/2015 13Charles Ibrahim - @Ibrahimous
Historique de l’adresse IP 19/05/2015 14  Fréquence à laquelle cette IP déclenche des alertes / se connecte à notre infra ?  Quels équipements de sécurité fait-elle sonner ? Haute valeur ajoutée ! Charles Ibrahim - @Ibrahimous  Des postes de travail de notre parc s’y connectent-ils ?  Est-elle présente dans des listes de Threat Intelligence ?
L’investigation de sécurité avec Splunk Exemple complet : Spam, pièces-jointes, et utilisateurs imprudents Dataviz, machine learning, Big Data Agenda de la présentation 19/05/2015 15 Introduction Conclusion Charles Ibrahim - @Ibrahimous
Parenthèse : des outils de visualisation ?  Place à Javascript !  … qui permet de manipuler des éléments HTML et d’y lier des données en masse  … via d3.js, sigma.js, SplunkJS, … 19/05/2015 16Charles Ibrahim - @Ibrahimous
Visualiser des données de sécurité… pour quoi faire ? 19/05/2015 17Charles Ibrahim - @Ibrahimous
Perspectives : voir en N dimensions – Machine Learning 19/05/2015 18  Visualisation effective en dimension 2 (+ ou – en dimension 3, peut-être, un jour).  Perception humaine VS agrégation d’indicateurs !  Il n’y a pas que la puissance de calcul qui compte !  Représentation des données : vive les mathématiques (géométrie algébrique, topologie, analyse différentielle) Charles Ibrahim - @Ibrahimous  Apprendre des données : Big Data & Machine Learning
Conclusion 19/05/2015 19  Splunk : un gestionnaire de logs efficace, donc adapté à la supervision de sécurité, bien que requérant des compétences techniques poussées  Permet l’implémentation de règles de détection de très nombreuses formes d’attaques  Plus généralement, les analystes cybersécurité doivent inventer et développer de nouvelles visualisations, qui leur permettront de détecter les menaces les plus complexes. Charles Ibrahim - @Ibrahimous
Quelques références 19/05/2015 20  SIEMs  Magic Quadrant Gartner  Splunk – how it works  Splunk Documentation (général)  How indexing works ?  Configuration parameters and the data pipeline  Suricata  MISC (mars 2013)- Présentation – Éric Leblond  Javascript libraries :  D3js  Sigmajs  SplunkJS stack  Big Data, Machine Learning :  Big Data  Machine Learning, Entropy and Fraud in Splunk Charles Ibrahim - @Ibrahimous
Merci pour votre attention ! … et classiquement : place aux questions ! 19/05/2015 21 @Ibrahimous& : : Charles Ibrahim& Charles Ibrahim - @Ibrahimous

Recomendados

Présentation sur splunk
Présentation sur splunkPrésentation sur splunk
Présentation sur splunk
Najib Ihsine
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
Tidiane Sylla
 
Rapport Splunk.pdf
Rapport Splunk.pdfRapport Splunk.pdf
Rapport Splunk.pdf
HichemKhalfi
 
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Saadaoui Marwen
 
Splunk
SplunkSplunk
Splunk
Simstream
 
Alphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemes
Hicham Moujahid
 

Recomendados

Présentation sur splunk
Présentation sur splunkPrésentation sur splunk
Présentation sur splunk
Najib Ihsine
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
Tidiane Sylla
 
Rapport Splunk.pdf
Rapport Splunk.pdfRapport Splunk.pdf
Rapport Splunk.pdf
HichemKhalfi
 
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Saadaoui Marwen
 
Splunk
SplunkSplunk
Splunk
Simstream
 
Alphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemes
Hicham Moujahid
 
Alphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide completAlphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm
 
Présentation PFE "Refonte et déploiement d’une solution de messagerie en util...
Présentation PFE "Refonte et déploiement d’une solution de messagerie en util...Présentation PFE "Refonte et déploiement d’une solution de messagerie en util...
Présentation PFE "Refonte et déploiement d’une solution de messagerie en util...
Nawres Farhat
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Mohammed LAAZIZLI
 
Siem OSSIM
Siem OSSIMSiem OSSIM
Siem OSSIM
Yaya N'Tyeni Sanogo
 
Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2
PRONETIS
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
CHAOUACHI marwen
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptx
emnabenamor3
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC !
SecludIT
 
Rapport de Stage PFE - Développement d'un Projet ALTEN MAROC Concernant le Sy...
Rapport de Stage PFE - Développement d'un Projet ALTEN MAROC Concernant le Sy...Rapport de Stage PFE - Développement d'un Projet ALTEN MAROC Concernant le Sy...
Rapport de Stage PFE - Développement d'un Projet ALTEN MAROC Concernant le Sy...
tayebbousfiha1
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
Charif Khrichfa
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm
 
Sécurité dans le cloud
Sécurité dans le cloudSécurité dans le cloud
Sécurité dans le cloud
Hassan EL ALLOUSSI
 
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Nawres Farhat
 
Introduction à l'IOT (Internet des objets) - Thomas DARIEL (PramaTALK)
Introduction à l'IOT (Internet des objets) - Thomas DARIEL (PramaTALK)Introduction à l'IOT (Internet des objets) - Thomas DARIEL (PramaTALK)
Introduction à l'IOT (Internet des objets) - Thomas DARIEL (PramaTALK)
Pramana
 
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESPRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
TelecomValley
 
Sécurité des systèmes d’information industriels
Sécurité des systèmes d’information industrielsSécurité des systèmes d’information industriels
Sécurité des systèmes d’information industriels
PRONETIS
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sakka Mustapha
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
Manassé Achim kpaya
 
French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19
Laurent Pingault
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
Nouriddin BEN ZEKRI
 
Splunk
SplunkSplunk
Splunk
Bruno Bonfils
 
Splunk for Security Workshop
Splunk for Security WorkshopSplunk for Security Workshop
Splunk for Security Workshop
Splunk
 

Mais conteúdo relacionado

Mais procurados

Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Mohammed LAAZIZLI
 
Rapport de Stage PFE - Développement d'un Projet ALTEN MAROC Concernant le Sy...
Rapport de Stage PFE - Développement d'un Projet ALTEN MAROC Concernant le Sy...Rapport de Stage PFE - Développement d'un Projet ALTEN MAROC Concernant le Sy...
Rapport de Stage PFE - Développement d'un Projet ALTEN MAROC Concernant le Sy...
tayebbousfiha1
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm
 

Mais procurados (20)

Alphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide completAlphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide complet
 
Présentation PFE "Refonte et déploiement d’une solution de messagerie en util...
Présentation PFE "Refonte et déploiement d’une solution de messagerie en util...Présentation PFE "Refonte et déploiement d’une solution de messagerie en util...
Présentation PFE "Refonte et déploiement d’une solution de messagerie en util...
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
 
Siem OSSIM
Siem OSSIMSiem OSSIM
Siem OSSIM
 
Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptx
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC !
 
Rapport de Stage PFE - Développement d'un Projet ALTEN MAROC Concernant le Sy...
Rapport de Stage PFE - Développement d'un Projet ALTEN MAROC Concernant le Sy...Rapport de Stage PFE - Développement d'un Projet ALTEN MAROC Concernant le Sy...
Rapport de Stage PFE - Développement d'un Projet ALTEN MAROC Concernant le Sy...
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
 
Sécurité dans le cloud
Sécurité dans le cloudSécurité dans le cloud
Sécurité dans le cloud
 
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
Rapport pfe- Refonte et déploiement d’une solution de messagerie en utilisant...
 
Introduction à l'IOT (Internet des objets) - Thomas DARIEL (PramaTALK)
Introduction à l'IOT (Internet des objets) - Thomas DARIEL (PramaTALK)Introduction à l'IOT (Internet des objets) - Thomas DARIEL (PramaTALK)
Introduction à l'IOT (Internet des objets) - Thomas DARIEL (PramaTALK)
 
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESPRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
 
Sécurité des systèmes d’information industriels
Sécurité des systèmes d’information industrielsSécurité des systèmes d’information industriels
Sécurité des systèmes d’information industriels
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
 
French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 

Destaque

Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
StHack
 
ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...
ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...
ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...
Cyber Security Alliance
 

Destaque (20)

Splunk
SplunkSplunk
Splunk
 
Splunk for Security Workshop
Splunk for Security WorkshopSplunk for Security Workshop
Splunk for Security Workshop
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
 
HP ArcSight
HP ArcSight HP ArcSight
HP ArcSight
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielle
 
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIILes audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
 
SplunkLive Wellington 2015 - New Features, Pivot and Search Dojo
SplunkLive Wellington 2015 - New Features, Pivot and Search DojoSplunkLive Wellington 2015 - New Features, Pivot and Search Dojo
SplunkLive Wellington 2015 - New Features, Pivot and Search Dojo
 
SplunkLive! Paris 2015 - Auchan
SplunkLive! Paris 2015 - AuchanSplunkLive! Paris 2015 - Auchan
SplunkLive! Paris 2015 - Auchan
 
Applying Lean for information security operations centre
Applying Lean for information security operations centreApplying Lean for information security operations centre
Applying Lean for information security operations centre
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
 
ENFIN Cyber !
ENFIN Cyber !ENFIN Cyber !
ENFIN Cyber !
 
Firewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructureFirewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructure
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industriels
 
Cyber Security IT GRC Management Model and Methodology.
Cyber Security IT GRC Management Model and Methodology.Cyber Security IT GRC Management Model and Methodology.
Cyber Security IT GRC Management Model and Methodology.
 
2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims
2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims
2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims
 
Cloud & Cybersécurité, le socle de toute activité ?
Cloud & Cybersécurité, le socle de toute activité ?Cloud & Cybersécurité, le socle de toute activité ?
Cloud & Cybersécurité, le socle de toute activité ?
 
Introduction to malware analysis with Cuckoo Sandbox
Introduction to malware analysis with Cuckoo SandboxIntroduction to malware analysis with Cuckoo Sandbox
Introduction to malware analysis with Cuckoo Sandbox
 
ANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritéANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécurité
 
ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...
ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...
ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...
 

Semelhante a Investigation de cybersécurité avec Splunk

Une plateforme Data 360 au Ministère des Armements avec la Suite Elastic
Une plateforme Data 360 au Ministère des Armements avec la Suite ElasticUne plateforme Data 360 au Ministère des Armements avec la Suite Elastic
Une plateforme Data 360 au Ministère des Armements avec la Suite Elastic
Elasticsearch
 
Bluemix Paris Meetup : Big data et Analytics - 15 avril 2015
Bluemix Paris Meetup : Big data et Analytics - 15 avril 2015Bluemix Paris Meetup : Big data et Analytics - 15 avril 2015
Bluemix Paris Meetup : Big data et Analytics - 15 avril 2015
IBM France Lab
 
15 03 16_data sciences pour l'actuariat_f. soulie fogelman
15 03 16_data sciences pour l'actuariat_f. soulie fogelman15 03 16_data sciences pour l'actuariat_f. soulie fogelman
15 03 16_data sciences pour l'actuariat_f. soulie fogelman
Arthur Charpentier
 

Semelhante a Investigation de cybersécurité avec Splunk (20)

SplunkLive! Paris 2015 - ICDC
SplunkLive! Paris 2015 - ICDCSplunkLive! Paris 2015 - ICDC
SplunkLive! Paris 2015 - ICDC
 
Bluemix Paris Meetup #5 - Internet des objets - 11 février 2015
Bluemix Paris Meetup #5 - Internet des objets - 11 février 2015Bluemix Paris Meetup #5 - Internet des objets - 11 février 2015
Bluemix Paris Meetup #5 - Internet des objets - 11 février 2015
 
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
 
AccorHotels - CRIP Paris
AccorHotels - CRIP ParisAccorHotels - CRIP Paris
AccorHotels - CRIP Paris
 
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
 
VISEO Shake the Microsoft business - comment rapidement batir une solution IoT
VISEO Shake the Microsoft business - comment rapidement batir une solution IoTVISEO Shake the Microsoft business - comment rapidement batir une solution IoT
VISEO Shake the Microsoft business - comment rapidement batir une solution IoT
 
Reveelium Smart Predictive Analytics - Datasheet FR
Reveelium Smart Predictive Analytics - Datasheet FRReveelium Smart Predictive Analytics - Datasheet FR
Reveelium Smart Predictive Analytics - Datasheet FR
 
IBM Cloud Paris Meetup - 20180911 - Des étudiants présentent leur projet aprè...
IBM Cloud Paris Meetup - 20180911 - Des étudiants présentent leur projet aprè...IBM Cloud Paris Meetup - 20180911 - Des étudiants présentent leur projet aprè...
IBM Cloud Paris Meetup - 20180911 - Des étudiants présentent leur projet aprè...
 
Security intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - frSecurity intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - fr
 
SPbD @ IBM France Lab par Patrick MERLIN
SPbD @ IBM France Lab par Patrick MERLINSPbD @ IBM France Lab par Patrick MERLIN
SPbD @ IBM France Lab par Patrick MERLIN
 
AMAN - CISSI SIEM 12 mars 2014
AMAN - CISSI SIEM 12 mars 2014AMAN - CISSI SIEM 12 mars 2014
AMAN - CISSI SIEM 12 mars 2014
 
Une plateforme Data 360 au Ministère des Armements avec la Suite Elastic
Une plateforme Data 360 au Ministère des Armements avec la Suite ElasticUne plateforme Data 360 au Ministère des Armements avec la Suite Elastic
Une plateforme Data 360 au Ministère des Armements avec la Suite Elastic
 
#OSSPARIS19 - Gouvernance des données dans le contexte Big Data - REX datalak...
#OSSPARIS19 - Gouvernance des données dans le contexte Big Data - REX datalak...#OSSPARIS19 - Gouvernance des données dans le contexte Big Data - REX datalak...
#OSSPARIS19 - Gouvernance des données dans le contexte Big Data - REX datalak...
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
 
FIC 2018 Presentation & Demo - 23 & 24 January
FIC 2018 Presentation & Demo - 23 & 24 JanuaryFIC 2018 Presentation & Demo - 23 & 24 January
FIC 2018 Presentation & Demo - 23 & 24 January
 
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
 
Bluemix Paris Meetup : Big data et Analytics - 15 avril 2015
Bluemix Paris Meetup : Big data et Analytics - 15 avril 2015Bluemix Paris Meetup : Big data et Analytics - 15 avril 2015
Bluemix Paris Meetup : Big data et Analytics - 15 avril 2015
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3
 
15 03 16_data sciences pour l'actuariat_f. soulie fogelman
15 03 16_data sciences pour l'actuariat_f. soulie fogelman15 03 16_data sciences pour l'actuariat_f. soulie fogelman
15 03 16_data sciences pour l'actuariat_f. soulie fogelman
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
 

Investigation de cybersécurité avec Splunk

  • 1. Détecter des cyberattaques Un exemple plein de Splunk et de visualisations Charles Ibrahim - @Ibrahimous
  • 2. L’investigation de sécurité avec Splunk Exemple complet : Spam, pièces-jointes, et utilisateurs imprudents Dataviz, machine learning, Big Data Agenda de la présentation 19/05/2015 2 Introduction Conclusion Charles Ibrahim - @Ibrahimous
  • 3. Introduction SOC/SIEM 19/05/2015 3 “A security operations center (SOC) is a centralized unit that deals with security issues, on an organizational and technical level” (Wikipedia)  Défense en profondeur. Si, ça sert.  SOC ? CERT ? CSIRT ? … WAT ?  Ten Strategies of a World-Class Cybersecurity Operations Center - www.mitre.org/sites/default/files/public ations/pr-13-1028-mitre-10-strategies- cyber-ops-center.pdf Charles Ibrahim - @Ibrahimous
  • 4. L’investigation de sécurité avec Splunk Exemple complet : Spam, pièces-jointes, et utilisateurs imprudents Dataviz, machine learning, Big Data Agenda de la présentation 19/05/2015 4 Introduction Conclusion Charles Ibrahim - @Ibrahimous
  • 5. Servers Storage DesktopsEmail Web Transaction Records Network Flows DHCP/ DNS Hypervisor Custom Apps Physical Access Badges Threat Intelligence Mobile CMBD 5 All Machine Data is Security Relevant Intrusion Detection Firewall Data Loss Prevention Anti- Malware Vulnerability Scans Authentication Traditional SIEM Splunk et la supervision de sécurité 19/05/2015 Charles Ibrahim - @Ibrahimous
  • 6. Fonctionnement de Splunk – vue générale 19/05/2015 6  Cœur <-> démon splunkd : en C  Interface Web : Django  SplunkJS <-> full MVC Javascript côté serveur  … et BEAUCOUP de fichiers de conf ^^ Charles Ibrahim - @Ibrahimous
  • 7. Des Apps ! Des T-A ! 19/05/2015 7  Splunk est modulaire : possibilité d’ajouter des « Technology Add-Ons » et d’installer des Apps Charles Ibrahim - @Ibrahimous
  • 8. L’investigation de sécurité avec Splunk Exemple complet : Un spam, une pièce-jointe, un utilisateur imprudent Dataviz, machine learning, Big Data Agenda de la présentation 19/05/2015 8 Introduction Conclusion Charles Ibrahim - @Ibrahimous
  • 9. Réception d’alerte suricata avec splunk 19/05/2015 9Charles Ibrahim - @Ibrahimous
  • 10. Analyse de logs dans splunk 19/05/2015 10Charles Ibrahim - @Ibrahimous
  • 11. Récupération de l’ensemble de la campagne 19/05/2015 11Charles Ibrahim - @Ibrahimous
  • 12. Récupération de la PJ 19/05/2015 12Charles Ibrahim - @Ibrahimous … « Vous avez ouvert le mail ? » « … et la PJ ?? » « … une fenêtre avec des lignes de commandes ??? »
  • 13. Localisation et réputation 19/05/2015 13Charles Ibrahim - @Ibrahimous
  • 14. Historique de l’adresse IP 19/05/2015 14  Fréquence à laquelle cette IP déclenche des alertes / se connecte à notre infra ?  Quels équipements de sécurité fait-elle sonner ? Haute valeur ajoutée ! Charles Ibrahim - @Ibrahimous  Des postes de travail de notre parc s’y connectent-ils ?  Est-elle présente dans des listes de Threat Intelligence ?
  • 15. L’investigation de sécurité avec Splunk Exemple complet : Spam, pièces-jointes, et utilisateurs imprudents Dataviz, machine learning, Big Data Agenda de la présentation 19/05/2015 15 Introduction Conclusion Charles Ibrahim - @Ibrahimous
  • 16. Parenthèse : des outils de visualisation ?  Place à Javascript !  … qui permet de manipuler des éléments HTML et d’y lier des données en masse  … via d3.js, sigma.js, SplunkJS, … 19/05/2015 16Charles Ibrahim - @Ibrahimous
  • 17. Visualiser des données de sécurité… pour quoi faire ? 19/05/2015 17Charles Ibrahim - @Ibrahimous
  • 18. Perspectives : voir en N dimensions – Machine Learning 19/05/2015 18  Visualisation effective en dimension 2 (+ ou – en dimension 3, peut-être, un jour).  Perception humaine VS agrégation d’indicateurs !  Il n’y a pas que la puissance de calcul qui compte !  Représentation des données : vive les mathématiques (géométrie algébrique, topologie, analyse différentielle) Charles Ibrahim - @Ibrahimous  Apprendre des données : Big Data & Machine Learning
  • 19. Conclusion 19/05/2015 19  Splunk : un gestionnaire de logs efficace, donc adapté à la supervision de sécurité, bien que requérant des compétences techniques poussées  Permet l’implémentation de règles de détection de très nombreuses formes d’attaques  Plus généralement, les analystes cybersécurité doivent inventer et développer de nouvelles visualisations, qui leur permettront de détecter les menaces les plus complexes. Charles Ibrahim - @Ibrahimous
  • 20. Quelques références 19/05/2015 20  SIEMs  Magic Quadrant Gartner  Splunk – how it works  Splunk Documentation (général)  How indexing works ?  Configuration parameters and the data pipeline  Suricata  MISC (mars 2013)- Présentation – Éric Leblond  Javascript libraries :  D3js  Sigmajs  SplunkJS stack  Big Data, Machine Learning :  Big Data  Machine Learning, Entropy and Fraud in Splunk Charles Ibrahim - @Ibrahimous
  • 21. Merci pour votre attention ! … et classiquement : place aux questions ! 19/05/2015 21 @Ibrahimous& : : Charles Ibrahim& Charles Ibrahim - @Ibrahimous