La formation Logpoint « le guide complet »est une formation sur les produits de pointe axée sur des fonctionnalités faciles à appliquer et qui permettra de bien maitrisé et gérer la solution en toute fluidité ainsi vous donnera une idée plus vaste sur le SIEM et qu’est ce qu’il peut offrir comme fonctionnalité pour compléter les couches de sécurités dans un organisme . Le programme de formation LogPoint offre toutes les capacités de gestion de l'information et des événements tout au long de votre solution et de ses applications.
3. Une formation
Plan
Introduction
1. Découvrir l'univers de Logpoint et du SIEM
2. Maitriser le guide de l'administrateur
3. Utiliser Logpoint
4. Comprendre et configurer la data privacy
5. Maitriser le Director
Conclusion
9. Une formation
Schéma du LAB
SERVEUR LOGPOINT
Serveur Linux
Serveur Windows
Serveur LDAP
Firewall
10. Une formation
Environnement du Lab
Machine IP adresse
LogPoint 10.1.1.100
Serveur linux 10.1.1.240
Serveur LDAP 10.1.1.180
Serveur Windows 10.1.1.11
Firewall 10.1.1.1
17. Une formation
Principes clés
Taxonomie unique pour
représenter les données
collectées
Stockage des données
sécurisé et efficace
(encryption et
compression)
Accès sécurisé aux
données via de la
délégation
d’administration
22. Comment ça marche ?
Information de sécurité et gestion d'événements (SIEM) est un terme
pour les services de logiciels et de produits combinant la gestion des
informations de sécurité (SIM) et le gestionnaire d’événements de
sécurité (SEM)
Le segment de la gestion de la sécurité qui traite de la surveillance en
temps réel, la corrélation des événements, des notifications et des vues de
console est communément connu sous le nom de gestion des
événements de sécurité (SEM)
La deuxième zone fournit le stockage à long terme, l'analyse et la
déclaration des données de journal et est connu sous le nom de gestion
des informations de sécurité (SIM)
23. Collecte
de données
Collecte
de données
Ajouter un
valeur
Ajouter un
valeur
Extraction
d’information
importante
Extraction
d’information
importante
Présentation
tableau de bord
et rapport
Présentation
tableau de bord
et rapport
Comment ça marche ?
24. Augmentation des atteintes à la protection
des données dues à des menaces internes et
externes
Les attaquants sont des outils de sécurité
intelligents et les traditionnels ne suffisent
tout simplement pas
Atténuer les cyberattaques sophistiquées
Gérer l'augmentation des volumes de
journaux provenant de sources multiples
Répondre à des exigences de conformité
strictes
Pourquoi le SIEM est important?
25. SOC et le SIEM
Un SOC (Security Operations Centre) comprend les personnes, les
processus, ainsi que la technologie impliquée dans la surveillance
protectrice d'un réseau, l'intervention en cas d'incidents et la
recherche/recherche active de menaces connues ou inconnues
30. LogPoint vous permet de gérer efficacement le stockage et la
gestion du cycle de vie
Utilisez différents référentiels pour :
• Maintenir un type de données similaire pour une analyse
plus rapide
• Contrôler l'accès aux données en fonction de RBAC
• Mode de confidentialité des données
• Stockage sécurisé des données sensibles
• Maintien décidé par le client
Stockage
39. Une formation
Licences
La licence Logpoint est installée sous le
chemin Paramètres et LogPoint Settings >>
System
La licence comprend les détails du Logpoint,
la date d'expiration et le nombre de sources
Lorsque les clients renouvellent leur droit de
soutien, ils reçoivent une nouvelle licence
Vous pouvez installer autant de serveurs
Logpoint que nécessaire
40. Une formation
Mise à jour
La mise à jour des patch se fait manuellement sur Logpoint
Dans Logpoint, les correctifs sont libérés continuellement et
avec des niveaux de gravité différents
6.6.0
La version (majeure) du produit
La version mineure du produit en cours d'exécution
Le flexpatch
48. Repos
REPO
30 days Disk A
1000 days Disk B
2000 days Disk C
Stockage à niveaux :
Permet une structure de
stockage flexible
Les journaux et index bruts sont
toujours déplacés ensemble
Processus totalement transparent
Tous les journaux sont en ligne,
indexés et consultables
51. Une formation
C’est quoi un UEBA?
Logpoint UEBA – Architecture
Exigences
Baselining
Scoring
Plan
52. LogPoint
UEBA
Unparalleled time-to-value
Encrypted data transfer
Insider threat detection
C’est quoi un UEBA ?
L'UEBA (User and Entity Behavior Analytics) est un processus qui surveille les utilisateurs et les
entités pour les activités suspectes.
L'UEBA observe le comportement des utilisateurs et des entités et définit des lignes de base
pour leur comportement normal. Les actions des utilisateurs et des entités sont ensuite
évaluées par rapport à l'ensemble de référence.
UEBA applique des analyses avancées (qui peuvent inclure à la fois l'apprentissage
automatique et des règles code sexistes) à vos données.
53. Une formation
Logpoint UEBA – Archi
Source
s
Repos
UEBA Dashboard
Logs
Encryption
Decryption
User
Input
Outpu
t
LogPoint UEBA
on Cloud
LogPoint
54. Exigences
LogPoint UEBA a besoin d'au moins 30 jours de données normalisées et enrichies pour
préparer correctement les modèles de menaces pour différents cas d'utilisation.
Vous pouvez utiliser le plugin UEBA PreConfiguration pour préparer les données pour le
LogPoint UEBA.
Le plugin comprend :
UEBA_SourceAddrToHostname UEBA_ActiveDirectoryUsers
Convertit les adresses IP présentes dans les journaux en
noms d'hôtes fiables.
Reconnaît uniquement les hôtes à travers les noms
d'hôtes résolus.
Fournit des informations supplémentaires sur les
utilisateurs dans le serveur LDAP.
LDAP fournit un nom unique pour chaque utilisateur en
enrichissant l'utilisateur (sAMAccountName)
55. Une formation
Baselining
LogPoint UEBA observe le comportement de chaque
utilisateur et entité pour définir une ligne de base pour
un comportement normal
Les activités de chaque entité sont évaluées en
fonction de sa base de référence
Les lignes de base sont définies à l'aide des journaux
correctement normalisés et enrichis
LogPoint UEBA nécessite un minimum de 30 jours de
données historiques pour définir les bases de base
appropriées
56. Scoring
Les scores de risque pour les utilisateurs et les entités sont calculés sur la base du nombre
d'anomalies significatives qu'ils déclenchent
Une anomalie suggère que le comportement de l'utilisateur ou de l'entité s'écarte de sa ligne
de base définie
Le score de risque se situe entre 0 et 100. Un score de risque élevé indique que l'utilisateur ou
l'entité montre un comportement extrêmement anormal
LogPoint classe les scores de risque en quatre types différents :
Risk Classification Risk Score Range Color
Low Risk 00 – 25 Gray
Medium Risk 26 - 50 Yellow
High Risk 51 – 75 Orange
Extreme Risk 76 - 100 Red
60. Une formation
Scaling LogPoint
Le LogPoint de base est une boîte tout-en-un
Dans de nombreux cas, ce n'est pas suffisant
Par conséquent, un collecteur distribué est nécessaire
Si vous avez besoin de plus de stockage(backend)
LogPoint supplémentaire est nécessaire
Dans ces cas, Open Door doit être configuré sur le
LogPoint récepteur
La communication entre deux LogPoints se fait via
VPN
62. Une formation
LogPoint Collector (LPC)
VPN
(1194
UDP
443 TCP)
LogPoint
Collector - 1
LogPoint 1
Un collecteur LogPoint est un LogPoint qui collecte les journaux, les normalise
et les transmet à un LogPoint distant pour un traitement ultérieur.
Des fonctionnalités comme Dashboard, Search et le Rapport ne sont pas
disponibles dans un collecteur LogPoint en raison de sa limitation des
fonctionnalités.
63. Distributed Collector Architecture
L'architecture tout-en-un
Collector Backend Search
Collector Backend
Collector Backend
Collector
Country A
L'architecture de collecteur distribué
équilibrée par la charge
Country B
70. Backup et restauration
Les sauvegardes sont divisées en Sauvegarde de Configuration et Log et
Checksum Backup. En outre, la planification et la période de rétention des
sauvegardes peuvent être définies individuellement.
Les sauvegardes sont stockées localement
Les sauvegardes peuvent être téléchargés à l'aide d'un client SFTP et d'une clé
publique SSH
Une fois que vous fournissez la clé publique SSH, vous pouvez accéder aux fichiers
de sauvegarde via : sftp log <address_of_LogPoint_server>inspect
Vous pouvez trouver les fichiers de sauvegarde sous leurs dossiers respectifs
78. Résultat de la recherche
Lors de l'exécution d'une recherche, le résultat fournit beaucoup d'informations utiles
Log Timestamp
Labels
Indexed
Raw Log
97. Une formation
DATA PRIVACY en général
Mesures prises par une société pour protéger les
données de ses clients
Définies par le Règlement général sur la protection
des données (RGPD ou GDPR en anglais)
Les 5 principes de la protection des données :
1. Finalité des données
2. Pertinence des données
3. Conservation des données
4. Droits des personnes
5. Sécurité des données
98. Module de la DATA PRIVACY
Data Privacy Module fonctionne sous le principe des Quatre Yeux
Met en œuvre le concept de responsabilité mutuelle
Seuls les administrateurs Logpoint sont autorisés à activer ou désactiver le module
de confidentialité des données dans Logpoint
Admin
Data Privacy
Module
Encrypted Fields Peut
demander
l'accès
il peut
accorder
l’accès
Data Privacy User Groups
Requests Access
For
Grants Access to
109. Une formation
Pourquoi Logpoint Director?
Choses que vous pouvez faire avec LogPoint Director
Information
and Event
Management
Configuration
Management
Incidents and
Alerts
Dashboards
and Reports
Search-related
Functionalities
Threat
Sharing
Install
Applications
Flexpatch
Installation
Configure
Devices, Policies,
Collectors and
more
Configure
System Settings
110. LogPoint Director
Avantages Comment
Optimisez vos opérations en réduisant la
configuration et en surveillant les charges de
travail
Gestion centralisée et surveillance des déploiements
de grande envergure
Augmentez l'efficacité du service grâce à des
capacités d'orchestration et d'automatisation
Activer API complète de toutes les modifications de
configuration
Les données ne quittent jamais vos locaux Des caractéristiques comme les pistes d'audit et les
rapports PDF donnent lieu à des analyses et des
opérations efficaces
111. Une formation
L’architecture du Director
Pool
1
Fabric-enabled
LogPoint(s)
Pool
n
Fabric-enabled
LogPoint(s)
Fabric Server
1
Fabric Server
3
Fabric Server
2
Fabric Server Setup
API Server
Director Console
Director Console
API
LPSM
(LogPoint
Search Master)
Director
Environment
Director User
113. Une formation
Director Console
DC fournit une interface interactive que vous
pouvez utiliser pour vous connecter à la
configuration LogPoint Director
Vous pouvez configurer, surveiller et contrôler la
FABRIC activé entre LogPoints et les Pools à l'aide
de la configuration de la console
Alternativement, il fournit un ensemble d'API pour
les tâches qui ne peuvent pas être accomplies via
l'interface UI
114. Une formation
LP Search Master (LPSM)
LPSM surveille les LogPoints activés par la FABRIC
et remonte l'identité des modifications apportées
aux tableaux de bord, aux rapports et aux incidents
Abonnez-vous et surveillez les tableaux de bord, les
rapports et les incidents
Recherchez dans les LogPoints activés par la
FABRIC à l'aide de LPSM
Créez et gérez les règles d'alerte, les tableaux de
bord, les paquets d'analyse et les modèles de
rapports dans les LogPoints compatibles avec la
FABRIC
117. Une formation
Connexion LogPoint au Director
Qu'arrive-t-il à votre installation
LogPoint ?
Connexion logPoint au Director -
Mode co-géré
Impersonation
Plan
118. Une formation
Qu'arrive-t-il à votre installation
Tous les LogPoints activés par la FABRIC utilisent la même
licence
Les appareils peuvent être configurés à l'aide de Director
Console
Les stratégies de normalisation, les stratégies
d'enrichissement et les stratégies de traitement peuvent
être configurées à l'aide de Director Console
Les modifications apportées au tableau de bord, à la
recherche, au rapport et à l'incident sont reflétées dans le
LPSM
119. Une formation
Impersonation
La fonction d'usurpation d'identité dans LPSM vous permet
d'apporter des modifications aux LogPoints compatibles
avec la Fabric pour le compte de leurs utilisateurs
Vous pouvez apporter des modifications aux tableaux de
bord, aux rapports et aux règles d'alerte des LogPoints
connectés
Vous pouvez ajouter de nouveaux tableaux de bord,
rechercher les LogPoints individuels et générer de nouveaux
rapports pour le compte des LogPoints activés par le Fabric
122. Une formation
Introduction
Découvrir l'univers de Logpoint et du SIEM
Maitriser le guide de l'administrateur
Utiliser Logpoint
Comprendre et configurer la data privacy
Maitriser le director
Conculsion
Bilan