@ : Nathan Bramli - CYNA

Mail: formateur_nathan.bramli@supdevinci-edu.fr
 Qu’est-ce qu’un SIEM
SIM ? SIEM ? SEM ?

SIM (Security Information Management), SIEM (Security Information and Event management), SEM
(Security Event Management), sont des solutions incontournables pour réussir l’implémentation d’un
SOC. Ces outils, flexibles et agiles, consolident les données (journaux, alertes, logs) et les analysent
rigoureusement pour une utilisation visuelle.

Les SIEM permettent :

• la collecte
SIEM = SIM + SEM
• l’agrégation
• la normalisation
• la corrélation
• la détection
• le reporting
• l’archivage
Qu’est-ce qu’un SIEM
 La collecte de journaux
« Sensors » « Syslog » : Port 514
Journaux /
«Sensor» : Installation directement sur la machine
LOG
FW / Réseau

Windows
Serveur SYSLOG :
Port 514 UDP
Linux
SIEM
Messagerie Flux vers SIEM

Anti-Virus

Zone critique
Type de Logs
• Windows Event log
• + de verbosité : Sysmon
• Unix Event log
• + de verbosité : Auditd

Il est nécessaire d’avoir une stratégie de collecte

afin de ne pas avoir trop de bruit « noise » qui
empêche les analystes de faire leur travail.
 La suite ELK
"ELK" est un acronyme pour trois projets en open source :
Elasticsearch, Logstash et Kibana

• Tout a commencé avec Elasticsearch…

➡ la base de données principale pour le stockage des données

• Et il a évolué avec Logstash et Kibana

➡ Logstash, permettant de modifier les données envoyées
dans ElasticSearch ;
➡ Kibana, l’interface graphique permettant de visualiser les
données remontées au moyen de dashboards et l'envoi des
alertes.

• Puis le rythme a été donnée pour ELK

• "J'aimerais effectuer le suivi d'un fichier log", ont dit les
utilisateurs.
➡ Beats, pour l'envoi de logs en fonction des systèmes utilisés
: Windows, Linux, logs réseau ;
 Elasticsearch
Elasticsearchest unservicepermettant:
• D’indexertouttypesdonnées
• Derechercherdesdonnéesenquasi tempsréel
Logstach
Logstash est un service permettant :
• De collecter des données
• D’analyser et modifier les données
• De transférer des données
Normalisation ECS : Elastic Common Schema

Timestamps:<13>Apr 9 17:36:36
172.28.48.13 local7 - <189>date=2021-04-09 time=17:36:36 devname=Fortigate devid="FGT60XXX"
logid="0000000013" type="traffic" subtype="forward" level="notice" vd="root" eventtime=1617982596
srcip=10.48.1.143 srcport=63984 srcintf="internal3" srcintfrole="lan" dstip=142.234.204.193
dstport=30404 dstintf="wan1" dstintfrole="wan" sessionid=677904820 proto=17 action="deny"
policyid=0 policytype="policy" service="udp/30404" dstcountry="United States" srccountry="Reserved"
trandisp="noop" duration=0 sentbyte=0 rcvdbyte=0 sentpkt=0 appcat="unscanned" crscore=30
craction=131072 crlevel="high"
Standardisation

Timestamps:<13>Apr 9 17:36:36 172.28.48.13 local7 - <189>date=2021-04-09 time=17:36:36

devname=Fortigate devid="FGT60XXX" logid="0000000013" type="traffic" subtype="forward"
level="notice" vd="root" eventtime=1617982596 srcip=10.48.1.143 srcport=63984 srcintf="internal3"
srcintfrole="lan" dstip=142.234.204.193 dstport=30404 dstintf="wan1" dstintfrole="wan"
sessionid=677904820 proto=17 action="deny" policyid=0 policytype="policy" service="udp/30404"
dstcountry="United States" srccountry="Reserved" trandisp="noop" duration=0 sentbyte=0 rcvdbyte=0
sentpkt=0 appcat="unscanned" crscore=30 craction=131072 crlevel="high"
 Kibana
Kibanaest unservicepermettant:
• Devisualiserdes données
• Degéreretmonitorerlecluster Elasticsearch
• Corrélerdeslogsafindedétecterdesanomalies
Kibana
Mise en place d’une règle bruteforce
Mise en place d’une règle bruteforce
Mise en place d’une règle DDOS
Mise en place d’une règle C2C sur attaque SolarWinds
Structure pour analyser des logs
L’architecture d’une stack Elastic