Mise en place d’un SIEM
Apprendre à mettre en place un SIM avec implémentation de sonde SNORT et d’agent HIDS dans un réseau existant.
La technologie SIEM (Security Information and Event Management) Architecture et fonctionnalités Comprendre le fonctionnement d'un SIEM Les objectifs d'un SIEM et de la corrélation des données.
Mise en place de Windows Server Installer Windows server R2 Configurer le serveur Activer et configurer le domaine Activer et configurer le service Active Directory (AD).
Découvrir Elasticsearch Approche théorique : terminologie Application Full REST et utilisation.
Découvrir Logstash Approche théorique : fonctionnement de logstash.
Découvrir Kibana Installer et configurer Kibana Utiliser l-interface Discover Visualisation des résultats Créer des alertes Exporter en PDF les données Dashboard Sécuriser Kibana.
Détection d'intrusion et remontée d'alertes sur l'Active Directory (AD) Présentation du scénario et de l'objectif Approche théorique sur l'agent WinlogBeat.
Comment concevoir et optimiser la mise place d’infrastructures de type SIEM, dans des environnements relativement complexes ?
Hétérogénéité des composants, tailles des infrastructures, limitations sur les moyens humains et financiers, défis technologiques et organisationnels, pressions et menaces internes et externes.
De nombreux outils disponibles dans le commerce existent pour collecter les journaux d’événements, je vous présenterai via un cas pratique comment collecter tous types d’événements, et comment mettre en place un SIEM facilement et rapidement.
Nous présentons dans cet article une étude préalable de l’outil ElastAlert en tant que SIEM dans un environnement avec stockage d’événements dans ElasticSearch.
Nous aborderons les principes de fonctionnement et les principales fonctionnalités rendues par l’outil ainsi qu’un retour d’expérience de son utilisation opérationnelle.
ELK, acronyme issu des trois composants principaux de la suite (Elasticsearch, Logstash, Kibana) est depuis longtemps maintenant une référence dans la collecte des logs et leur analyse.
il est important de mettre en œuvre un SIEM capable d’évoluer en fonction des nouvelles exigences sécuritaires et des défis technologiques impactant les entreprises.
L’implémentation d’une brique SOAR complémentaire (Security Orchestration, Automation and Response) permettra de piloter l’orchestration du traitement des alertes et de proposer ainsi une réponse automatisée pour chaque type d’incident.
Le SIEM devra également mettre en œuvre une gestion des alertes basée sur les risques pour donner aux équipes une plus grande visibilité sur leur attribution afin de réduire le volume des alertes et faciliter les investigations des menaces plus sophistiquées et complexes, qui passent souvent sous les radars.
Enfin, le SIEM devra être déployable facilement et à grande échelle sur site, Cloud et en mode hybride, en y intégrant les appareils physiques et virtuels, les conteneurs et les déploiements Cloud privé ou public (Amazon Web Services, Google, Azure et IBM Cloud) ainsi que des outils tiers.