deployer son propre soc !
TRANSCRIPT
Déployer son propre SOC avec Elastic Stack et « Elastic Detector » LE scanner de nouvelle génération
Frédéric DONNAT – Directeur Technique et [email protected]éléphone 06 59 98 30 77
SecludIT – Copyright & confidentiel - 2016
SecludIT – Copyright & confidentiel - 2016
Prévenir,vaut mieux que guérir…
Les vulnérabilités représentent la première porte empruntée des attaquants - (53% des attaques réussies, source Forrester).
Cyber attaques en progression +38% selon
PWC
SecludIT – Copyright & confidentiel - 2016
SOC : Security Operation Center• But d’un SOC :
• Donner de la visibilité sur l’infrastructure (Cloud, Virtuelle, serveurs physiques) et « sa sécurité »
• Générer des alertes de sécurité « préventive »• Aider à l’« analyse » d’incidents de sécurité
• Eléments primordiaux :• Gestion et « centralisation » des logs avec un SIEM• Tableaux de bords de « pilotage »• Sondes telles que : Scanner de Vulnérabilités
SecludIT – Copyright & confidentiel - 2016
SIEM avec Elastic Stack
SecludIT – Copyright & confidentiel - 2016
Mise en place d’Elastic Stack• Télécharger les composants
• Installer les composants sur un serveur (virtuel ou non)
• Configurer les composants
• Ajouter une interface de gestion d’Elastic Stack
SecludIT – Copyright & confidentiel - 2016
Mise en place d’Elastic Stack
SecludIT – Copyright & confidentiel - 2016
Filtres Logstash pour Elastic Stack
input { udp { port => 5514 type => "nagios" }}
# Filtering for SSH logins either failed or successfulfilter { if [type] == "syslog" { if [syslog_program] == "sshd" { if "Failed password" in [message] { grok { break_on_match => false match => [ "message", "invalid user %{DATA:UserName} from %{IP:src_ip}", "message", "for %{DATA:UserName} from %{IP:src_ip}" ] } mutate { add_tag => [ "SSH_Failed_Login" ] } }…
SecludIT – Copyright & confidentiel - 2016
Détection de problèmes SSH avec Elastic Stack
SecludIT – Copyright & confidentiel - 2016
Visibilité sur l’infrastructure avec Elastic Stack
SecludIT – Copyright & confidentiel - 2016
Vulnérabilités sur l’infrastructure avec Elastic Stack
SecludIT – Copyright & confidential - 2016
Différenciateurs Majeurs d’Elastic Detector
1. Automatisation Intensive / Connecteur APIs• Auto-Découverte• Pas d’agent
2. Technologie de « Clonage »• Pas d’impact sur la production• Isolation / Cloisonnement
3. Reporting : « La bonne information à la bonne personne »• Indicateur de risque pour le pilotage• Feuille de route « métier » pour la remédiation
SecludIT – Copyright & confidentiel - 2016
A chacun ses informations
SecludIT – Copyright & confidentiel - 2016
Questions ?