Copyright © 2014 Splunk Inc.
Splunk comme corrélateur
d’évènements sécurité
2
Thomas Le Gallais
Responsable SOC
Informatique CDC,
Groupe Caisse des Dépôts
3
A propos d’Informatique CDC
L’action d’Informatique CDC s’inscrit dans le prolongement des
missions de Tiers de confianc...
4
Qui suis-je ?
Thomas Le Gallais, responsable du centre opérationnel de
sécurité (SOC) d’Informatique CDC
Premier projet ...
5
Notre problématique sécurité
Les attaques sont de plus en plus
nombreuses et sophistiquées
– Forte volumétrie de données...
6
Collecter Analyser Comprendre Représenter Anticiper
Données  information à valeur ajoutée
Surveillance pré-Splunk
– Vis...
7
Gestion du
cluster
ESX #1 ESX #2
Gestion des
forwarders
Indexeur
Search head
Sources de log
Architecture
Analystes sécur...
8
ShellShock
9
Rapport Antivirus
10
Surveillance Applicative
Risque
couvert
# Use cases
Usurpation
d’identité
①
Plus de x identifiants utilisés à partir d'...
11
Evolutions
> Nouvelles données, nouveaux tableaux de bord et use cases
> Pour la sécurité informatique :
> Intégration ...
12
Retour sur la solution pour de la sécurité
Expertise humaine à sécuriser pour
exploiter pleinement l’outil dans la duré...
13
Splunk est…
Un outil extrêmement flexible, véritable
couteau suisse de la donnée
Merci
Prochain SlideShare
Chargement dans…5
×

SplunkLive! Paris 2015 - ICDC

552 vues

Publié le

Splunk for security at ICDC.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
552
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
12
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

SplunkLive! Paris 2015 - ICDC

  1. 1. Copyright © 2014 Splunk Inc. Splunk comme corrélateur d’évènements sécurité
  2. 2. 2 Thomas Le Gallais Responsable SOC Informatique CDC, Groupe Caisse des Dépôts
  3. 3. 3 A propos d’Informatique CDC L’action d’Informatique CDC s’inscrit dans le prolongement des missions de Tiers de confiance de la Caisse des Dépôts. GIE – Groupement d’Intérêt Economique – créé en 1959
  4. 4. 4 Qui suis-je ? Thomas Le Gallais, responsable du centre opérationnel de sécurité (SOC) d’Informatique CDC Premier projet de corrélation d’évènements sécurité en 2004
  5. 5. 5 Notre problématique sécurité Les attaques sont de plus en plus nombreuses et sophistiquées – Forte volumétrie de données générées par un S.I. avec du bruit dans les logs Les risques globaux sont bien visibles pour une cellule sécurité… – … beaucoup moins pour les métiers Besoin d’un outil – Pour détecter les comportements à risque et les attaques – Rendre compte de l'efficacité et des limites de nos dispositifs de sécurité
  6. 6. 6 Collecter Analyser Comprendre Représenter Anticiper Données  information à valeur ajoutée Surveillance pré-Splunk – Vision unitaire des données sans vision consolidée par périmètre – Scripts pour la collecte et le tri des évènements  pas industriel, pas auditable, pas adapté à notre organisation, difficile à maintenir Besoin d’un framework pour collecter, centraliser, corréler les journaux d’évènements
  7. 7. 7 Gestion du cluster ESX #1 ESX #2 Gestion des forwarders Indexeur Search head Sources de log Architecture Analystes sécurité Heavy Forwarder syslog collecte Splunk Stockage
  8. 8. 8 ShellShock
  9. 9. 9 Rapport Antivirus
  10. 10. 10 Surveillance Applicative Risque couvert # Use cases Usurpation d’identité ① Plus de x identifiants utilisés à partir d'une seule adresse IP sur y minutes ② Plus de x adresses IP accédant à un même compte sur y jours glissants ③ Plus de x demandes de réinitialisation de mot de passe pour un compte donné sur y jours glissants Application robert.duvall IP 204.107.141.25 al.pacino james.caan diane.keaton IP 204.107.141.36 IP 204.107.141.47
  11. 11. 11 Evolutions > Nouvelles données, nouveaux tableaux de bord et use cases > Pour la sécurité informatique : > Intégration de davantage de sources de données externes (threat intelligence) / internes (référentiels) > Baselining et analyse prédictive > Pour la lutte contre la fraude : > Couverture de nouveaux besoins métier > Ateliers en commun pour apporter davantage de valeur ajoutée > Et après demain ? Business Intelligence ? Machine Learning ? Capacity planning 2.0 ?
  12. 12. 12 Retour sur la solution pour de la sécurité Expertise humaine à sécuriser pour exploiter pleinement l’outil dans la durée La pleine utilisation de l’interface est à réserver aux experts dans un premier temps – Commencer par un export « données brutes » ou PDF Une architecture technique virtualisée est plus difficile à optimiser pour la plate- forme qu’un ensemble de serveurs physiques
  13. 13. 13 Splunk est… Un outil extrêmement flexible, véritable couteau suisse de la donnée
  14. 14. Merci

×