Détecter des cyberattaques
Un exemple plein de Splunk et de visualisations
Charles Ibrahim - @Ibrahimous
L’investigation de sécurité avec Splunk
Exemple complet :
Spam, pièces-jointes, et utilisateurs imprudents
Dataviz, machin...
Introduction SOC/SIEM
19/05/2015 3
“A security operations center (SOC) is a centralized unit that deals with
security issu...
L’investigation de sécurité avec Splunk
Exemple complet :
Spam, pièces-jointes, et utilisateurs imprudents
Dataviz, machin...
Servers
Storage
DesktopsEmail Web
Transaction
Records
Network
Flows
DHCP/ DNS
Hypervisor
Custom
Apps
Physical
Access
Badge...
Fonctionnement de Splunk – vue générale
19/05/2015 6
 Cœur <-> démon splunkd : en C
 Interface Web : Django
 SplunkJS <...
Des Apps ! Des T-A !
19/05/2015 7
 Splunk est modulaire : possibilité d’ajouter
des « Technology Add-Ons » et d’installer...
L’investigation de sécurité avec Splunk
Exemple complet :
Un spam, une pièce-jointe, un utilisateur
imprudent
Dataviz, mac...
Réception d’alerte suricata avec splunk
19/05/2015 9Charles Ibrahim - @Ibrahimous
Analyse de logs dans splunk
19/05/2015 10Charles Ibrahim - @Ibrahimous
Récupération de l’ensemble de la campagne
19/05/2015 11Charles Ibrahim - @Ibrahimous
Récupération de la PJ
19/05/2015 12Charles Ibrahim - @Ibrahimous
…
« Vous avez ouvert le mail ? »
« … et la PJ ?? »
« … un...
Localisation et réputation
19/05/2015 13Charles Ibrahim - @Ibrahimous
Historique de l’adresse IP
19/05/2015 14
 Fréquence à laquelle cette IP déclenche des
alertes / se connecte à notre infra...
L’investigation de sécurité avec Splunk
Exemple complet :
Spam, pièces-jointes, et utilisateurs imprudents
Dataviz, machin...
Parenthèse : des outils de visualisation ?
 Place à Javascript !
 … qui permet de manipuler des éléments HTML et d’y lie...
Visualiser des données de sécurité… pour quoi faire ?
19/05/2015 17Charles Ibrahim - @Ibrahimous
Perspectives : voir en N dimensions – Machine Learning
19/05/2015 18
 Visualisation effective en dimension 2 (+ ou – en d...
Conclusion
19/05/2015 19
 Splunk : un gestionnaire de logs efficace, donc adapté à la
supervision de sécurité, bien que r...
Quelques références
19/05/2015 20
 SIEMs
 Magic Quadrant Gartner
 Splunk – how it works
 Splunk Documentation (général...
Merci pour votre attention !
… et classiquement : place aux questions !
19/05/2015 21
@Ibrahimous& : : Charles Ibrahim&
Ch...
Prochain SlideShare
Chargement dans…5
×

Investigation de cybersécurité avec Splunk

1 229 vues

Publié le

Démonstration d'investigation sur des cyberattaques, dans le contexte d’un SOC, avec l’outil « Splunk ».

Présentation réalisée pour le Security Tuesday de l'ISSA France le 19 mai 2015.

0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 229
Sur SlideShare
0
Issues des intégrations
0
Intégrations
96
Actions
Partages
0
Téléchargements
42
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Investigation de cybersécurité avec Splunk

  1. 1. Détecter des cyberattaques Un exemple plein de Splunk et de visualisations Charles Ibrahim - @Ibrahimous
  2. 2. L’investigation de sécurité avec Splunk Exemple complet : Spam, pièces-jointes, et utilisateurs imprudents Dataviz, machine learning, Big Data Agenda de la présentation 19/05/2015 2 Introduction Conclusion Charles Ibrahim - @Ibrahimous
  3. 3. Introduction SOC/SIEM 19/05/2015 3 “A security operations center (SOC) is a centralized unit that deals with security issues, on an organizational and technical level” (Wikipedia)  Défense en profondeur. Si, ça sert.  SOC ? CERT ? CSIRT ? … WAT ?  Ten Strategies of a World-Class Cybersecurity Operations Center - www.mitre.org/sites/default/files/public ations/pr-13-1028-mitre-10-strategies- cyber-ops-center.pdf Charles Ibrahim - @Ibrahimous
  4. 4. L’investigation de sécurité avec Splunk Exemple complet : Spam, pièces-jointes, et utilisateurs imprudents Dataviz, machine learning, Big Data Agenda de la présentation 19/05/2015 4 Introduction Conclusion Charles Ibrahim - @Ibrahimous
  5. 5. Servers Storage DesktopsEmail Web Transaction Records Network Flows DHCP/ DNS Hypervisor Custom Apps Physical Access Badges Threat Intelligence Mobile CMBD 5 All Machine Data is Security Relevant Intrusion Detection Firewall Data Loss Prevention Anti- Malware Vulnerability Scans Authentication Traditional SIEM Splunk et la supervision de sécurité 19/05/2015 Charles Ibrahim - @Ibrahimous
  6. 6. Fonctionnement de Splunk – vue générale 19/05/2015 6  Cœur <-> démon splunkd : en C  Interface Web : Django  SplunkJS <-> full MVC Javascript côté serveur  … et BEAUCOUP de fichiers de conf ^^ Charles Ibrahim - @Ibrahimous
  7. 7. Des Apps ! Des T-A ! 19/05/2015 7  Splunk est modulaire : possibilité d’ajouter des « Technology Add-Ons » et d’installer des Apps Charles Ibrahim - @Ibrahimous
  8. 8. L’investigation de sécurité avec Splunk Exemple complet : Un spam, une pièce-jointe, un utilisateur imprudent Dataviz, machine learning, Big Data Agenda de la présentation 19/05/2015 8 Introduction Conclusion Charles Ibrahim - @Ibrahimous
  9. 9. Réception d’alerte suricata avec splunk 19/05/2015 9Charles Ibrahim - @Ibrahimous
  10. 10. Analyse de logs dans splunk 19/05/2015 10Charles Ibrahim - @Ibrahimous
  11. 11. Récupération de l’ensemble de la campagne 19/05/2015 11Charles Ibrahim - @Ibrahimous
  12. 12. Récupération de la PJ 19/05/2015 12Charles Ibrahim - @Ibrahimous … « Vous avez ouvert le mail ? » « … et la PJ ?? » « … une fenêtre avec des lignes de commandes ??? »
  13. 13. Localisation et réputation 19/05/2015 13Charles Ibrahim - @Ibrahimous
  14. 14. Historique de l’adresse IP 19/05/2015 14  Fréquence à laquelle cette IP déclenche des alertes / se connecte à notre infra ?  Quels équipements de sécurité fait-elle sonner ? Haute valeur ajoutée ! Charles Ibrahim - @Ibrahimous  Des postes de travail de notre parc s’y connectent-ils ?  Est-elle présente dans des listes de Threat Intelligence ?
  15. 15. L’investigation de sécurité avec Splunk Exemple complet : Spam, pièces-jointes, et utilisateurs imprudents Dataviz, machine learning, Big Data Agenda de la présentation 19/05/2015 15 Introduction Conclusion Charles Ibrahim - @Ibrahimous
  16. 16. Parenthèse : des outils de visualisation ?  Place à Javascript !  … qui permet de manipuler des éléments HTML et d’y lier des données en masse  … via d3.js, sigma.js, SplunkJS, … 19/05/2015 16Charles Ibrahim - @Ibrahimous
  17. 17. Visualiser des données de sécurité… pour quoi faire ? 19/05/2015 17Charles Ibrahim - @Ibrahimous
  18. 18. Perspectives : voir en N dimensions – Machine Learning 19/05/2015 18  Visualisation effective en dimension 2 (+ ou – en dimension 3, peut-être, un jour).  Perception humaine VS agrégation d’indicateurs !  Il n’y a pas que la puissance de calcul qui compte !  Représentation des données : vive les mathématiques (géométrie algébrique, topologie, analyse différentielle) Charles Ibrahim - @Ibrahimous  Apprendre des données : Big Data & Machine Learning
  19. 19. Conclusion 19/05/2015 19  Splunk : un gestionnaire de logs efficace, donc adapté à la supervision de sécurité, bien que requérant des compétences techniques poussées  Permet l’implémentation de règles de détection de très nombreuses formes d’attaques  Plus généralement, les analystes cybersécurité doivent inventer et développer de nouvelles visualisations, qui leur permettront de détecter les menaces les plus complexes. Charles Ibrahim - @Ibrahimous
  20. 20. Quelques références 19/05/2015 20  SIEMs  Magic Quadrant Gartner  Splunk – how it works  Splunk Documentation (général)  How indexing works ?  Configuration parameters and the data pipeline  Suricata  MISC (mars 2013)- Présentation – Éric Leblond  Javascript libraries :  D3js  Sigmajs  SplunkJS stack  Big Data, Machine Learning :  Big Data  Machine Learning, Entropy and Fraud in Splunk Charles Ibrahim - @Ibrahimous
  21. 21. Merci pour votre attention ! … et classiquement : place aux questions ! 19/05/2015 21 @Ibrahimous& : : Charles Ibrahim& Charles Ibrahim - @Ibrahimous

×