SlideShare une entreprise Scribd logo

Implémentation d’un stack Elastic pour superviser un environnement en constant évolution

Télécharger en tant que PPTX, PDF
M
Marc-Antoine Roux

L'implémentation d'un SIEM est un grand projet qui peut engendrer des coûts élevés. À l'aide d'ElasticSearch, il est possible d'en développer un à plus petit coût. ** Présenté pour le premier Meetup ElasticSearch de la ville de Québec **

Technologie
1  sur  23
Implémentation d’un stack Elastic pour superviser un environnement en constant évolution Présenté par : Marc-Antoine Roux
GROUPE GERMAIN HÔTELS Groupe Germain Hôtels est une entreprise familiale canadienne reconnue pour sa philosophie d’accueil exceptionnelle et pour le style unique qui caractérise ses hôtels. Célébrant son 30e anniversaire en 2018, l’entreprise possède et exploite les Hôtels Le Germain ainsi que les Hôtels Alt et Alt+ à travers le Canada. À propos
- 19 sites, chacun des sites est géré comme une entreprise distincte - Point central au centre de données où les applications critiques sont hébergées - Ajout de plateforme la plateforme cloud AWS Plusieurs sources d’événements à intégrer au SIEM: Amélioration de la visibilité sur l’infrastructure Réseautique Machines virtuelles Services « On Prem » Services « Cloud » Cisco ASA Windows Server Active Directory Office365 Cisco Firepower Windows 10 SMTP AWS Cisco IOS Ubuntu Serveurs d’applications Active Directory Windows Server Windows 10
-Événements Windows -Événements d’Application, Sécurité et Système -Audit d’événements Office365 -Événements VMware ESX et vSphere -Événements dans des fichiers texte -Événements d’équipement réseau par protocole SNMP et Netflow Amélioration de la visibilité sur l’infrastructure
-Solution sélectionnée: ElasticSearch sur instances EC2 (AWS) -Le côté Open Source d’ES nous permettait de faire un POC gratuit -L’infrastructure cloud était plus facile à mettre en place -Il est possible d’ajuster l’infrastructure rapidement (Scaling) -Aucune gestion du hardware Infrastructure sélectionnée pour le SIEM
-Notre déploiement actuel est séparé entre des instances EC2 et des machines virtuelles dans notre centre de données. Centre de données: -5 nœuds pour recueillir les événements et les traiter (Logstash et Beats) -1 nœud Wazuh pour la gestion de l’HIDS (Host-based Intrusion Detection System) AWS : -3 nœuds ElasticSearch sur une instance r5.xlarge (32gb de RAM) -1 nœud Kibana sur une instance t3.small Architecture actuelle – Déploiement hybride
Infrastructure actuelle
Infrastructure future
-Winlogbeat pour les événements de Windows (Service sur l’agent) -Metricbeat pour les métriques -Stack Elastic -Site web - Filebeat pour les événements en format texte - Équipements réseau - Fichiers d’événements texte -O365beat pour l’audit d’Office365 (« Beat » sur mesure) -Logstash pour l’ingestion par SNMP Expédition des données d’événements
-Traitement sommaire fait avec les « processeurs » sur les agents Winlogbeat, Filebeat et O365Beat -Certaines sources de données passent par un enrichissement plus complet avec Logstash ou directement dans ElasticSearch -Utilisation de plateformes d’OSINT (Open Souce INTelligence) pour enrichir les événements. Traitement de l’information et enrichissement
-Alertage par ElastAlert basé sur le type d’événement -Tableaux de bords pour la conformité PCI-DSS et pour les opérations -Elastic Maps pour afficher les connexions sur O365 -(En cours) Intégration de TheHive, pour le threat Management -Recherche de données dans Discovery Utilisation des données recueillies
Screenshot des dashboards AD
Screenshot des dashboards Event ID
Screenshot des dashboards Event ID
SCREENSHOT DE MAP O365
-~30 jours de données en live -Tâche journalière pour prendre un snapshot des index vers S3 -Gestion de la restauration des snapshots par Kibana -(En cours) Cycle de vie dans S3 pour migrer les anciens index vers Glacier Rétention des données d’événements
-Migration des champs vers ECS -Index trop volumineux -Sécurisation de Kibana (Avant ElasticSearch 7.1.0) -Infrastructure bilingue Problèmes rencontrés
-Quantité d’événements trop élevé pour être analysé par un humain -Manque d’expertise et de ressources adaptées à notre environnement -Problèmes de performance avec Logstash Problèmes rencontrés
-Mise en place des fonctionnalités de la licence « Platinium » -Migration d’ElastAlert vers Watcher pour l’alertage -Mise en place d’un cluster de monitoring -Développement de plus de tableaux de bord -Migration vers Logstash en mode balance de charge -Amélioration de l’enrichissement des données dans Logstash Prochaines étapes
Olaf Hartong – Sysmon Modular | Configuration de Sysmon personnalisable https://github.com/olafhartong/sysmon-modular SwiftOnSecurity – Sysmon-Config | Configuration de Sysmon préconfigurée https://github.com/SwiftOnSecurity/sysmon-config Roberto Rodriguez et Jose Luis Rodriguez - Mordor | Source d’événements simulant plusieurs types d’attaques https://github.com/hunters-forge/mordor Roberto Rodriguez et Jose Luis Rodriguez – Threat Hunter Playbook | Collection d’information sur le Threat Hunting https://threathunterplaybook.com/introduction Florian Roth – SIGMA | Identification d’attaque basée sur des signatures génériques https://github.com/Neo23x0/sigma SOC Prime – Uncoder |Outil pour convertir des règles de format SIGMA vers d’autres SIEM https://uncoder.io/# MITRE – ATT&CK |Framework qui sert pour l’identification d’attaque basée sur différents types de techniques https://attack.mitre.org/ Sources d’information pour débuter l’implémentation d’un SIEM
Roberto Rodriguez - The Hunting ELK (HELK) | Stack ElasticSearch sur mesure pour le Threat Hunting https://github.com/Cyb3rWard0g/HELK TheHive Project – TheHive (MISP/Cortex) | Plateforme de gestion de cas d’Indicident Response https://thehive-project.org/ Santiago Bassett – Wazuh (HIDS) | Système de détection et d’Incident Response basé sur OSSEC https://wazuh.com Jose Antonio Izquierdo Lopez – OwlH| Système de gestion et visualisation d’IDS réseau https://www.owlh.net/ Chris Hendricks – O365Beat | Beat pour transporter les logs d’audit d’Office365 https://github.com/counteractive/o365beat Sources d’information pour débuter l’implémentation d’un SIEM
MERCI !

Recommandé

Monitoring des Logs
Monitoring des LogsMonitoring des Logs
Monitoring des LogsSooyoos
 
Le Cloud sous contrôle
Le Cloud sous contrôleLe Cloud sous contrôle
Le Cloud sous contrôleCyrès
 
Le Cloud IaaS & PaaS, OpenStack réseau et sécurité
Le Cloud IaaS & PaaS, OpenStack réseau et sécuritéLe Cloud IaaS & PaaS, OpenStack réseau et sécurité
Le Cloud IaaS & PaaS, OpenStack réseau et sécuritéNoureddine BOUYAHIAOUI
 
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...☁️Seyfallah Tagrerout☁ [MVP]
 
Elastic Morocco user group meetup June
Elastic Morocco user group meetup JuneElastic Morocco user group meetup June
Elastic Morocco user group meetup JuneAnna Ossowski
 
Biztalk summit - IOT
Biztalk summit - IOTBiztalk summit - IOT
Biztalk summit - IOTCellenza
 
Administration et supervision depuis le Cloud avec Azure Logs Analytics
Administration et supervision depuis le Cloud avec Azure Logs AnalyticsAdministration et supervision depuis le Cloud avec Azure Logs Analytics
Administration et supervision depuis le Cloud avec Azure Logs AnalyticsMicrosoft
 
Orange Business Services: Une meilleure infrastructure SIEM avec Elastic
Orange Business Services: Une meilleure infrastructure SIEM avec ElasticOrange Business Services: Une meilleure infrastructure SIEM avec Elastic
Orange Business Services: Une meilleure infrastructure SIEM avec ElasticElasticsearch
 

Recommandé

Monitoring des Logs
Monitoring des LogsMonitoring des Logs
Monitoring des LogsSooyoos
 
Le Cloud sous contrôle
Le Cloud sous contrôleLe Cloud sous contrôle
Le Cloud sous contrôleCyrès
 
Le Cloud IaaS & PaaS, OpenStack réseau et sécurité
Le Cloud IaaS & PaaS, OpenStack réseau et sécuritéLe Cloud IaaS & PaaS, OpenStack réseau et sécurité
Le Cloud IaaS & PaaS, OpenStack réseau et sécuritéNoureddine BOUYAHIAOUI
 
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...☁️Seyfallah Tagrerout☁ [MVP]
 
Elastic Morocco user group meetup June
Elastic Morocco user group meetup JuneElastic Morocco user group meetup June
Elastic Morocco user group meetup JuneAnna Ossowski
 
Biztalk summit - IOT
Biztalk summit - IOTBiztalk summit - IOT
Biztalk summit - IOTCellenza
 
Administration et supervision depuis le Cloud avec Azure Logs Analytics
Administration et supervision depuis le Cloud avec Azure Logs AnalyticsAdministration et supervision depuis le Cloud avec Azure Logs Analytics
Administration et supervision depuis le Cloud avec Azure Logs AnalyticsMicrosoft
 
Orange Business Services: Une meilleure infrastructure SIEM avec Elastic
Orange Business Services: Une meilleure infrastructure SIEM avec ElasticOrange Business Services: Une meilleure infrastructure SIEM avec Elastic
Orange Business Services: Une meilleure infrastructure SIEM avec ElasticElasticsearch
 
siem-180906233759.pptx
siem-180906233759.pptxsiem-180906233759.pptx
siem-180906233759.pptxStyvePola1
 
3 Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - Genève3 Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - GenèveaOS Community
 
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2☁️Seyfallah Tagrerout☁ [MVP]
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm
 
AWS Summit Paris - Track 3 - Session 2 - IoT Partie 2 - Mettez en place l'inf...
AWS Summit Paris - Track 3 - Session 2 - IoT Partie 2 - Mettez en place l'inf...AWS Summit Paris - Track 3 - Session 2 - IoT Partie 2 - Mettez en place l'inf...
AWS Summit Paris - Track 3 - Session 2 - IoT Partie 2 - Mettez en place l'inf...Amazon Web Services
 
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMickaelLOPES91
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
 
Migration des réseaux d agence : les apports de Windows Server 2012 R2
Migration des réseaux d agence : les apports de Windows Server 2012 R2Migration des réseaux d agence : les apports de Windows Server 2012 R2
Migration des réseaux d agence : les apports de Windows Server 2012 R2Microsoft
 
Sécurite Amazon Web Services
Sécurite Amazon Web ServicesSécurite Amazon Web Services
Sécurite Amazon Web ServicesAurélien Pelletier
 
La Suite Elastic à BPCE IT: Centre de service Elastic et Security Analytics
La Suite Elastic à BPCE IT: Centre de service Elastic et Security AnalyticsLa Suite Elastic à BPCE IT: Centre de service Elastic et Security Analytics
La Suite Elastic à BPCE IT: Centre de service Elastic et Security AnalyticsElasticsearch
 
siem-180906233759_compress.pdf
siem-180906233759_compress.pdfsiem-180906233759_compress.pdf
siem-180906233759_compress.pdfStyvePola1
 
Siem OSSIM
Siem OSSIMSiem OSSIM
Siem OSSIMYaya N'Tyeni Sanogo
 
Guide (un tout petit peu) pratique (et totalement subjectif) du stream proces...
Guide (un tout petit peu) pratique (et totalement subjectif) du stream proces...Guide (un tout petit peu) pratique (et totalement subjectif) du stream proces...
Guide (un tout petit peu) pratique (et totalement subjectif) du stream proces...Bruno Bonnin
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?Identity Days
 
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2Microsoft Décideurs IT
 
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2Microsoft Technet France
 
INSA - Java in da Cloud - 06/2016
INSA - Java in da Cloud - 06/2016INSA - Java in da Cloud - 06/2016
INSA - Java in da Cloud - 06/2016Alexis Hassler
 
INSA Lyon - Java in da Cloud - 06/2016
INSA Lyon - Java in da Cloud - 06/2016INSA Lyon - Java in da Cloud - 06/2016
INSA Lyon - Java in da Cloud - 06/2016Alexis Hassler
 
Azure Camp 9 Décembre 2014 - slides session développeurs IOT Big Data
Azure Camp 9 Décembre 2014 - slides session développeurs IOT Big DataAzure Camp 9 Décembre 2014 - slides session développeurs IOT Big Data
Azure Camp 9 Décembre 2014 - slides session développeurs IOT Big DataMicrosoft
 

Contenu connexe

Similaire à Implémentation d’un stack Elastic pour superviser un environnement en constant évolution

siem-180906233759.pptx
siem-180906233759.pptxsiem-180906233759.pptx
siem-180906233759.pptxStyvePola1
 
3 Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - Genève3 Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - GenèveaOS Community
 
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2☁️Seyfallah Tagrerout☁ [MVP]
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm
 
AWS Summit Paris - Track 3 - Session 2 - IoT Partie 2 - Mettez en place l'inf...
AWS Summit Paris - Track 3 - Session 2 - IoT Partie 2 - Mettez en place l'inf...AWS Summit Paris - Track 3 - Session 2 - IoT Partie 2 - Mettez en place l'inf...
AWS Summit Paris - Track 3 - Session 2 - IoT Partie 2 - Mettez en place l'inf...Amazon Web Services
 
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMickaelLOPES91
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
 
Migration des réseaux d agence : les apports de Windows Server 2012 R2
Migration des réseaux d agence : les apports de Windows Server 2012 R2Migration des réseaux d agence : les apports de Windows Server 2012 R2
Migration des réseaux d agence : les apports de Windows Server 2012 R2Microsoft
 
La Suite Elastic à BPCE IT: Centre de service Elastic et Security Analytics
La Suite Elastic à BPCE IT: Centre de service Elastic et Security AnalyticsLa Suite Elastic à BPCE IT: Centre de service Elastic et Security Analytics
La Suite Elastic à BPCE IT: Centre de service Elastic et Security AnalyticsElasticsearch
 
siem-180906233759_compress.pdf
siem-180906233759_compress.pdfsiem-180906233759_compress.pdf
siem-180906233759_compress.pdfStyvePola1
 
Guide (un tout petit peu) pratique (et totalement subjectif) du stream proces...
Guide (un tout petit peu) pratique (et totalement subjectif) du stream proces...Guide (un tout petit peu) pratique (et totalement subjectif) du stream proces...
Guide (un tout petit peu) pratique (et totalement subjectif) du stream proces...Bruno Bonnin
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?Identity Days
 
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2Microsoft Décideurs IT
 
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2Microsoft Technet France
 
INSA - Java in da Cloud - 06/2016
INSA - Java in da Cloud - 06/2016INSA - Java in da Cloud - 06/2016
INSA - Java in da Cloud - 06/2016Alexis Hassler
 
INSA Lyon - Java in da Cloud - 06/2016
INSA Lyon - Java in da Cloud - 06/2016INSA Lyon - Java in da Cloud - 06/2016
INSA Lyon - Java in da Cloud - 06/2016Alexis Hassler
 
Azure Camp 9 Décembre 2014 - slides session développeurs IOT Big Data
Azure Camp 9 Décembre 2014 - slides session développeurs IOT Big DataAzure Camp 9 Décembre 2014 - slides session développeurs IOT Big Data
Azure Camp 9 Décembre 2014 - slides session développeurs IOT Big DataMicrosoft
 

Similaire à Implémentation d’un stack Elastic pour superviser un environnement en constant évolution (20)

siem-180906233759.pptx
siem-180906233759.pptxsiem-180906233759.pptx
siem-180906233759.pptx
 
3 Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - Genève3 Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - Genève
 
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
 
AWS Summit Paris - Track 3 - Session 2 - IoT Partie 2 - Mettez en place l'inf...
AWS Summit Paris - Track 3 - Session 2 - IoT Partie 2 - Mettez en place l'inf...AWS Summit Paris - Track 3 - Session 2 - IoT Partie 2 - Mettez en place l'inf...
AWS Summit Paris - Track 3 - Session 2 - IoT Partie 2 - Mettez en place l'inf...
 
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Migration des réseaux d agence : les apports de Windows Server 2012 R2
Migration des réseaux d agence : les apports de Windows Server 2012 R2Migration des réseaux d agence : les apports de Windows Server 2012 R2
Migration des réseaux d agence : les apports de Windows Server 2012 R2
 
Sécurite Amazon Web Services
Sécurite Amazon Web ServicesSécurite Amazon Web Services
Sécurite Amazon Web Services
 
La Suite Elastic à BPCE IT: Centre de service Elastic et Security Analytics
La Suite Elastic à BPCE IT: Centre de service Elastic et Security AnalyticsLa Suite Elastic à BPCE IT: Centre de service Elastic et Security Analytics
La Suite Elastic à BPCE IT: Centre de service Elastic et Security Analytics
 
siem-180906233759_compress.pdf
siem-180906233759_compress.pdfsiem-180906233759_compress.pdf
siem-180906233759_compress.pdf
 
Siem OSSIM
Siem OSSIMSiem OSSIM
Siem OSSIM
 
Guide (un tout petit peu) pratique (et totalement subjectif) du stream proces...
Guide (un tout petit peu) pratique (et totalement subjectif) du stream proces...Guide (un tout petit peu) pratique (et totalement subjectif) du stream proces...
Guide (un tout petit peu) pratique (et totalement subjectif) du stream proces...
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?
 
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
 
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
 
INSA - Java in da Cloud - 06/2016
INSA - Java in da Cloud - 06/2016INSA - Java in da Cloud - 06/2016
INSA - Java in da Cloud - 06/2016
 
INSA Lyon - Java in da Cloud - 06/2016
INSA Lyon - Java in da Cloud - 06/2016INSA Lyon - Java in da Cloud - 06/2016
INSA Lyon - Java in da Cloud - 06/2016
 
Azure Camp 9 Décembre 2014 - slides session développeurs IOT Big Data
Azure Camp 9 Décembre 2014 - slides session développeurs IOT Big DataAzure Camp 9 Décembre 2014 - slides session développeurs IOT Big Data
Azure Camp 9 Décembre 2014 - slides session développeurs IOT Big Data
 

Implémentation d’un stack Elastic pour superviser un environnement en constant évolution

  • 1. Implémentation d’un stack Elastic pour superviser un environnement en constant évolution Présenté par : Marc-Antoine Roux
  • 2. GROUPE GERMAIN HÔTELS Groupe Germain Hôtels est une entreprise familiale canadienne reconnue pour sa philosophie d’accueil exceptionnelle et pour le style unique qui caractérise ses hôtels. Célébrant son 30e anniversaire en 2018, l’entreprise possède et exploite les Hôtels Le Germain ainsi que les Hôtels Alt et Alt+ à travers le Canada. À propos
  • 3. - 19 sites, chacun des sites est géré comme une entreprise distincte - Point central au centre de données où les applications critiques sont hébergées - Ajout de plateforme la plateforme cloud AWS Plusieurs sources d’événements à intégrer au SIEM: Amélioration de la visibilité sur l’infrastructure Réseautique Machines virtuelles Services « On Prem » Services « Cloud » Cisco ASA Windows Server Active Directory Office365 Cisco Firepower Windows 10 SMTP AWS Cisco IOS Ubuntu Serveurs d’applications Active Directory Windows Server Windows 10
  • 4. -Événements Windows -Événements d’Application, Sécurité et Système -Audit d’événements Office365 -Événements VMware ESX et vSphere -Événements dans des fichiers texte -Événements d’équipement réseau par protocole SNMP et Netflow Amélioration de la visibilité sur l’infrastructure
  • 5. -Solution sélectionnée: ElasticSearch sur instances EC2 (AWS) -Le côté Open Source d’ES nous permettait de faire un POC gratuit -L’infrastructure cloud était plus facile à mettre en place -Il est possible d’ajuster l’infrastructure rapidement (Scaling) -Aucune gestion du hardware Infrastructure sélectionnée pour le SIEM
  • 6. -Notre déploiement actuel est séparé entre des instances EC2 et des machines virtuelles dans notre centre de données. Centre de données: -5 nœuds pour recueillir les événements et les traiter (Logstash et Beats) -1 nœud Wazuh pour la gestion de l’HIDS (Host-based Intrusion Detection System) AWS : -3 nœuds ElasticSearch sur une instance r5.xlarge (32gb de RAM) -1 nœud Kibana sur une instance t3.small Architecture actuelle – Déploiement hybride
  • 9. -Winlogbeat pour les événements de Windows (Service sur l’agent) -Metricbeat pour les métriques -Stack Elastic -Site web - Filebeat pour les événements en format texte - Équipements réseau - Fichiers d’événements texte -O365beat pour l’audit d’Office365 (« Beat » sur mesure) -Logstash pour l’ingestion par SNMP Expédition des données d’événements
  • 10. -Traitement sommaire fait avec les « processeurs » sur les agents Winlogbeat, Filebeat et O365Beat -Certaines sources de données passent par un enrichissement plus complet avec Logstash ou directement dans ElasticSearch -Utilisation de plateformes d’OSINT (Open Souce INTelligence) pour enrichir les événements. Traitement de l’information et enrichissement
  • 11. -Alertage par ElastAlert basé sur le type d’événement -Tableaux de bords pour la conformité PCI-DSS et pour les opérations -Elastic Maps pour afficher les connexions sur O365 -(En cours) Intégration de TheHive, pour le threat Management -Recherche de données dans Discovery Utilisation des données recueillies
  • 13.
  • 17. -~30 jours de données en live -Tâche journalière pour prendre un snapshot des index vers S3 -Gestion de la restauration des snapshots par Kibana -(En cours) Cycle de vie dans S3 pour migrer les anciens index vers Glacier Rétention des données d’événements
  • 18. -Migration des champs vers ECS -Index trop volumineux -Sécurisation de Kibana (Avant ElasticSearch 7.1.0) -Infrastructure bilingue Problèmes rencontrés
  • 19. -Quantité d’événements trop élevé pour être analysé par un humain -Manque d’expertise et de ressources adaptées à notre environnement -Problèmes de performance avec Logstash Problèmes rencontrés
  • 20. -Mise en place des fonctionnalités de la licence « Platinium » -Migration d’ElastAlert vers Watcher pour l’alertage -Mise en place d’un cluster de monitoring -Développement de plus de tableaux de bord -Migration vers Logstash en mode balance de charge -Amélioration de l’enrichissement des données dans Logstash Prochaines étapes
  • 21. Olaf Hartong – Sysmon Modular | Configuration de Sysmon personnalisable https://github.com/olafhartong/sysmon-modular SwiftOnSecurity – Sysmon-Config | Configuration de Sysmon préconfigurée https://github.com/SwiftOnSecurity/sysmon-config Roberto Rodriguez et Jose Luis Rodriguez - Mordor | Source d’événements simulant plusieurs types d’attaques https://github.com/hunters-forge/mordor Roberto Rodriguez et Jose Luis Rodriguez – Threat Hunter Playbook | Collection d’information sur le Threat Hunting https://threathunterplaybook.com/introduction Florian Roth – SIGMA | Identification d’attaque basée sur des signatures génériques https://github.com/Neo23x0/sigma SOC Prime – Uncoder |Outil pour convertir des règles de format SIGMA vers d’autres SIEM https://uncoder.io/# MITRE – ATT&CK |Framework qui sert pour l’identification d’attaque basée sur différents types de techniques https://attack.mitre.org/ Sources d’information pour débuter l’implémentation d’un SIEM
  • 22. Roberto Rodriguez - The Hunting ELK (HELK) | Stack ElasticSearch sur mesure pour le Threat Hunting https://github.com/Cyb3rWard0g/HELK TheHive Project – TheHive (MISP/Cortex) | Plateforme de gestion de cas d’Indicident Response https://thehive-project.org/ Santiago Bassett – Wazuh (HIDS) | Système de détection et d’Incident Response basé sur OSSEC https://wazuh.com Jose Antonio Izquierdo Lopez – OwlH| Système de gestion et visualisation d’IDS réseau https://www.owlh.net/ Chris Hendricks – O365Beat | Beat pour transporter les logs d’audit d’Office365 https://github.com/counteractive/o365beat Sources d’information pour débuter l’implémentation d’un SIEM