Découvrez comment Orange Business Services utilise la Suite Elastic pour refondre et moderniser leur infrastructure SIEM et améliorer davantage leurs méthodes de détection d’anomalies et d’intrusions.

1. Orange Business Services : Une Meilleure Infrastructure
SIEM avec Elastic
ElasticON tour
FRON Michael, RENOUF Jocelyn
24/09/2020, Orange Business Services

2. Orange Business Services
Nos chiffres clés
7,8 milliards €
Chiffre d’affaires en 2019
580 millions €
Chiffre d’affaires Cyberdéfense
(+24% en un an)
Leader européen
+19 %
Croissance dans le Cloud en un an
2 millions
Clients professionnels et PME, dont 43 000
entreprises de plus de 50 salariés en France
+3 000
Multinationales clientes
27 000
Collaborateurs,
dont la moitié à l’international
Wifi
Interco
Intranet
Télétravail
Réseau
Sécurité
Service Management

3. Des millions de logs générés
par les équipements
d’Orange OBS n’étaient pas
traité.
Volonté d’améliorer la sécurité
en étendant le périmètre du
SIEM. La sécurité étant la
priorité de notre équipe, il était
important de remettre en
question l’infrastructure déjà
existante.
L’innovation faisant partie de
l’identité d’Orange OBS, il
était essentielle pour nous
d’explorer les nouvelles
technologies comme le
Machine Learning.
Les origines du projet EYES

4. Pourquoi avoir choisi la
Suite Elastic ?
Flexibilité de la Suite Elastic pour
les besoins d’Orange OBS, et
adaptabilité aux équipements
déjà présents.
Communauté Elastic qui
facilite le développement de
l’outil.
Scalabilité de l’infrastructure,
essentielle dans un
environnement en perpétuelle
évolution.

5. Comment les logs sont-ils
collectés ?
Logstash un outil de collect sécurisé et
polyvalent
Input
Grâce aux différents plugins Logstash, nous sommes
en mesure de collecter une grande variété
d’information venant de nos équipements de sécurité :
IPS/IDS, Pare-feu, antivirus,…
Filtres
Les filtres Logstash nous permettent d’enrichir les
événements. Une notion importante pour réduire le
temps d’investigation des équipes du SOC.
Output
La partie Output de Logstash nous permet d’envoyer
les logs vers différents clusters Elasticsearch en
chiffrant les flux.
Equipements
réseaux
Equipements
de sécurité
Bases de
données
Web API Beats Syslog
InfrastruturedelaSuiteElasticLogs
Clusters Elasticsearch

6. Infrastructure
Cluster de monitoring
Cluster 1 Cluster 2
3 Ingest nodes
2 warm nodes
5 Logstash 4 Logstash 4 Logstash
3 Hot nodes
1 Cold node
2 warm nodes
3 Ingest nodes
3 Hot nodes
1 Cold node
1 Coordination
node
Machine learning
nodes
Cross-Cluster 3
Elastic Common Schema

7. 6000 23 100
Event /s
13 Logstash traitent
et indexent ces logs
dans Elasticsearch
Terabytes
Stockés sur 18 serveurs
Elasticsearch
Milliards
De logs indexés sur
les noeuds :
HOT, WARM et COLD
Quelques chiffres

8. Cas d’usage
Elasticsearch un outil d’investigation pour le SOC
Corrélation des logs provenant des équipements du réseau / sécurité.
Identification des flux utilisateurs.
Détection de Brute force.
Identification et géolocalisation des IP LAN.
Détection de scan réseaux et applicatifs.

9. Détection d’un nombre trop
important de user agents
par source ip.
Index : Réseaux
Outil de pentest
Détection de trafic non
légitime par l’analyse de
port destination.
Index : Réseaux
Scan de port
Détection d’un grand nombre
d’erreurs d’authentification.
Index : System
Brute force
Machine Learning

10. Canvas
Un outil customisable pour créer des tableaux de bord.
Données non
contractuelles

11. Courbe de progression
Du management des logs vers l’automatisation
1 2 3 4 ?
Collecte d’
événements
Enrichissement Détection Automatisation
de la détection
Automatisation
de la réponse

12. Perspective d’évolution
Utilisation du SIEM Elasticsearch pour préparer l’intégration de

13. Gain de temps Gain d’efficacité Automatisation
• Elastic facilite les
investigations.
• La centralisation des outils
permet de corréler les
informations.
• Détection d’activité
anormale automatisée.
Bénéfices

14. Conclusion