Depuis plusieurs mois, les APT font la une de la presse spécialisée en sécurité. Les plus grands noms de l’industrie tombent les uns après les autres et voient leur données compromises et affichées au yeux de tous.
Les APT ne sont pas nouvelles et représentent une intrusion calculée, orchestrée et avec un objectif bien plus ciblé que les attaques classiques. Nous verrons comment le Web et le protocole HTTP prennent une place importante dans la réalisation d’une APT, du début de l’intrusion, en passant par le maintient et l’évolution dans l’infrastructure pour finir par l’extraction des données.
Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Matthieu Estrade
Depuis plusieurs mois, les APT font la une de la presse spécialisée en sécurité. Les plus grands noms de l’industrie tombent les uns après les autres et voient leur données compromises et affichées au yeux de tous.
Les APT ne sont pas nouvelles et représentent une intrusion calculée, orchestrée et avec un objectif bien plus ciblé que les attaques classiques. Nous verrons comment le Web et le protocole HTTP prennent une place importante dans la réalisation d’une APT, du début de l’intrusion, en passant par le maintient et l’évolution dans l’infrastructure pour finir par l’extraction des données.
Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Matthieu Estrade
Présentation et deep dive de Microsoft Advanced Threat Analytics
Cette présentation à était donnée par moi même lors du MS cloud Summit 2017 à Paris.
Cette présentation présente la solution, vous donne toute les bonne pratique pour l’aspect installation, design, déploiement et opérations.
Merci :)
Seyfallah Tagrerout
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneMicrosoft
Les smartphones sont aujourdhui partie prenante de toutes les entreprises , avec le BYOD la menace augmente Malheureusement ces outils sont actuellement la cible de toutes les attaques pour entrer dans l'entreprise. Nous détaillerons dans cette présentation les dix risques les plus courants s'appliquant aux smartphones ainsi que les remédiations possibles dans un environnement Windows Phone
Comprendre la sécurité web - Présentation effectuée à "Ubuntu Paris 1610" par Christophe Villeneuve.
La sécurité est une affaire de tous. Il est indispensable d'en prendre comprendre les concepts et de se protéger
Full version of IPv6 Matrix project presentation, in French, as given at INET Tunis.
Includes a section focusing on the last IPv4 address blocks available, and another section on African IPv6 connectivity - with a parallel to the spread on Internet in Africa between 1994-1997, thanks to my archives on International Connectivity.
La version intégrale de la présentation du projet IPv6 Matrix, en français, comme présentée au congrès INET Tunis.
Comprend une section consacrée au dernier blocs d'adresses IPv4 disponibles, et une autre section sur la connectivité IPv6 en Afrique - avec un parallèle de propagation Internet en Afrique entre 1994-1997, grâce à mes archives sur la connectivité internationale.
3 Microsoft Advanced Threat Analytics - GenèveaOS Community
Session qui va décrire et présenter la technologie Azure Site Recovery. Ce service dans Azure propose un PRA pour les systèmes d'informations avec comme source plusieurs technologies ( Hyper-V , VMware) cette session va présenter ASR dans les moindres détails en passant par la phase design , déploiement et administration.
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO Technology
En cette année 2024 qui s’annonce sous le signe de la complexité, avec :
- L’explosion de la Gen AI
-Un contexte socio-économique sous tensions
- De forts enjeux sur le Sustainable et la régulation IT
- Une archipélisation des lieux de travail post-Covid
Découvrez les Tech trends incontournables pour délivrer vos produits stratégiques.
L'IA connaît une croissance rapide et son intégration dans le domaine éducatif soulève de nombreuses questions. Aujourd'hui, nous explorerons comment les étudiants utilisent l'IA, les perceptions des enseignants à ce sujet, et les mesures possibles pour encadrer ces usages.
Constat Actuel
L'IA est de plus en plus présente dans notre quotidien, y compris dans l'éducation. Certaines universités, comme Science Po en janvier 2023, ont interdit l'utilisation de l'IA, tandis que d'autres, comme l'Université de Prague, la considèrent comme du plagiat. Cette diversité de positions souligne la nécessité urgente d'une réponse institutionnelle pour encadrer ces usages et prévenir les risques de triche et de plagiat.
Enquête Nationale
Pour mieux comprendre ces dynamiques, une enquête nationale intitulée "L'IA dans l'enseignement" a été réalisée. Les auteurs de cette enquête sont Le Sphynx (sondage) et Compilatio (fraude académique). Elle a été diffusée dans les universités de Lyon et d'Aix-Marseille entre le 21 juin et le 15 août 2023, touchant 1242 enseignants et 4443 étudiants. Les questionnaires, conçus pour étudier les usages de l'IA et les représentations de ces usages, abordaient des thèmes comme les craintes, les opportunités et l'acceptabilité.
Résultats de l'Enquête
Les résultats montrent que 55 % des étudiants utilisent l'IA de manière occasionnelle ou fréquente, contre 34 % des enseignants. Cependant, 88 % des enseignants pensent que leurs étudiants utilisent l'IA, ce qui pourrait indiquer une surestimation des usages. Les usages identifiés incluent la recherche d'informations et la rédaction de textes, bien que ces réponses ne puissent pas être cumulées dans les choix proposés.
Analyse Critique
Une analyse plus approfondie révèle que les enseignants peinent à percevoir les bénéfices de l'IA pour l'apprentissage, contrairement aux étudiants. La question de savoir si l'IA améliore les notes sans développer les compétences reste débattue. Est-ce un dopage académique ou une opportunité pour un apprentissage plus efficace ?
Acceptabilité et Éthique
L'enquête révèle que beaucoup d'étudiants jugent acceptable d'utiliser l'IA pour rédiger leurs devoirs, et même un quart des enseignants partagent cet avis. Cela pose des questions éthiques cruciales : copier-coller est-il tricher ? Utiliser l'IA sous supervision ou pour des traductions est-il acceptable ? La réponse n'est pas simple et nécessite un débat ouvert.
Propositions et Solutions
Pour encadrer ces usages, plusieurs solutions sont proposées. Plutôt que d'interdire l'IA, il est suggéré de fixer des règles pour une utilisation responsable. Des innovations pédagogiques peuvent également être explorées, comme la création de situations de concurrence professionnelle ou l'utilisation de détecteurs d'IA.
Conclusion
En conclusion, bien que l'étude présente des limites, elle souligne un besoin urgent de régulation. Une charte institutionnelle pourrait fournir un cadre pour une utilisation éthique.
Contenu connexe
Similaire à 2016-06-15-Suricata–IDS_Libres_par_Eric Leblond–Stamus Network.pdf
Présentation et deep dive de Microsoft Advanced Threat Analytics
Cette présentation à était donnée par moi même lors du MS cloud Summit 2017 à Paris.
Cette présentation présente la solution, vous donne toute les bonne pratique pour l’aspect installation, design, déploiement et opérations.
Merci :)
Seyfallah Tagrerout
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneMicrosoft
Les smartphones sont aujourdhui partie prenante de toutes les entreprises , avec le BYOD la menace augmente Malheureusement ces outils sont actuellement la cible de toutes les attaques pour entrer dans l'entreprise. Nous détaillerons dans cette présentation les dix risques les plus courants s'appliquant aux smartphones ainsi que les remédiations possibles dans un environnement Windows Phone
Comprendre la sécurité web - Présentation effectuée à "Ubuntu Paris 1610" par Christophe Villeneuve.
La sécurité est une affaire de tous. Il est indispensable d'en prendre comprendre les concepts et de se protéger
Full version of IPv6 Matrix project presentation, in French, as given at INET Tunis.
Includes a section focusing on the last IPv4 address blocks available, and another section on African IPv6 connectivity - with a parallel to the spread on Internet in Africa between 1994-1997, thanks to my archives on International Connectivity.
La version intégrale de la présentation du projet IPv6 Matrix, en français, comme présentée au congrès INET Tunis.
Comprend une section consacrée au dernier blocs d'adresses IPv4 disponibles, et une autre section sur la connectivité IPv6 en Afrique - avec un parallèle de propagation Internet en Afrique entre 1994-1997, grâce à mes archives sur la connectivité internationale.
3 Microsoft Advanced Threat Analytics - GenèveaOS Community
Session qui va décrire et présenter la technologie Azure Site Recovery. Ce service dans Azure propose un PRA pour les systèmes d'informations avec comme source plusieurs technologies ( Hyper-V , VMware) cette session va présenter ASR dans les moindres détails en passant par la phase design , déploiement et administration.
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO Technology
En cette année 2024 qui s’annonce sous le signe de la complexité, avec :
- L’explosion de la Gen AI
-Un contexte socio-économique sous tensions
- De forts enjeux sur le Sustainable et la régulation IT
- Une archipélisation des lieux de travail post-Covid
Découvrez les Tech trends incontournables pour délivrer vos produits stratégiques.
L'IA connaît une croissance rapide et son intégration dans le domaine éducatif soulève de nombreuses questions. Aujourd'hui, nous explorerons comment les étudiants utilisent l'IA, les perceptions des enseignants à ce sujet, et les mesures possibles pour encadrer ces usages.
Constat Actuel
L'IA est de plus en plus présente dans notre quotidien, y compris dans l'éducation. Certaines universités, comme Science Po en janvier 2023, ont interdit l'utilisation de l'IA, tandis que d'autres, comme l'Université de Prague, la considèrent comme du plagiat. Cette diversité de positions souligne la nécessité urgente d'une réponse institutionnelle pour encadrer ces usages et prévenir les risques de triche et de plagiat.
Enquête Nationale
Pour mieux comprendre ces dynamiques, une enquête nationale intitulée "L'IA dans l'enseignement" a été réalisée. Les auteurs de cette enquête sont Le Sphynx (sondage) et Compilatio (fraude académique). Elle a été diffusée dans les universités de Lyon et d'Aix-Marseille entre le 21 juin et le 15 août 2023, touchant 1242 enseignants et 4443 étudiants. Les questionnaires, conçus pour étudier les usages de l'IA et les représentations de ces usages, abordaient des thèmes comme les craintes, les opportunités et l'acceptabilité.
Résultats de l'Enquête
Les résultats montrent que 55 % des étudiants utilisent l'IA de manière occasionnelle ou fréquente, contre 34 % des enseignants. Cependant, 88 % des enseignants pensent que leurs étudiants utilisent l'IA, ce qui pourrait indiquer une surestimation des usages. Les usages identifiés incluent la recherche d'informations et la rédaction de textes, bien que ces réponses ne puissent pas être cumulées dans les choix proposés.
Analyse Critique
Une analyse plus approfondie révèle que les enseignants peinent à percevoir les bénéfices de l'IA pour l'apprentissage, contrairement aux étudiants. La question de savoir si l'IA améliore les notes sans développer les compétences reste débattue. Est-ce un dopage académique ou une opportunité pour un apprentissage plus efficace ?
Acceptabilité et Éthique
L'enquête révèle que beaucoup d'étudiants jugent acceptable d'utiliser l'IA pour rédiger leurs devoirs, et même un quart des enseignants partagent cet avis. Cela pose des questions éthiques cruciales : copier-coller est-il tricher ? Utiliser l'IA sous supervision ou pour des traductions est-il acceptable ? La réponse n'est pas simple et nécessite un débat ouvert.
Propositions et Solutions
Pour encadrer ces usages, plusieurs solutions sont proposées. Plutôt que d'interdire l'IA, il est suggéré de fixer des règles pour une utilisation responsable. Des innovations pédagogiques peuvent également être explorées, comme la création de situations de concurrence professionnelle ou l'utilisation de détecteurs d'IA.
Conclusion
En conclusion, bien que l'étude présente des limites, elle souligne un besoin urgent de régulation. Une charte institutionnelle pourrait fournir un cadre pour une utilisation éthique.
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...OCTO Technology
Par Nicolas Bordier (Consultant numérique responsable @OCTO Technology) et Alaric Rougnon-Glasson (Sustainable Tech Consultant @OCTO Technology)
Sur un exemple très concret d’audit d’éco-conception de l’outil de bilan carbone C’Bilan développé par ICDC (Caisse des dépôts et consignations) nous allons expliquer en quoi l’ACV (analyse de cycle de vie) a été déterminante pour identifier les pistes d’actions pour réduire jusqu'à 82% de l’empreinte environnementale du service.
Vidéo Youtube : https://www.youtube.com/watch?v=7R8oL2P_DkU
Compte-rendu :
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Laurent Speyser
(Conférence dessinée)
Vous êtes certainement à l’origine, ou impliqué, dans un changement au sein de votre organisation. Et peut être que cela ne se passe pas aussi bien qu’attendu…
Depuis plusieurs années, je fais régulièrement le constat de l’échec de l’adoption de l’Agilité, et plus globalement de grands changements, dans les organisations. Je vais tenter de vous expliquer pourquoi ils suscitent peu d'adhésion, peu d’engagement, et ils ne tiennent pas dans le temps.
Heureusement, il existe un autre chemin. Pour l'emprunter il s'agira de cultiver l'invitation, l'intelligence collective , la mécanique des jeux, les rites de passages, .... afin que l'agilité prenne racine.
Vous repartirez de cette conférence en ayant pris du recul sur le changement tel qu‘il est généralement opéré aujourd’hui, et en ayant découvert (ou redécouvert) le seul guide valable à suivre, à mon sens, pour un changement authentique, durable, et respectueux des individus! Et en bonus, 2 ou 3 trucs pratiques!
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...OCTO Technology
par Claude Camus (Coach agile d'organisation @OCTO Technology) et Gilles Masy (Organizational Coach @OCTO Technology)
Les équipes infrastructure, sécurité, production, ou cloud, doivent consacrer du temps à la modernisation de leurs outils (automatisation, cloud, etc) et de leurs pratiques (DevOps, SRE, etc). Dans le même temps, elles doivent répondre à une avalanche croissante de demandes, tout en maintenant un niveau de qualité de service optimal.
Habitué des environnements développeurs, les transformations agiles négligent les particularités des équipes OPS. Lors de ce comptoir, nous vous partagerons notre proposition de valeur de l'agilité@OPS, qui embarquera vos équipes OPS en Classe Business (Agility), et leur fera dire : "nous ne reviendrons pas en arrière".
1. Suricata: détection d’intrusion réseau
É. Leblond
Stamus Networks
15 juin 2016
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 1 / 31
2. Éric Leblond
Éric Leblond aka @Regiteric
Core développeur Suricata et
Netfilter
Co-fondateur de Stamus
Networks
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 2 / 31
3. Stamus Networks
Sondes de détection d’intrusion réseaux
Appliances haute performance
Utilisant l’IDS Suricata
Gestion centralisée par interface web
Services professionnels autour de Suricata
Consulting
Développements à façon
Formations
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 3 / 31
4. Suricata : Intrusion Detection System
Principe
Analyse du trafic réseaux d’une entreprise
Recherche de motifs connus comme étant des attaques
Émission d’alertes
Spécificités
Logiciel libre
Développé par l’OISF fondation à but non lucratif américaine
Multithreadé
Détection et analyse des protocoles
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 4 / 31
5. Historique de Suricata
Développement de zéro
Projet né en 2008
Version 1.0 en 2010
Version 3.1 en cours de préparation
Commits par domaine
Auteurs par année
Principaux commiteurs
Victor Julien (Hollande)
Éric Leblond (France)
Anoop Saldanha (Inde)
Jason Ish (Canada)
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 5 / 31
6. Membres du consortium OISF
Platine
Or
Bronze
Débutants
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 6 / 31
7. Points clés de Suricata
Suricata
Analyse pro-
tocolaire
Détection
automatique
Extraction
métadonnées
Protocoles HTTP
SMTP
TLS
DNS
SSH
Détection
d’intrusion
Signatures
Mots clés
protocolaires
Attaques
multi étapes
Lua pour
analyse
avancée
Architecture
Sortie
JSON
Redis
Syslog
Prelude
IDS
pcap
afpacket
netmap
IPS
Netfilter
afpacket
ipfw
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 7 / 31
8. Signatures
alert tcp any any -> 192.168.1.0/24 21 (content : "USER root"; msg : "FTP root login";)
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 8 / 31
9. Signatures
alert tcp any any -> 192.168.1.0/24 21 (content : "USER root"; msg : "FTP root login";)
Action : alert / drop / pass
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 8 / 31
10. Signatures
alert tcp any any -> 192.168.1.0/24 21 (content : "USER root"; msg : "FTP root login";)
IP parameters
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 8 / 31
11. Signatures
alert tcp any any -> 192.168.1.0/24 21 (content : "USER root"; msg : "FTP root login";)
Motif
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 8 / 31
12. Signatures
alert tcp any any -> 192.168.1.0/24 21 (content : "USER root"; msg : "FTP root login";)
Other parameters
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 8 / 31
13. Signatures : sources et gestion
Sources
Emerging Threats (Proofpoint)
Mise à jour journalière
ET Open : Open source
ET Pro : Sur subscription
Gestion
Mise à jour automatisable
Problème des faux positifs
Gestion régulière des alertes nécessaires
Approche métier pour la sélection des règles
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 9 / 31
14. libhtp
Un parseur HTTP orienté sécurité
Écrit par by Ivan Ristić (ModSecurity, IronBee)
Ajout de mots clefs
http_method
http_uri & http_raw_uri
http_client_body & http_server_body
http_header & http_raw_header
http_cookie
et quelques autres . . .
Capable de décoder les flux compressés
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 10 / 31
15. Suricata : HTTP
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 11 / 31
16. Utilisation des mots clefs HTTP
Exemple de signature : Chat facebook
a l e r t http $HOME_NET any −> $EXTERNAL_NET any
(
msg: "ET CHAT Facebook Chat ( send message ) " ;
flow : established , to_server ; content : "POST" ; http_method ;
content : " / ajax / chat / send . php " ; h t t p _ u r i ; content : " facebook .com" ; http_hostname ;
classtype : policy−v i o l a t i o n ; reference : url , doc . emergingthreats . net /2010784;
reference : url ,www. emergingthreats . net / cgi−bin / cvsweb . cgi / sigs / POLICY / POLICY_Facebook_Chat ;
sid :2010784; rev : 4 ;
)
La signature teste :
La méthode HTTP : POST
La page : /ajax/chat/send.php
Le domain : facebook.com
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 12 / 31
17. Un parseur de négociation TLS
Pas de déchiffrement
Method
Analyse de la négotiation TLS
Parse les messages TLS
Un parseur orienté sécurité
Code dédié
Fournit une base de code modifiable
Pas de dépendance externe
Contribué par Pierre Chifflier (ANSSI)
Avec un focus sécurité :
Resistance aux attaques (audit, fuzzing)
Détection d’anomalies
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 13 / 31
18. Un parseur de négotiations
La syntaxe
a l e r t tcp $HOME_NET any −> $EXTERNAL_NET 443
devient
a l e r t t l s $HOME_NET any −> $EXTERNAL_NET any
Interêt :
Pas de dépendance aux paramètres IP
La recherche de motif est limité aux flux du protocole
Moins de faux positifs
Plus de performance
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 14 / 31
19. Suricata : TLS
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 15 / 31
20. Mots clefs TLS
tls.version : Match sur la version du protocole
tls.subject : Match sur le sujet du certificat
tls.issuerdn : Match sur le nom de la CA qui a signé la clef
tls.fingerprint : Match l’empreinte du certificat
tls.store : Stocke la chaine de certificats et un fichier meta sur disque
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 16 / 31
21. Exemple : vérification de politique de sécurité (1/2)
Environnement :
Un organisme avec des serveurs
et une PKI officielle
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 17 / 31
22. Exemple : vérification de politique de sécurité (1/2)
Environnement :
Un organisme avec des serveurs
et une PKI officielle
L’objectif :
Verifier que la PKI est utilisé
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 17 / 31
23. Exemple : vérification de politique de sécurité (1/2)
Environnement :
Un organisme avec des serveurs
et une PKI officielle
L’objectif :
Verifier que la PKI est utilisé
Sans trop travailler
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 17 / 31
24. Exemple : vérification de politique de sécurité (2/2)
Vérifions que les certificats utilisés quand un client négocie une connexion vers un
de nos serveurs sont bien signés par notre CA.
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 18 / 31
25. Exemple : vérification de politique de sécurité (2/2)
Vérifions que les certificats utilisés quand un client négocie une connexion vers un
de nos serveurs sont bien signés par notre CA.
La signature :
a l e r t t l s any any −> $SERVERS any ( t l s . issuerdn : ! "C=NL, O=Staat der Nederlanden ,
CN=Staat der Nederlanden Root CA" ; )
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 18 / 31
26. Au diable les années 90
Débarassons nous de unified2
Standard de facto pour les alertes
Format binaire
Difficile à etendre
Pas d’API
Nous avons besoin de quelque chose d’extensible
Pour journaliser les alertes ET les événements protocolaires
Facile à générer et à parser
Extensible
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 19 / 31
27. JavaScript Object Notation
JSON
JSON (http://www.json.org/) est un format léger pour l’échange de données.
Facile à lire et écrire pour un humain.
Facile à parser et générer pour une machine.
Un objet est un ensemble non ordonné de clef/valeur.
Journalisation en JSON
{"timestamp":"2012-02-05T15:55:06.661269", "src_ip":"173.194.34.51",
"dest_ip":"192.168.1.22",
"alert":{"action":"allowed",rev":1,"signature":"SURICATA TLS store"}}
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 20 / 31
28. Alerte
La structure
Les information Ip sont identiques pour tous les événements
Suit le Common Information Model
Permet une aggrégation simple des événements Suricata avec les sources externes
Example
{"timestamp":"2014-03-06T05:46:31.170567","event_type":"alert",
"src_ip":"61.174.51.224","src_port":2555,
"dest_ip":"192.168.1.129","dest_port":22,"proto":"TCP",
"alert":{"action":"Pass","gid":1,"signature_id":2006435,"rev":8,
"signature":"ET SCAN LibSSH Based SSH Connection - Often used as a BruteForce Tool"
"category":"Misc activity","severity":3}
}
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 21 / 31
30. Elasticsearch, Logstash et Kibana
Elasticsearch est un moteur de recherche
distribué (architecture de type cloud computing)
utilise une base de données NoSQL
utilise la méthode REST
Une série d’outils
Elasticsearch
Logstash : gestion des journaux et transfert sur des sorties variées dont
Elasticsearch
Kibana : interface web de consultation des données stockées dans Elasticsearch
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 23 / 31
31. Un écosystème Suricata type
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 24 / 31
32. Amsterdam
SELKS : une ISO live et installable
Suricata : IDS/NSM open source
Détection basée sur des signatures
Reconnaissance et analyse protocolaire
Elasticsearch : Splunk gratuit
Kibana : interface de tableau de bord
Logstash : collecte, transformation, transfert
Scirius : Gestion des jeux de signatures
Docker
Gestion de containers sous Linux, Windows, Mac OSX
Orchestration via docker compose
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 25 / 31
33. Installation d’Amsterdam
Installation
pip i n s t a l l amsterdam
# v e r i f i c a t i o n optionnelle de la version
pip show amsterdam
# creation de l ’ instance dans le r e p e r t o i r e ams
amsterdam −d ams −i wlan0 setup
# demarrage de l ’ instance
amsterdam −d ams s t a r t
Utilisation
Pointer le navigateur sur https://localhost/ ou sur l’IP réseau depuis une machine
externe.
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 26 / 31
34. Scirius : page d’accueil (1/2)
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 27 / 31
35. Scirius : page d’une signature (2/2)
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 28 / 31
37. Indicateurs de compromission
IOC
Traces permettant de trouver une compromission
Système
Clef de registres
Fichiers
Réseau
Signature IDS
Noms de domaine
Adresse IP
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 30 / 31
38. Indicateurs de compromission
IOC
Traces permettant de trouver une compromission
Système
Clef de registres
Fichiers
Réseau
Signature IDS
Noms de domaine
Adresse IP
Partage d’IOC
Sources publique et privée
Sources communautaire (MISP)
Sources étatique
Vérification des IOC
Sur le traffic en temps réél avec les
signatures
A posteriori dans les logs
protocolaires
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 30 / 31
39. Conclusion
Suricata
Open Source
Communautaire
Performant
IDS et NSM
Plus d’information
Suricata : http://www.suricata-ids.org/
Conférence utilisateurs Suricata : http://suricon.net/
Formation développeur Suricata : Paris, 12-16 Septembre
https://goo.gl/9tYbWP
Amsterdam : https://github.com/StamusNetworks/Amsterdam
Stamus Networks : https://www.stamus-networks.com/
É. Leblond (Stamus Networks) Suricata: détection d’intrusion réseau 15 juin 2016 31 / 31