Le document présente une formation complète sur Logpoint SIEM, englobant l'introduction à l'univers de Logpoint, l'utilisation de son guide d'administrateur, la configuration de la data privacy et la maîtrise de Logpoint Director. Il s'adresse principalement aux administrateurs de sécurité et aux professionnels de la sécurité, fournissant un plan détaillé pour l'apprentissage et l'utilisation efficace de Logpoint dans divers environnements. En plus des aspects techniques, la formation couvre également la gestion des utilisateurs et l'analyse des comportements pour renforcer la sécurité des données.

1. Une formation
Mohamed Anass EDDIK
Formation
Logpoint SIEM
Le guide complet

2. Une formation
Certification officielle

3. Une formation
Plan
Introduction
1. Découvrir l'univers de Logpoint et du SIEM
2. Maitriser le guide de l'administrateur
3. Utiliser Logpoint
4. Comprendre et configurer la data privacy
5. Maitriser le Director
Conclusion

4. Une formation
Public concerné
Administrateur sécurité et SOC
Avant-vente sécurité
Professionnels de la sécurité

5. Une formation
Prérequis

6. Let’s do it!

7. Présentation du Lab
de la formation
Une formation
Mohamed Anass EDDIK

8. Une formation
Schéma du Lab
Environnement du Lab
Plan

9. Une formation
Schéma du LAB
SERVEUR LOGPOINT
Serveur Linux
Serveur Windows
Serveur LDAP
Firewall

10. Une formation
Environnement du Lab
Machine IP adresse
LogPoint 10.1.1.100
Serveur linux 10.1.1.240
Serveur LDAP 10.1.1.180
Serveur Windows 10.1.1.11
Firewall 10.1.1.1

11. Une formation

12. Découvrir Logpoint
Une formation
Mohamed Anass EDDIK

13. Une formation
Qui est Logpoint ?
Logpoint en un coup d’oeil
Offre Technologique
Principes clés
Modèle d’installation
Plan

14. Une formation
Qui est Logpoint ?

15. Une formation
Logpoint en un coup d’oeil

16. Collecte
multi-
source
Stockage
de fichier à
plat
Indexation
Big Data
Performances
élevées
LogPoint
Offre Technologique

17. Une formation
Principes clés
Taxonomie unique pour
représenter les données
collectées
Stockage des données
sécurisé et efficace
(encryption et
compression)
Accès sécurisé aux
données via de la
délégation
d’administration

18. Une formation
Modèle d’installation
Physical
Servers
Virtual Servers
Hyper-V, VMware
Cloud
Amazon, Azure

19. Une formation

20. Comprendre
le fonctionnement d'un SIEM
Une formation
Mohamed Anass EDDIK

21. Une formation
Comment ça marche ?
Pourquoi le SIEM est important?
SOC et le SIEM
Plan

22. Comment ça marche ?
Information de sécurité et gestion d'événements (SIEM) est un terme
pour les services de logiciels et de produits combinant la gestion des
informations de sécurité (SIM) et le gestionnaire d’événements de
sécurité (SEM)
Le segment de la gestion de la sécurité qui traite de la surveillance en
temps réel, la corrélation des événements, des notifications et des vues de
console est communément connu sous le nom de gestion des
événements de sécurité (SEM)
La deuxième zone fournit le stockage à long terme, l'analyse et la
déclaration des données de journal et est connu sous le nom de gestion
des informations de sécurité (SIM)

23. Collecte
de données
Collecte
de données
Ajouter un
valeur
Ajouter un
valeur
Extraction
d’information
importante
Extraction
d’information
importante
Présentation
tableau de bord
et rapport
Présentation
tableau de bord
et rapport
Comment ça marche ?

24. Augmentation des atteintes à la protection
des données dues à des menaces internes et
externes
Les attaquants sont des outils de sécurité
intelligents et les traditionnels ne suffisent
tout simplement pas
Atténuer les cyberattaques sophistiquées
Gérer l'augmentation des volumes de
journaux provenant de sources multiples
Répondre à des exigences de conformité
strictes
Pourquoi le SIEM est important?

25. SOC et le SIEM
Un SOC (Security Operations Centre) comprend les personnes, les
processus, ainsi que la technologie impliquée dans la surveillance
protectrice d'un réseau, l'intervention en cas d'incidents et la
recherche/recherche active de menaces connues ou inconnues

26. Commencer avec Logpoint
Une formation
Mohamed Anass EDDIK

27. Une formation
Comment ça marche ?
Normalisation
Stockage
Sources
Addons
Plan

28. Comment ça marche ?
Base de
donnee
imprimantes
Applications IoT Firewalls
Collect Normalize/
Classify
Enrichment Routing Repositories
Machine
Learning
Correlate
Respond
Search
Sources
Collection Storage Analytics
Director
Monitor Deploy Manage
Cloud UEBA
Detect Score
w
Mines data Work-flows
SOAR
Coeur SIEM
Endpoints

29. Log Timestamp
Labels
Indexed
Raw Log
Normalisation

30. LogPoint vous permet de gérer efficacement le stockage et la
gestion du cycle de vie
Utilisez différents référentiels pour :
• Maintenir un type de données similaire pour une analyse
plus rapide
• Contrôler l'accès aux données en fonction de RBAC
• Mode de confidentialité des données
• Stockage sécurisé des données sensibles
• Maintien décidé par le client
Stockage

31. Data
Analysis
Mise à niveau du stockage
Disk A – 30 jours
Disk B - 335 jours
Disk C – 365 jours
Stockage

32. Sources
TIEndpoints
Cloud
Network
Firewalls
SOAR
Applications Database
LogPoint se connecte à plus de 400 sources de journal hors de la boîteLes intégrations personnalisées peuvent être livrées en quelques jours

33. Addons
Une formation
AS400
SAP
SQL
Sharepoint
Office 365
Threat Intelligence
Salesforce
UEBA

34. Une formation

35. Installer Logpoint
Une formation
Mohamed Anass EDDIK

36. Une formation
Collecte d’information
Licences
Mise à jour
Options Login
Plan

37. Une formation
Collecte d’information
Nom du serveur
Adresse IP
Masque du réseau
Passerelle réseau
Serveur SMTP
DNS

38. Une formation
Collecte d’information
Nom
IP
Log collection policy
Type
OS
Repo
Retention
Type collection

39. Une formation
Licences
La licence Logpoint est installée sous le
chemin Paramètres et LogPoint Settings >>
System
La licence comprend les détails du Logpoint,
la date d'expiration et le nombre de sources
Lorsque les clients renouvellent leur droit de
soutien, ils reçoivent une nouvelle licence
Vous pouvez installer autant de serveurs
Logpoint que nécessaire

40. Une formation
Mise à jour
La mise à jour des patch se fait manuellement sur Logpoint
Dans Logpoint, les correctifs sont libérés continuellement et
avec des niveaux de gravité différents
6.6.0
La version (majeure) du produit
La version mineure du produit en cours d'exécution
Le flexpatch

41. Une formation
Options Login

42. Une formation

43. Configurer Logpoint
Une formation
Mohamed Anass EDDIK

44. Une formation
Paramètres de profil utilisateur
Paramètres du système
Configuration Logpoint
Plan

45. Une formation

46. Intégrer les devices
Une formation
Mohamed Anass EDDIK

47. Une formation
Repos
Routing Policies
Normalization Policies
Processing Policies
Devices
Plan

48. Repos
REPO
30 days Disk A
1000 days Disk B
2000 days Disk C
Stockage à niveaux :
Permet une structure de
stockage flexible
Les journaux et index bruts sont
toujours déplacés ensemble
Processus totalement transparent
Tous les journaux sont en ligne,
indexés et consultables

49. Une formation

50. Configurer UBEA
Une formation
Mohamed Anass EDDIK

51. Une formation
C’est quoi un UEBA?
Logpoint UEBA – Architecture
Exigences
Baselining
Scoring
Plan

52. LogPoint
UEBA
Unparalleled time-to-value
Encrypted data transfer
Insider threat detection
C’est quoi un UEBA ?
L'UEBA (User and Entity Behavior Analytics) est un processus qui surveille les utilisateurs et les
entités pour les activités suspectes.
L'UEBA observe le comportement des utilisateurs et des entités et définit des lignes de base
pour leur comportement normal. Les actions des utilisateurs et des entités sont ensuite
évaluées par rapport à l'ensemble de référence.
UEBA applique des analyses avancées (qui peuvent inclure à la fois l'apprentissage
automatique et des règles code sexistes) à vos données.

53. Une formation
Logpoint UEBA – Archi
Source
s
Repos
UEBA Dashboard
Logs
Encryption
Decryption
User
Input
Outpu
t
LogPoint UEBA
on Cloud
LogPoint

54. Exigences
LogPoint UEBA a besoin d'au moins 30 jours de données normalisées et enrichies pour
préparer correctement les modèles de menaces pour différents cas d'utilisation.
Vous pouvez utiliser le plugin UEBA PreConfiguration pour préparer les données pour le
LogPoint UEBA.
Le plugin comprend :
UEBA_SourceAddrToHostname UEBA_ActiveDirectoryUsers
 Convertit les adresses IP présentes dans les journaux en
noms d'hôtes fiables.
 Reconnaît uniquement les hôtes à travers les noms
d'hôtes résolus.
 Fournit des informations supplémentaires sur les
utilisateurs dans le serveur LDAP.
 LDAP fournit un nom unique pour chaque utilisateur en
enrichissant l'utilisateur (sAMAccountName)

55. Une formation
Baselining
LogPoint UEBA observe le comportement de chaque
utilisateur et entité pour définir une ligne de base pour
un comportement normal
Les activités de chaque entité sont évaluées en
fonction de sa base de référence
Les lignes de base sont définies à l'aide des journaux
correctement normalisés et enrichis
LogPoint UEBA nécessite un minimum de 30 jours de
données historiques pour définir les bases de base
appropriées

56. Scoring
Les scores de risque pour les utilisateurs et les entités sont calculés sur la base du nombre
d'anomalies significatives qu'ils déclenchent
Une anomalie suggère que le comportement de l'utilisateur ou de l'entité s'écarte de sa ligne
de base définie
Le score de risque se situe entre 0 et 100. Un score de risque élevé indique que l'utilisateur ou
l'entité montre un comportement extrêmement anormal
LogPoint classe les scores de risque en quatre types différents :
Risk Classification Risk Score Range Color
Low Risk 00 – 25 Gray
Medium Risk 26 - 50 Yellow
High Risk 51 – 75 Orange
Extreme Risk 76 - 100 Red

57. Une formation

58. Ajouter un Logpoint Collector
Une formation
Mohamed Anass EDDIK

59. Une formation
Scaling LogPoint
LogPoint Collector (LPC)
Distributed Collector Architecture
Plan

60. Une formation
Scaling LogPoint
Le LogPoint de base est une boîte tout-en-un
Dans de nombreux cas, ce n'est pas suffisant
Par conséquent, un collecteur distribué est nécessaire
Si vous avez besoin de plus de stockage(backend)
LogPoint supplémentaire est nécessaire
Dans ces cas, Open Door doit être configuré sur le
LogPoint récepteur
La communication entre deux LogPoints se fait via
VPN

61. Une formation
Scaling LogPoint
LogPoint
Collector
LogPoin
t
Collecto
r
LogPoin
t
Backen
d
LogPoin
t
Collecto
r
LogPoin
t
Backen
d
LogPoin
t
Collecto
r
LogPoin
t
Backen
d
Incoming Events
Incoming Events
Load
Balance
r
Incoming Events
LogPoint Pool

62. Une formation
LogPoint Collector (LPC)
VPN
(1194
UDP
443 TCP)
LogPoint
Collector - 1
LogPoint 1
Un collecteur LogPoint est un LogPoint qui collecte les journaux, les normalise
et les transmet à un LogPoint distant pour un traitement ultérieur.
Des fonctionnalités comme Dashboard, Search et le Rapport ne sont pas
disponibles dans un collecteur LogPoint en raison de sa limitation des
fonctionnalités.

63. Distributed Collector Architecture
L'architecture tout-en-un
Collector Backend Search
Collector Backend
Collector Backend
Collector
Country A
L'architecture de collecteur distribué
équilibrée par la charge
Country B

64. Une formation

65. Administrer un utilisateur
Une formation
Mohamed Anass EDDIK

66. Une formation
Permission Groups
User Groups
Users
Incident User Groups
Data Privacy Groups
Autres mécanismes d'authentification
Plan

67. Une formation

68. Prendre des backups
et des snapshots
Une formation
Mohamed Anass EDDIK

69. Une formation
Backup et restauration
Snapshots
SSH
Plan

70. Backup et restauration
Les sauvegardes sont divisées en Sauvegarde de Configuration et Log et
Checksum Backup. En outre, la planification et la période de rétention des
sauvegardes peuvent être définies individuellement.
Les sauvegardes sont stockées localement
Les sauvegardes peuvent être téléchargés à l'aide d'un client SFTP et d'une clé
publique SSH
Une fois que vous fournissez la clé publique SSH, vous pouvez accéder aux fichiers
de sauvegarde via : sftp log <address_of_LogPoint_server>inspect
Vous pouvez trouver les fichiers de sauvegarde sous leurs dossiers respectifs

71. Une formation

72. Diagnostiquer Logpoint
Une formation
Mohamed Anass EDDIK

73. Une formation
System monitor
Logpoint (travail interne)
Toolbox
Plan

74. Logpoint (travail interne)
normalizernormalizernormalizercollection norm_front
5505
5502
normalizer store_handler
5503
file_keeper_<repo>
IPC:var/wire/repo_storage_in_<repo>
Writes logs to logs/<repo>
file_responder_<repo>
Readslogs from: logs/<repo>
5573..
Writes and reads indexes: indexes/<repo>
IPC:var/wire/repo_indexer_in_<repo>
index_searcher_<repo>5572..
merger
5555
analyzer
5514
labelling
5507
premerger
5556 5557
informer
5504
Remote
merger
Open Door VPN
Local
gunicorn
lookup
5510
alert_engine
alert_dispatcher
5508

75. Une formation

76. Apprendre à utiliser
la recherche
Une formation
Mohamed Anass EDDIK

77. Une formation
Search
Présentation des graph
Résultat de la recherche
Macros
Plan

78. Résultat de la recherche
Lors de l'exécution d'une recherche, le résultat fournit beaucoup d'informations utiles
Log Timestamp
Labels
Indexed
Raw Log

79. Une formation

80. Configurer les listes
Une formation
Mohamed Anass EDDIK

81. Une formation
Liste statique
Liste Dynamique
Plan

82. Une formation

83. Enrichir les données
Une formation
Mohamed Anass EDDIK

84. Une formation
Enrichissement dynamique
Threat Intelligence
Enrichissement statique
Plan

85. Une formation

86. Configurer les search view
et les search templates
Une formation
Mohamed Anass EDDIK

87. Une formation
Search Views
Search Templates
Plan

88. Une formation

89. Mettre en place
les reportings
Une formation
Mohamed Anass EDDIK

90. Une formation

91. Gérer les alerts
Une formation
Mohamed Anass EDDIK

92. Une formation

93. Configurer
les dashboards
Une formation
Mohamed Anass EDDIK

94. Une formation

95. Comprendre la data privacy
Une formation
Mohamed Anass EDDIK

96. Une formation
DATA PRIVACY en général
Module de la DATA PRIVACY
Plan

97. Une formation
DATA PRIVACY en général
Mesures prises par une société pour protéger les
données de ses clients
Définies par le Règlement général sur la protection
des données (RGPD ou GDPR en anglais)
Les 5 principes de la protection des données :
1. Finalité des données
2. Pertinence des données
3. Conservation des données
4. Droits des personnes
5. Sécurité des données

98. Module de la DATA PRIVACY
Data Privacy Module fonctionne sous le principe des Quatre Yeux
Met en œuvre le concept de responsabilité mutuelle
Seuls les administrateurs Logpoint sont autorisés à activer ou désactiver le module
de confidentialité des données dans Logpoint
Admin
Data Privacy
Module
Encrypted Fields Peut
demander
l'accès
il peut
accorder
l’accès
Data Privacy User Groups
Requests Access
For
Grants Access to

99. Une formation

100. Configurer la data privacy
Une formation
Mohamed Anass EDDIK

101. Une formation
Configuration du module de
confidentialité des données
Groupes de confidentialité des
données
Plan

102. Une formation

103. Insérer la data privacy
Une formation
Mohamed Anass EDDIK

104. Une formation
Demande d'accès
Accorder l'accès
Affichage des champs cryptés
Plan

105. Une formation

106. Comprendre le Director
Une formation
Mohamed Anass EDDIK

107. Une formation
Pourqoui Logpoint Director?
L’architecture du Director
Fabric Serveur
Director Console
LogPoint Search Master (LPSM)
Plan

108. Pourquoi Logpoint Director?

109. Une formation
Pourquoi Logpoint Director?
Choses que vous pouvez faire avec LogPoint Director
Information
and Event
Management
Configuration
Management
Incidents and
Alerts
Dashboards
and Reports
Search-related
Functionalities
Threat
Sharing
Install
Applications
Flexpatch
Installation
Configure
Devices, Policies,
Collectors and
more
Configure
System Settings

110. LogPoint Director
Avantages Comment
Optimisez vos opérations en réduisant la
configuration et en surveillant les charges de
travail
Gestion centralisée et surveillance des déploiements
de grande envergure
Augmentez l'efficacité du service grâce à des
capacités d'orchestration et d'automatisation
Activer API complète de toutes les modifications de
configuration
Les données ne quittent jamais vos locaux Des caractéristiques comme les pistes d'audit et les
rapports PDF donnent lieu à des analyses et des
opérations efficaces

111. Une formation
L’architecture du Director
Pool
1
Fabric-enabled
LogPoint(s)
Pool
n
Fabric-enabled
LogPoint(s)
Fabric Server
1
Fabric Server
3
Fabric Server
2
Fabric Server Setup
API Server
Director Console
Director Console
API
LPSM
(LogPoint
Search Master)
Director
Environment
Director User

112. Fabric Serveur
Fabric Server
Configurations
License Management
Authentication
Application Management
Pool 1
Pool 2
Pool n
Search
Master
Director
Console
Users

113. Une formation
Director Console
DC fournit une interface interactive que vous
pouvez utiliser pour vous connecter à la
configuration LogPoint Director
Vous pouvez configurer, surveiller et contrôler la
FABRIC activé entre LogPoints et les Pools à l'aide
de la configuration de la console
Alternativement, il fournit un ensemble d'API pour
les tâches qui ne peuvent pas être accomplies via
l'interface UI

114. Une formation
LP Search Master (LPSM)
LPSM surveille les LogPoints activés par la FABRIC
et remonte l'identité des modifications apportées
aux tableaux de bord, aux rapports et aux incidents
Abonnez-vous et surveillez les tableaux de bord, les
rapports et les incidents
Recherchez dans les LogPoints activés par la
FABRIC à l'aide de LPSM
Créez et gérez les règles d'alerte, les tableaux de
bord, les paquets d'analyse et les modèles de
rapports dans les LogPoints compatibles avec la
FABRIC

115. Une formation

116. Configurer le Director
Une formation
Mohamed Anass EDDIK

117. Une formation
Connexion LogPoint au Director
Qu'arrive-t-il à votre installation
LogPoint ?
Connexion logPoint au Director -
Mode co-géré
Impersonation
Plan

118. Une formation
Qu'arrive-t-il à votre installation
Tous les LogPoints activés par la FABRIC utilisent la même
licence
Les appareils peuvent être configurés à l'aide de Director
Console
Les stratégies de normalisation, les stratégies
d'enrichissement et les stratégies de traitement peuvent
être configurées à l'aide de Director Console
Les modifications apportées au tableau de bord, à la
recherche, au rapport et à l'incident sont reflétées dans le
LPSM

119. Une formation
Impersonation
La fonction d'usurpation d'identité dans LPSM vous permet
d'apporter des modifications aux LogPoints compatibles
avec la Fabric pour le compte de leurs utilisateurs
Vous pouvez apporter des modifications aux tableaux de
bord, aux rapports et aux règles d'alerte des LogPoints
connectés
Vous pouvez ajouter de nouveaux tableaux de bord,
rechercher les LogPoints individuels et générer de nouveaux
rapports pour le compte des LogPoints activés par le Fabric

120. Une formation

121. Conclusion
Une formation
Mohamed Anass EDDIK

122. Une formation
Introduction
Découvrir l'univers de Logpoint et du SIEM
Maitriser le guide de l'administrateur
Utiliser Logpoint
Comprendre et configurer la data privacy
Maitriser le director
Conculsion
Bilan

123. Une formation
Logpoint : Le guide complet