La formation sur Splunk, animée par Hamza Kondah, couvre les fondamentaux de l'analyse de logs, la configuration, et la mise en place d'alertes pour la cybersécurité et la business intelligence. Les participants, notamment des administrateurs systèmes et data scientists, apprendront à maîtriser l'écosystème de Splunk, incluant les serveurs, l'indexation des données, et les divers types d'alertes. Cette formation nécessite des connaissances de base en systèmes et réseaux et en structure de données.

1. Formation
Splunk
Maitriser les fondamentaux
Une formation
Hamza KONDAH

3. LOGS = HORODATAGE + DATA

4. 10

6. Introduction à Splunk
Splunk est une entreprise fondée en 2004 (Publication en 2006)
Il est utilisé par 92 des entreprises dans le Top Fortune 100
Les logs sont une mine d’or Active et Passive
Splunk est une solution multi usage pour l'analyse de logs appliqué à la
business intelligence, supervision, cybersécurité (proactif) → SIEM,
corrélation en tout genre..
Propriétaire et cher aussi mais exploitable
Communauté active
Indexation, regroupement, stockage, corrélation, analyse et visualisation

7. Introduction à Splunk
Splunk est une entreprise fondée en 2004 (Publication en 2006)
Il est utilisé par 92 des entreprises dans le Top Fortune 100
Les logs sont une mine d’or Active et Passive
Splunk est une solution multi usage pour l'analyse de logs appliqué à la
business intelligence, supervision, cybersécurité (proactif)
Communauté active (https://splunkbase.splunk.com/)

9. Introduction à Splunk
Indexation Regroupement Stockage
Corrélation Analyse Visualisation

10. Que peut indexer Splunk ?
Sécurité, BI, Fraude, supervision, Threat Hunting ….

11. Une formation
Plan de la formation
Introduction
1. Maitriser l'écosystème de Splunk
2. Apprendre à configurer Splunk
3. Maitriser l'exploration de données avec
Splunk
4. Découvrir la mise en place des alertes au
niveau de Splunk
Conclusion

12. Une formation
Public concerné
Administrateurs systèmes et réseaux,
architectes systèmes et réseaux,
Data Analysts,
Data Scientists et/ou consultants Big Data,
Toute personne intéressé par l’IT 

13. Une formation
Connaissances requises
Avoir des connaissances de base en
systèmes et réseaux
Avoir des connaissances de base en
analyse/structure de données

14. Une formation
Options pour cette formation
Effectuer le Lab en local
Offre Lab As A Service Alphorm
Accès 24h/24 et 7j/7
Accès depuis votre naviguateur
Machine prête à l’emplois
Exercices avec correction
https://splunk.alphorm.com

15. Keep Calm and let’s analyze
some data !

17. Présentation du LAB
Une formation
Hamza KONDAH

18. Une formation
Configuration technique et architecture
Lab : Déploiement du Lab
Plan

19. Configuration technique et architecture
Plateforme de virtualisation : VMware
Machine Splunk (Windows 10 ou Windows 2012+)
RAM : 6 GO
Disque : 60 Go
Processeur : 2 à 4 Cœurs
Machine Windows 10
RAM : 2Go
Disque : 20 go
Machine Parrot OS(Optionnel)
RAM : 2Go
Disque : 20 go

20. Une formation
Lab : Déploiement du Lab

21. Introduire l'écosystème
Splunk
Une formation
Hamza KONDAH

22. Une formation
Introduction à Splunk
Fonctionnement
Un écosystème riche
Plan

23. Introduction à Splunk
Splunk est une entreprise fondée en 2004 (Publication en 2006)
Il est utilisé par 92 des entreprises dans le Top Fortune 100
Les logs sont une mine d’or Active et Passive
Splunk est une solution multi usage pour l'analyse de logs appliqué à la
business intelligence, supervision, cybersécurité (proactif)
Communauté active (https://splunkbase.splunk.com/)

24. Introduction à Splunk

25. Fonctionnement
Indexation Regroupement Stockage
Corrélation Analyse Visualisation

26. Un écosystème riche

27. Un écosystème riche

28. Comprendre le système
de license de Splunk
Une formation
Hamza KONDAH

29. Une formation
Types de licences sous Splunk
Le capacity planning
Comprendre le pricing sous Splunk
Prévoir le cout d’une licence Splunk
Plan

30. Types de licences sous Splunk
Plus d’informations
https://docs.splunk.com/Documentation/Splunk/8.2.3/Admin/TypesofSplunklicenses

31. Système de licence

32. Splunk Pricing Calculator

33. Une formation
Capacity Planning
Prendre en considération votre besoins d’une
manière évolutive est plus que primordial
La planification du licencing est importante
Budget
Infrastructure
Ressources Humaines
Sans capacity planning, un projet peut facilement
tomber à l’eau

34. Une formation
Configuration par search-head
16 cœurs de processeur à 2 GHz ou mieux par cœur
sur les processeurs Intel x86 64 bits
12 Go de RAM
Une carte réseau Ethernet de 1 Go
300 Go de stockage sur disque RAID 1 (miroir)
Une distribution 64 bits standard de Linux ou
Windows

35. Une formation
Configuration par indexeur
12-48 cœurs de processeur à 2 GHz ou mieux
12-128 Go de RAM
Une carte réseau Ethernet de 1 Go
Un sous-système de disque offrant au moins 800 à 1
200 IOPS en moyenne (opérations d'entrée/sortie
par seconde) avec RAID 1+0 (mirroring et striping)
Une distribution 64 bits standard de Linux ou
Windows

36. Une formation
Dimensionnement de disque
12-48 cœurs de processeur à 2 GHz ou mieux
12-128 Go de RAM
Une carte réseau Ethernet de 1 Go
Un sous-système de disque offrant au moins 800 à 1
200 IOPS en moyenne (opérations d'entrée/sortie
par seconde) avec RAID 1+0 (mirroring et striping)
Une distribution 64 bits standard de Linux ou
Windows

37. Comprendre les modes
de déploiements de Splunk
Une formation
Hamza KONDAH

38. Une formation
Déploiement standalone
Déploiement Basique
Déploiement Multi-instance
Déploiement de capacité croissante
Déploiement – Index Cluster
Plan

39. Déploiement standalone
Le déploiement se fait sur une seul instance de Splunk
Ce type de déploiement n’est jamais utilisé en prod
Il est utilisé pour des POC (Proof Of Concept) ou de la
formation
Un usage personnel est préconisé

40. Déploiement Basique (Forwarders)

41. Déploiement Multi-instance

42. Déploiement de capacité croissante

43. Clusters d’index non répliquant
Offre de gestion simplifiée
Ne pas fournir de disponibilité ou récupération
de données
Clusters d'index
Configuré pour répliquer les données
Prévenir la perte de données
Promouvoir la disponibilité
Gérer plusieurs indexeurs

44. Maitriser les principaux
composants de Splunk
Une formation
Hamza KONDAH

45. Les principaux composants de Splunk
Search Head
Indexer
Forwarders

46. Les forwarders

47. L’indexeur

48. Processus d’indexation
Phase d'entrée:
gérée à la
source
Phase d'analyse: prise
en charge par les
indexeurs
Phase
d'indexation

49. Une formation
Fonctionnalités
Permet aux utilisateurs d'utiliser un langage de
recherche pour rechercher les données indexées
Distribue les demandes de recherche des
utilisateurs vers les indexeurs
Consolide les résultats et extrait les paires de
valeurs d’un champ depuis les événements
utilisateur

50. Fonctionnalités du searchhead
Les search heads fournissent également des outils pour
améliorer la recherche telle que les rapports, tableaux de bord
et visualisations

51. Les principaux composants de Splunk
Search Head
Indexer
Forwarders

52. Déployer Splunk en mode
standard sous Windows
Une formation
Hamza KONDAH

53. Déployer Splunk en mode
standard sous Linux
Une formation
Hamza KONDAH

54. Découvrir les différentes catégories
d'indexation au niveau de Splunk
Une formation
Hamza KONDAH

55. Que peut indexer Splunk
Absolument tout type de données
Fichiers et répertoires
Événements du reseau
TCP ou UDP ou SNMP
Syslog
Sources Windows
Universal Forwarders
HTTP Event Collector (HEC)
Le point de terminaison du collecteur
d'événements HTTP
Scripts
Des connecteurs à votre service !

56. Découvrir l'indéxation de
données via Script
Une formation
Hamza KONDAH

57. CVE : Common Vulnerability Exposure
Le mitre propose un référentiel standardisés pour les vulnérabilités
publiquement connues nommé CVE : Common Vulnerability Exposure
Associer aux failles des identifiants : CVE-AAAA-RRRRRR
Chaque vulnérabilité possède un score qu’on appelera CVSS
CVSS : Common Vulnerability Scoring System

58. Maitriser l'indexation
de fichier sous Splunk
Une formation
Hamza KONDAH

59. Apprendre à déployer les
Universal forwarder sous Windows
Une formation
Hamza KONDAH

60. Une formation
Les indicateurs de compromissions
Monitoring système et réseau
SYSMON
SYSMON pour Splunk
Lab : Déploiement d’Universal Forwarder
Plan

61. Les indicateurs de compromissions

62. Monitoring système et réseau
• Surveillance des processus : implique la surveillance de l'activité
du processus et l'examen des propriétés résultantes lors de
l'exécution du malware
• Surveillance du système de fichiers : inclut la surveillance de l'activité
du système de fichiers en temps réel pendant l'exécution du malware
• Surveillance du registre : implique la surveillance des clés de registre
accédées / modifiées et des données de registre qui sont lues / écrites
par le malware
• Surveillance du réseau : implique la surveillance du trafic vers et
depuis le système pendant l'exécution du malware

63. SYSMON

64. SYSMON sur Splunk

65. Apprendre à déployer les
Universal forwarder sous Linux
Une formation
Hamza KONDAH

66. Maitriser l'extraction de champs
avec Splunk
Une formation
Hamza KONDAH

67. Maitriser l'indexation syslog
sous Splunk
Une formation
Hamza KONDAH

68. Sécuriser son instance Splunk
Une formation
Hamza KONDAH

69. Une formation
Les Rôles sous Splunk
Les utilisateurs sous Splunk
Les Tokens sous Splunk
La gestion des mots de passe sous Splunk
Les méthodologie d’autentification
Plan

70. Une formation
Les rôles sous Splunk
Le concept de rôles consiste en des droits
et permissions
C’est le même principe sous splunk
Il y a aussi la possibilité de créer ses propre
rôles customisés
Il est important d’avoir une approche de
droits granulaire

71. Une formation
Les rôles sous Splunk
Admin Power User Can_delete

72. Une formation
Les Tokens sous Splunk
Tokens d’authentification
Version 7.3 et Plus
Accès à splunk via REST
Accès à splunk via CLI
C’est des credentials !

73. Découvrir le languange SPL
Une formation
Hamza KONDAH

74. Une formation
Définition
Syntaxe SPL
Comprendre les pipelines de
recherches
Composants du SPL
Plan

75. SPL
Splunk Processing Language

76. Syntaxe SPL
index=serveur_web sourcetype=web_requests status=200 | stats sum(price) as revenue | eval revenue = ‘‘$’’ + tostring(revenue, ‘‘commas’’)
Objectif de la
recherche
Pipe
Commande
Fonction
Argument
Clause
Commande
Fonction Argument

77. Les pipelines de recherches
Table
intermédiaire Table
intermédiaire
Résultat final
Index=cve sourcetype=json | top id | fields -cwe
Résultat initial

78. Composants du SPL
Les recherches sont composées de 5 composants de base
 Termes de recherche - que cherchez-vous?
Mots-clés, phrases, booléens, etc.
• Commandes - que voulez-vous faire avec les résultats?
Créer un graphique, calculer des statistiques, évaluer et formater, etc.
• Fonctions - comment voulez-vous créer un graphique, calculer ou évaluer les
résultats?
Obtenir une somme, obtenir une moyenne, transformer les valeurs, etc.
• Arguments - voulez-vous appliquer des variables à cette fonction?
Calculer la valeur moyenne pour un champ spécifique, convertir les
millisecondes en secondes,
• Clauses - comment voulez-vous grouper ou renommer les champs dans les résultats?
Attribuez à un champ un autre nom ou un autre groupe de valeurs

79. Effectuer des recherches de
bases sur Splunk
Une formation
Hamza KONDAH

80. Une formation
Coloration de la syntaxe
Assistant de recherche
Affichage des résultats de recherche
Contrôler et sauvegarder la recherche
Utilisation des champs dans les recherches
Plan

81. Les colorations dans Splunk
Index=web (sourcetype=server-w* OR sourcetype=acc*) action=purchase status=200 | timechart span=1h sum(price) by sourcetype
Opérateurs booléens et
Modificateurs de commandes
Commandes
Arguments
de la commande
Fonctions

82. Recherche = Tâche

83. Maitriser les opérateurs de
recherche avancés
Une formation
Hamza KONDAH

84. Une formation
Le pipeline de recherche
Gestion des champs et tables
Les commandes table, dedup, fields
et sort
Plan

85. Rendre le pipeline plus lisible
Placer chaque pipe du pipeline sur une ligne distincte au fur et à mesure qu’on tape
la commande en activant le formatage automatique
Aller dans Préférences> Editeur SPL et activez le formatage automatique de la
recherche
Au lieu de cela
On obtient ceci

86. La commande table
La commande table est une des commandes les
plus utilisées
Cette dernière nous permet de récupérer un résultat
sous format d’un tableau uniquement constitué des
champs que nous auront choisis et dans l’ordre
qu’on aura spécifié
Une formation

87. La commande Fields
Extraction de champs = Temps = Ennemie 
L’objectif n’est pas seulement de construire une
requête, mais aussi de l’optimiser !
La commande Fields permet d’inclure ou d’exclure
des champs dans la recherche
Fields + (-Defacto)
Fields -
Une formation

88. La commande sort
Afin de pouvoir classer les différents champs qu’on
aura extrait, on peut se baser su la commande sort
Sort
+ Ascendant
- Désceandant
Limit permet de limiter le nombre d’event en retours
Une formation

89. Découvrir les techniques
d’analyse de données
Une formation
Hamza KONDAH

90. Une formation
La commande top
La commande rare
La commande stats
Plan

91. La commande top
La commande top nous permet de récupérer un
count des valeurs unique
L’option limit nous permet de limiter le nombre de
résultats en retours
limit=X
limit=0
Showperc nous permet de choisir d’afficher ou pas
le pourcentage
La clause by nous permet d’organiser le résultat par
champ
Une formation

92. La commande rare

93. La commande stats
Stats est une commande permettant de récupérer
des statistiques sur les données spécifiques à notre
recherche
count
distinct_count
dc
sum
avg
list
values
Une formation

94. Optimiser ses recherches
au niveau de Splunk
Une formation
Hamza KONDAH

95. Les meilleurs pratiques
1. Le temps est le filtre le plus efficace
2. Spécifier une ou plusieurs valeurs d’index au début de
la chaîne de recherche
3. Inclure autant de termes de recherche que possible
4. Rechercher "access denied" est mieux que de chercher
"denied"
5. L’inclusion vaut généralement mieux que l’exclusion
6. Filtrer le plus tôt possible
7. Éviter d’utiliser des caractères génériques au début ou
au milieu d’une chaîne
Une formation
Une formation

96. Apprendre à déployer
des graphes
Une formation
Hamza KONDAH

97. Découvrir le concept de pivot
au niveau splunk
Une formation
Hamza KONDAH

98. Une formation
Les pivots
Lab : Les pivots
Plan

99. La création de rapport ou dashboard peut être une
tâche assez lourde à mettre en place
C’est pour cela qu’il existe la notion de pivot sous
splunk
Cela permet de pouvoir créer des rapports sur des
dataset spécifique sans le Splunk Search Processing
Language (SPL)
Le plus important ici est d’identifier le dataset sur
lequelle on va opérer
Une formation
Les pivots

100. Lab : Les Pivots

101. Maitriser le déploiement
de dashboard
Une formation
Hamza KONDAH

102. Création de tableaux de bord

103. Création de tableaux de bord

104. Lab : création de dashboard

107. Automatiser la création
de Reporting PDF
Une formation
Hamza KONDAH

108. Apprendre à créer une
application au niveau de Splunk
Une formation
Hamza KONDAH

110. Introduction aux alertes
sous Splunk
Une formation
Hamza KONDAH

111. Une formation
Introduction
Types d’alertes
Types d’alertes
Plan

112. Une formation
Introduction
Comme pour de nombreuses fonctionnalités de
Splunk, les alertes sont alimentées par des
recherches sous-jacentes
Ces recherches sous-jacentes peuvent être
exécutées selon un calendrier sur des données
historiquement indexées ou sur des données en
temps réel au fur et à mesure qu'elles affluent
dans Splunk

113. Types d’alertes
Alerte La description Quand est-il déclenché ?
Alerte programmée
Il s'agit d'une alerte basée sur une
recherche historique qui s'exécute
périodiquement selon un calendrier
défini
Cela déclenche une alerte chaque
fois que les résultats de la recherche
historique répondent à une condition
définie dans l'alerte
Elle est généralement moins
gourmande en ressources que les
autres types d'alerte et utilisée
lorsqu'une action immédiate n'est
pas requise
Alerte par résultat en temps réel
Il s'agit d'une alerte basée sur une
recherche en temps réel configurée
pour s'exécuter en permanence
Cela déclenche une alerte chaque
fois que la recherche de base renvoie
un résultat
Il est utile de savoir immédiatement
quand un résultat correspondant est
détecté
Alerte de fenêtre mobile en temps
réel
Il s'agit d'une alerte basée sur une
recherche en temps réel configurée
pour s'exécuter sur une fenêtre
temporelle continue définie par
l'utilisateur
Cela déclenche une alerte chaque
fois que des événements passent par
la fenêtre glissante qui
correspondent à la condition définie
dans l'alerte

114. Types d’alertes
Condition de déclenchement Quand est-il déclenché ?
Par résultat
Se déclenche chaque fois qu'une recherche renvoie
un résultat
Il est uniquement disponible pour les alertes en
temps réel et exploité par le type d'alerte par
résultat
Nombre de résultats
Déclencheurs basés sur le nombre de résultats de
recherche
Les options incluent supérieur à, inférieur à, égal à
et différent de
Nombre d'hôtes
Déclencheurs basés sur le nombre d'hôtes vus. Les
options incluent supérieur à, inférieur à, égal à et
différent de
Nombre de sources
Déclencheurs basés sur le nombre de sources vues
Les options incluent supérieur à, inférieur à, égal à
et différent de
Personnalisé
Déclencheurs basés sur une condition de recherche
personnalisée
Penser à cela comme à une recherche
personnalisée à la fin de la recherche de base, par
exemple, search count > 20

115. Mettre en place des alertes
sous Splunk
Une formation
Hamza KONDAH

116. Actions de gestion d’alertes
Action de déclenchement La description
Envoyer un e-mail
Cela envoie un e-mail à une ou plusieurs personnes spécifiées avec les détails de l'alerte qui a été
déclenchée. Cet e-mail peut être considérablement personnalisé dans la version 6 et est probablement
l'action la plus couramment utilisée
Exécuter un script
Cela invoque et exécute un script personnalisé lorsque l'alerte est déclenchée et fournit une
fonctionnalité très puissante. Par exemple, vous pouvez avoir un script qui ouvre un ticket dans un
système de ticket tiers lorsqu'une alerte est déclenchée.
Remarque : l' action d'alerte exécuter un script est officiellement déconseillée. Au lieu de cela, une action
d'alerte personnalisée doit être utilisée pour empaqueter un script personnalisé
Webhook
Cette action envoie un HTTP POST générique à une URL spécifiée, avec les informations au format JSON
de l'alerte déclenchée. Les informations JSON seront transmises en tant que corps de la requête POST et
peuvent contenir l'ID de recherche, le propriétaire et l'application de la recherche, les résultats de la
recherche, etc
Afficher les résultats dans une recherche
Cela génère les résultats de la recherche dans un fichier de recherche CSV. Il est préférable de l'utiliser
avec des commandes statistiques.
Sortir les résultats vers un point de
terminaison de télémétrie
Il s'agit d'une action personnalisée qui génère les résultats vers un point de terminaison de télémétrie. Il
est préférable de l'utiliser avec des commandes statistiques
Événement de journal
Cela génère un événement de journal vers un index et un type de source de votre choix. Les données de
l'alerte peuvent être incluses dans l'événement généré
Ajouter à la liste des alertes déclenchées Splunk a une vue d'alertes déclenchées intégrée qui affichera toutes les alertes déclenchées

117. Conclusion de la Formation
Splunk
Maitriser les fondamentaux
Une formation
Hamza KONDAH

119. Une formation
Bilan de la formation
Présentation de la formation
1. Maitriser l'écosystème de Splunk
2. Apprendre à configurer Splunk
3. Maitriser l'exploration de données avec Splunk
4. Découvrir la mise en place des alertes au niveau
de Splunk
Conclusion et perspectives

120. Prochaine formation
Splunk pour la cybersécurité

121. Perspectives

122. Keep Calm and let’s « exploit »
some data 