Téléchargé parIbrahimous
PDF, PPTX2,753 vues

Investigation de cybersécurité avec Splunk

Le document présente l'utilisation de Splunk pour l'investigation de cyberattaques, en mettant l'accent sur des exemples comme le spam et les pièces jointes malveillantes. Il aborde également des techniques de visualisation de données et l'importance du machine learning pour améliorer la détection des menaces. En conclusion, Splunk est décrit comme un outil puissant pour la gestion des logs et la supervision de la sécurité, nécessitant toutefois des compétences techniques élevées.

Intégrer la présentation

Télécharger en tant que PDF, PPTX
Détecter des cyberattaques Un exemple plein de Splunk et de visualisations Charles Ibrahim - @Ibrahimous
L’investigation de sécurité avec Splunk Exemple complet : Spam, pièces-jointes, et utilisateurs imprudents Dataviz, machine learning, Big Data Agenda de la présentation 19/05/2015 2 Introduction Conclusion Charles Ibrahim - @Ibrahimous
Introduction SOC/SIEM 19/05/2015 3 “A security operations center (SOC) is a centralized unit that deals with security issues, on an organizational and technical level” (Wikipedia)  Défense en profondeur. Si, ça sert.  SOC ? CERT ? CSIRT ? … WAT ?  Ten Strategies of a World-Class Cybersecurity Operations Center - www.mitre.org/sites/default/files/public ations/pr-13-1028-mitre-10-strategies- cyber-ops-center.pdf Charles Ibrahim - @Ibrahimous
L’investigation de sécurité avec Splunk Exemple complet : Spam, pièces-jointes, et utilisateurs imprudents Dataviz, machine learning, Big Data Agenda de la présentation 19/05/2015 4 Introduction Conclusion Charles Ibrahim - @Ibrahimous
Servers Storage DesktopsEmail Web Transaction Records Network Flows DHCP/ DNS Hypervisor Custom Apps Physical Access Badges Threat Intelligence Mobile CMBD 5 All Machine Data is Security Relevant Intrusion Detection Firewall Data Loss Prevention Anti- Malware Vulnerability Scans Authentication Traditional SIEM Splunk et la supervision de sécurité 19/05/2015 Charles Ibrahim - @Ibrahimous
Fonctionnement de Splunk – vue générale 19/05/2015 6  Cœur <-> démon splunkd : en C  Interface Web : Django  SplunkJS <-> full MVC Javascript côté serveur  … et BEAUCOUP de fichiers de conf ^^ Charles Ibrahim - @Ibrahimous
Des Apps ! Des T-A ! 19/05/2015 7  Splunk est modulaire : possibilité d’ajouter des « Technology Add-Ons » et d’installer des Apps Charles Ibrahim - @Ibrahimous
L’investigation de sécurité avec Splunk Exemple complet : Un spam, une pièce-jointe, un utilisateur imprudent Dataviz, machine learning, Big Data Agenda de la présentation 19/05/2015 8 Introduction Conclusion Charles Ibrahim - @Ibrahimous
Réception d’alerte suricata avec splunk 19/05/2015 9Charles Ibrahim - @Ibrahimous
Analyse de logs dans splunk 19/05/2015 10Charles Ibrahim - @Ibrahimous
Récupération de l’ensemble de la campagne 19/05/2015 11Charles Ibrahim - @Ibrahimous
Récupération de la PJ 19/05/2015 12Charles Ibrahim - @Ibrahimous … « Vous avez ouvert le mail ? » « … et la PJ ?? » « … une fenêtre avec des lignes de commandes ??? »
Localisation et réputation 19/05/2015 13Charles Ibrahim - @Ibrahimous
Historique de l’adresse IP 19/05/2015 14  Fréquence à laquelle cette IP déclenche des alertes / se connecte à notre infra ?  Quels équipements de sécurité fait-elle sonner ? Haute valeur ajoutée ! Charles Ibrahim - @Ibrahimous  Des postes de travail de notre parc s’y connectent-ils ?  Est-elle présente dans des listes de Threat Intelligence ?
L’investigation de sécurité avec Splunk Exemple complet : Spam, pièces-jointes, et utilisateurs imprudents Dataviz, machine learning, Big Data Agenda de la présentation 19/05/2015 15 Introduction Conclusion Charles Ibrahim - @Ibrahimous
Parenthèse : des outils de visualisation ?  Place à Javascript !  … qui permet de manipuler des éléments HTML et d’y lier des données en masse  … via d3.js, sigma.js, SplunkJS, … 19/05/2015 16Charles Ibrahim - @Ibrahimous
Visualiser des données de sécurité… pour quoi faire ? 19/05/2015 17Charles Ibrahim - @Ibrahimous
Perspectives : voir en N dimensions – Machine Learning 19/05/2015 18  Visualisation effective en dimension 2 (+ ou – en dimension 3, peut-être, un jour).  Perception humaine VS agrégation d’indicateurs !  Il n’y a pas que la puissance de calcul qui compte !  Représentation des données : vive les mathématiques (géométrie algébrique, topologie, analyse différentielle) Charles Ibrahim - @Ibrahimous  Apprendre des données : Big Data & Machine Learning
Conclusion 19/05/2015 19  Splunk : un gestionnaire de logs efficace, donc adapté à la supervision de sécurité, bien que requérant des compétences techniques poussées  Permet l’implémentation de règles de détection de très nombreuses formes d’attaques  Plus généralement, les analystes cybersécurité doivent inventer et développer de nouvelles visualisations, qui leur permettront de détecter les menaces les plus complexes. Charles Ibrahim - @Ibrahimous
Quelques références 19/05/2015 20  SIEMs  Magic Quadrant Gartner  Splunk – how it works  Splunk Documentation (général)  How indexing works ?  Configuration parameters and the data pipeline  Suricata  MISC (mars 2013)- Présentation – Éric Leblond  Javascript libraries :  D3js  Sigmajs  SplunkJS stack  Big Data, Machine Learning :  Big Data  Machine Learning, Entropy and Fraud in Splunk Charles Ibrahim - @Ibrahimous
Merci pour votre attention ! … et classiquement : place aux questions ! 19/05/2015 21 @Ibrahimous& : : Charles Ibrahim& Charles Ibrahim - @Ibrahimous

Contenu connexe

PPTX
Wazuh Pre.pptx
paremnabenamor3
 
PPTX
Présentation sur splunk
parNajib Ihsine
 
PDF
Rapport Splunk.pdf
parHichemKhalfi
 
PDF
Splunk
parSimstream
 
PDF
Sécurité informatique - Etat des menaces
parMaxime ALAY-EDDINE
 
PDF
Etude et mise en place d’une solution open source de gestion de la sécurité d...
parMohammed LAAZIZLI
 
PPTX
NIST CyberSecurity Framework: An Overview
parTandhy Simanjuntak
 
PPTX
Information Security vs IT - Key Roles & Responsibilities
parKroll
 
Wazuh Pre.pptx
paremnabenamor3
 
Présentation sur splunk
parNajib Ihsine
 
Rapport Splunk.pdf
parHichemKhalfi
 
Splunk
parSimstream
 
Sécurité informatique - Etat des menaces
parMaxime ALAY-EDDINE
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
parMohammed LAAZIZLI
 
NIST CyberSecurity Framework: An Overview
parTandhy Simanjuntak
 
Information Security vs IT - Key Roles & Responsibilities
parKroll
 

Tendances

PPTX
Security operation center (SOC)
parAhmed Ayman
 
PDF
Mise En Place d'une Solution de Supervision Réseau
parYaya N'Tyeni Sanogo
 
PPT
SOC presentation- Building a Security Operations Center
parMichael Nickle
 
PPTX
METHODE OCTAVE
pardazaiazouze
 
PDF
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
parTidiane Sylla
 
PDF
Enterprise Security Architecture
parKris Kimmerle
 
PPTX
IDS,SNORT ET SÉCURITÉ RESEAU
parCHAOUACHI marwen
 
PPTX
Sécurité informatique
paroussama Hafid
 
PPTX
Threat Modeling In 2021
parAdam Shostack
 
PDF
Cisco Security Presentation
parSimplex
 
PDF
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
parAlphorm
 
PDF
Security architecture
parDuncan Unwin
 
PPTX
Sandbox technology
parZakaria Aouad
 
PDF
Cacti
parTchouataBidias
 
PPTX
An introduction to SOC (Security Operation Center)
parAhmad Haghighi
 
PDF
VULNERABILITY ( CYBER SECURITY )
parKashyap Mandaliya
 
PDF
Rothke secure360 building a security operations center (soc)
parBen Rothke
 
PPTX
IP Security and its Components
parMohibullah Saail
 
PPT
Risk Assessment Process NIST 800-30
partimmcguinness
 
PPTX
Splunk for Enterprise Security and User Behavior Analytics
parSplunk
 
Security operation center (SOC)
parAhmed Ayman
 
Mise En Place d'une Solution de Supervision Réseau
parYaya N'Tyeni Sanogo
 
SOC presentation- Building a Security Operations Center
parMichael Nickle
 
METHODE OCTAVE
pardazaiazouze
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
parTidiane Sylla
 
Enterprise Security Architecture
parKris Kimmerle
 
IDS,SNORT ET SÉCURITÉ RESEAU
parCHAOUACHI marwen
 
Sécurité informatique
paroussama Hafid
 
Threat Modeling In 2021
parAdam Shostack
 
Cisco Security Presentation
parSimplex
 
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
parAlphorm
 
Security architecture
parDuncan Unwin
 
Sandbox technology
parZakaria Aouad
 
Cacti
parTchouataBidias
 
An introduction to SOC (Security Operation Center)
parAhmad Haghighi
 
VULNERABILITY ( CYBER SECURITY )
parKashyap Mandaliya
 
Rothke secure360 building a security operations center (soc)
parBen Rothke
 
IP Security and its Components
parMohibullah Saail
 
Risk Assessment Process NIST 800-30
partimmcguinness
 
Splunk for Enterprise Security and User Behavior Analytics
parSplunk
 

En vedette

PDF
Splunk
parBruno Bonfils
 
PPTX
Splunk for Security Workshop
parSplunk
 
PPT
Cours CyberSécurité - Infrastructures Critiques
parFranck Franchin
 
PPSX
HP ArcSight
parMohamed Zohair
 
PDF
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
parStHack
 
PPT
Analyse de risques en cybersécurité industrielle
parPatrice Bock
 
PDF
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
parISACA Chapitre de Québec
 
PDF
SplunkLive Wellington 2015 - New Features, Pivot and Search Dojo
parSplunk
 
PPTX
SplunkLive! Paris 2015 - Auchan
parSplunk
 
PDF
Applying Lean for information security operations centre
parNaushad Rajani. - CISA, CISSP, CCSP, PMP, DCPP (Privacy)
 
PPTX
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
parOPcyberland
 
PPTX
ENFIN Cyber !
parHenri d'AGRAIN
 
PDF
Firewall opensource et gestion de configuration pour l'infrastructure
parJohan Moreau
 
PDF
Maitriser la ssi pour les systèmes industriels
parBee_Ware
 
PPTX
Cyber Security IT GRC Management Model and Methodology.
par360factors
 
PDF
2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims
parIMS NETWORKS
 
PDF
Cloud & Cybersécurité, le socle de toute activité ?
parPOST Telecom for Business
 
PDF
ANSSI - fiche des bonnes pratiques en cybersécurité
parpolenumerique33
 
PDF
ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...
parCyber Security Alliance
 
PDF
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
parBEIJAFLORE
 
Splunk
parBruno Bonfils
 
Splunk for Security Workshop
parSplunk
 
Cours CyberSécurité - Infrastructures Critiques
parFranck Franchin
 
HP ArcSight
parMohamed Zohair
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
parStHack
 
Analyse de risques en cybersécurité industrielle
parPatrice Bock
 
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
parISACA Chapitre de Québec
 
SplunkLive Wellington 2015 - New Features, Pivot and Search Dojo
parSplunk
 
SplunkLive! Paris 2015 - Auchan
parSplunk
 
Applying Lean for information security operations centre
parNaushad Rajani. - CISA, CISSP, CCSP, PMP, DCPP (Privacy)
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
parOPcyberland
 
ENFIN Cyber !
parHenri d'AGRAIN
 
Firewall opensource et gestion de configuration pour l'infrastructure
parJohan Moreau
 
Maitriser la ssi pour les systèmes industriels
parBee_Ware
 
Cyber Security IT GRC Management Model and Methodology.
par360factors
 
2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims
parIMS NETWORKS
 
Cloud & Cybersécurité, le socle de toute activité ?
parPOST Telecom for Business
 
ANSSI - fiche des bonnes pratiques en cybersécurité
parpolenumerique33
 
ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...
parCyber Security Alliance
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
parBEIJAFLORE
 

Similaire à Investigation de cybersécurité avec Splunk

PPTX
SplunkLive! Paris 2015 - ICDC
parSplunk
 
PPTX
Splunk User Group: Toulouse, France - 26 September 2017
parSplunk
 
PPTX
SplunkLive! Paris 2016 - Customer Presentation - Natixis
parSplunk
 
PDF
Assises 2017 - Caisse des Depots
parSplunk
 
PPTX
SplunkLive! Paris 2017 - Plenary Session: Security Journey
parSplunk
 
PPTX
SplunkLive! Paris 2018: Getting Data In
parSplunk
 
PDF
Copie de Presentation de SIEM (SPLUNK).pdf
parSokhnaAssy
 
PDF
Alphorm.com Formation Splunk : Maitriser les fondamentaux
parAlphorm
 
PDF
Security intelligence overview_may 2015 - fr
parSerge Richard
 
PDF
MasterClass Intelligence Artificielle et Sécurité FIC 2019
parOPcyberland
 
PDF
Ambient Intelligence & Big Data : les enjeux
parMicrosoft
 
PDF
Ambient intelligence & bigdata
parNovencia Groupe
 
PPTX
SplunkLive! Paris 2018: Banque de France
parSplunk
 
PDF
IBM Technology Day 2013 M. Bobillier Security Intelligence Salle Calgary
parIBM Switzerland
 
PDF
Big Data et Business Intelligence de A… Azure
parMicrosoft Décideurs IT
 
PDF
Big Data et Business Intelligence de A… Azure
parMicrosoft Technet France
 
PDF
Croisière sur le data lake
parDavid Morel
 
PPT
Introduction à La Sécurité Informatique 1/2
parSylvain Maret
 
PPTX
chap 11111 (pp11) - Introduction (c-s).pptx
parbilelmeddah83
 
PDF
Cp 2013 security_report_web_fr(1)
parniokho
 
SplunkLive! Paris 2015 - ICDC
parSplunk
 
Splunk User Group: Toulouse, France - 26 September 2017
parSplunk
 
SplunkLive! Paris 2016 - Customer Presentation - Natixis
parSplunk
 
Assises 2017 - Caisse des Depots
parSplunk
 
SplunkLive! Paris 2017 - Plenary Session: Security Journey
parSplunk
 
SplunkLive! Paris 2018: Getting Data In
parSplunk
 
Copie de Presentation de SIEM (SPLUNK).pdf
parSokhnaAssy
 
Alphorm.com Formation Splunk : Maitriser les fondamentaux
parAlphorm
 
Security intelligence overview_may 2015 - fr
parSerge Richard
 
MasterClass Intelligence Artificielle et Sécurité FIC 2019
parOPcyberland
 
Ambient Intelligence & Big Data : les enjeux
parMicrosoft
 
Ambient intelligence & bigdata
parNovencia Groupe
 
SplunkLive! Paris 2018: Banque de France
parSplunk
 
IBM Technology Day 2013 M. Bobillier Security Intelligence Salle Calgary
parIBM Switzerland
 
Big Data et Business Intelligence de A… Azure
parMicrosoft Décideurs IT
 
Big Data et Business Intelligence de A… Azure
parMicrosoft Technet France
 
Croisière sur le data lake
parDavid Morel
 
Introduction à La Sécurité Informatique 1/2
parSylvain Maret
 
chap 11111 (pp11) - Introduction (c-s).pptx
parbilelmeddah83
 
Cp 2013 security_report_web_fr(1)
parniokho
 

Investigation de cybersécurité avec Splunk

  • 1.
    Détecter des cyberattaques Unexemple plein de Splunk et de visualisations Charles Ibrahim - @Ibrahimous
  • 2.
    L’investigation de sécuritéavec Splunk Exemple complet : Spam, pièces-jointes, et utilisateurs imprudents Dataviz, machine learning, Big Data Agenda de la présentation 19/05/2015 2 Introduction Conclusion Charles Ibrahim - @Ibrahimous
  • 3.
    Introduction SOC/SIEM 19/05/2015 3 “Asecurity operations center (SOC) is a centralized unit that deals with security issues, on an organizational and technical level” (Wikipedia)  Défense en profondeur. Si, ça sert.  SOC ? CERT ? CSIRT ? … WAT ?  Ten Strategies of a World-Class Cybersecurity Operations Center - www.mitre.org/sites/default/files/public ations/pr-13-1028-mitre-10-strategies- cyber-ops-center.pdf Charles Ibrahim - @Ibrahimous
  • 4.
    L’investigation de sécuritéavec Splunk Exemple complet : Spam, pièces-jointes, et utilisateurs imprudents Dataviz, machine learning, Big Data Agenda de la présentation 19/05/2015 4 Introduction Conclusion Charles Ibrahim - @Ibrahimous
  • 5.
    Servers Storage DesktopsEmail Web Transaction Records Network Flows DHCP/ DNS Hypervisor Custom Apps Physical Access Badges Threat Intelligence Mobile CMBD 5 AllMachine Data is Security Relevant Intrusion Detection Firewall Data Loss Prevention Anti- Malware Vulnerability Scans Authentication Traditional SIEM Splunk et la supervision de sécurité 19/05/2015 Charles Ibrahim - @Ibrahimous
  • 6.
    Fonctionnement de Splunk– vue générale 19/05/2015 6  Cœur <-> démon splunkd : en C  Interface Web : Django  SplunkJS <-> full MVC Javascript côté serveur  … et BEAUCOUP de fichiers de conf ^^ Charles Ibrahim - @Ibrahimous
  • 7.
    Des Apps !Des T-A ! 19/05/2015 7  Splunk est modulaire : possibilité d’ajouter des « Technology Add-Ons » et d’installer des Apps Charles Ibrahim - @Ibrahimous
  • 8.
    L’investigation de sécuritéavec Splunk Exemple complet : Un spam, une pièce-jointe, un utilisateur imprudent Dataviz, machine learning, Big Data Agenda de la présentation 19/05/2015 8 Introduction Conclusion Charles Ibrahim - @Ibrahimous
  • 9.
    Réception d’alerte suricataavec splunk 19/05/2015 9Charles Ibrahim - @Ibrahimous
  • 10.
    Analyse de logsdans splunk 19/05/2015 10Charles Ibrahim - @Ibrahimous
  • 11.
    Récupération de l’ensemblede la campagne 19/05/2015 11Charles Ibrahim - @Ibrahimous
  • 12.
    Récupération de laPJ 19/05/2015 12Charles Ibrahim - @Ibrahimous … « Vous avez ouvert le mail ? » « … et la PJ ?? » « … une fenêtre avec des lignes de commandes ??? »
  • 13.
    Localisation et réputation 19/05/201513Charles Ibrahim - @Ibrahimous
  • 14.
    Historique de l’adresseIP 19/05/2015 14  Fréquence à laquelle cette IP déclenche des alertes / se connecte à notre infra ?  Quels équipements de sécurité fait-elle sonner ? Haute valeur ajoutée ! Charles Ibrahim - @Ibrahimous  Des postes de travail de notre parc s’y connectent-ils ?  Est-elle présente dans des listes de Threat Intelligence ?
  • 15.
    L’investigation de sécuritéavec Splunk Exemple complet : Spam, pièces-jointes, et utilisateurs imprudents Dataviz, machine learning, Big Data Agenda de la présentation 19/05/2015 15 Introduction Conclusion Charles Ibrahim - @Ibrahimous
  • 16.
    Parenthèse : desoutils de visualisation ?  Place à Javascript !  … qui permet de manipuler des éléments HTML et d’y lier des données en masse  … via d3.js, sigma.js, SplunkJS, … 19/05/2015 16Charles Ibrahim - @Ibrahimous
  • 17.
    Visualiser des donnéesde sécurité… pour quoi faire ? 19/05/2015 17Charles Ibrahim - @Ibrahimous
  • 18.
    Perspectives : voiren N dimensions – Machine Learning 19/05/2015 18  Visualisation effective en dimension 2 (+ ou – en dimension 3, peut-être, un jour).  Perception humaine VS agrégation d’indicateurs !  Il n’y a pas que la puissance de calcul qui compte !  Représentation des données : vive les mathématiques (géométrie algébrique, topologie, analyse différentielle) Charles Ibrahim - @Ibrahimous  Apprendre des données : Big Data & Machine Learning
  • 19.
    Conclusion 19/05/2015 19  Splunk: un gestionnaire de logs efficace, donc adapté à la supervision de sécurité, bien que requérant des compétences techniques poussées  Permet l’implémentation de règles de détection de très nombreuses formes d’attaques  Plus généralement, les analystes cybersécurité doivent inventer et développer de nouvelles visualisations, qui leur permettront de détecter les menaces les plus complexes. Charles Ibrahim - @Ibrahimous
  • 20.
    Quelques références 19/05/2015 20 SIEMs  Magic Quadrant Gartner  Splunk – how it works  Splunk Documentation (général)  How indexing works ?  Configuration parameters and the data pipeline  Suricata  MISC (mars 2013)- Présentation – Éric Leblond  Javascript libraries :  D3js  Sigmajs  SplunkJS stack  Big Data, Machine Learning :  Big Data  Machine Learning, Entropy and Fraud in Splunk Charles Ibrahim - @Ibrahimous
  • 21.
    Merci pour votreattention ! … et classiquement : place aux questions ! 19/05/2015 21 @Ibrahimous& : : Charles Ibrahim& Charles Ibrahim - @Ibrahimous