Copyright © 2014 Splunk Inc.
Splunk comme corrélateur
d’évènements sécurité
2
Thomas Le Gallais
Responsable SOC
Informatique CDC,
Groupe Caisse des Dépôts
3
A propos d’Informatique CDC
L’action d’Informatique CDC s’inscrit dans le prolongement des
missions de Tiers de confiance de la Caisse des Dépôts.
GIE – Groupement d’Intérêt Economique – créé en 1959
4
Qui suis-je ?
Thomas Le Gallais, responsable du centre opérationnel de
sécurité (SOC) d’Informatique CDC
Premier projet de corrélation d’évènements sécurité en 2004
5
Notre problématique sécurité
Les attaques sont de plus en plus
nombreuses et sophistiquées
– Forte volumétrie de données générées par un
S.I. avec du bruit dans les logs
Les risques globaux sont bien visibles pour
une cellule sécurité…
– … beaucoup moins pour les métiers
Besoin d’un outil
– Pour détecter les comportements à risque
et les attaques
– Rendre compte de l'efficacité et des limites de
nos dispositifs de sécurité
6
Collecter Analyser Comprendre Représenter Anticiper
Données  information à valeur ajoutée
Surveillance pré-Splunk
– Vision unitaire des données sans vision consolidée par périmètre
– Scripts pour la collecte et le tri des évènements  pas industriel, pas
auditable, pas adapté à notre organisation, difficile à maintenir
Besoin d’un framework pour collecter, centraliser, corréler les
journaux d’évènements
7
Gestion du
cluster
ESX #1 ESX #2
Gestion des
forwarders
Indexeur
Search head
Sources de log
Architecture
Analystes sécurité
Heavy
Forwarder
syslog collecte
Splunk
Stockage
8
ShellShock
9
Rapport Antivirus
10
Surveillance Applicative
Risque
couvert
# Use cases
Usurpation
d’identité
①
Plus de x identifiants utilisés à partir d'une seule
adresse IP sur y minutes
②
Plus de x adresses IP accédant à un même compte
sur y jours glissants
③
Plus de x demandes de réinitialisation de mot de
passe pour un compte donné sur y jours glissants
Application
robert.duvall IP 204.107.141.25
al.pacino
james.caan
diane.keaton
IP 204.107.141.36
IP 204.107.141.47
11
Evolutions
> Nouvelles données, nouveaux tableaux de bord et use cases
> Pour la sécurité informatique :
> Intégration de davantage de sources de données externes (threat
intelligence) / internes (référentiels)
> Baselining et analyse prédictive
> Pour la lutte contre la fraude :
> Couverture de nouveaux besoins métier
> Ateliers en commun pour apporter davantage de valeur ajoutée
> Et après demain ? Business Intelligence ? Machine Learning ?
Capacity planning 2.0 ?
12
Retour sur la solution pour de la sécurité
Expertise humaine à sécuriser pour
exploiter pleinement l’outil dans la durée
La pleine utilisation de l’interface est à
réserver aux experts dans un premier
temps
– Commencer par un export « données
brutes » ou PDF
Une architecture technique virtualisée
est plus difficile à optimiser pour la plate-
forme qu’un ensemble de serveurs
physiques
13
Splunk est…
Un outil extrêmement flexible, véritable
couteau suisse de la donnée
Merci

SplunkLive! Paris 2015 - ICDC

  • 1.
    Copyright © 2014Splunk Inc. Splunk comme corrélateur d’évènements sécurité
  • 2.
    2 Thomas Le Gallais ResponsableSOC Informatique CDC, Groupe Caisse des Dépôts
  • 3.
    3 A propos d’InformatiqueCDC L’action d’Informatique CDC s’inscrit dans le prolongement des missions de Tiers de confiance de la Caisse des Dépôts. GIE – Groupement d’Intérêt Economique – créé en 1959
  • 4.
    4 Qui suis-je ? ThomasLe Gallais, responsable du centre opérationnel de sécurité (SOC) d’Informatique CDC Premier projet de corrélation d’évènements sécurité en 2004
  • 5.
    5 Notre problématique sécurité Lesattaques sont de plus en plus nombreuses et sophistiquées – Forte volumétrie de données générées par un S.I. avec du bruit dans les logs Les risques globaux sont bien visibles pour une cellule sécurité… – … beaucoup moins pour les métiers Besoin d’un outil – Pour détecter les comportements à risque et les attaques – Rendre compte de l'efficacité et des limites de nos dispositifs de sécurité
  • 6.
    6 Collecter Analyser ComprendreReprésenter Anticiper Données  information à valeur ajoutée Surveillance pré-Splunk – Vision unitaire des données sans vision consolidée par périmètre – Scripts pour la collecte et le tri des évènements  pas industriel, pas auditable, pas adapté à notre organisation, difficile à maintenir Besoin d’un framework pour collecter, centraliser, corréler les journaux d’évènements
  • 7.
    7 Gestion du cluster ESX #1ESX #2 Gestion des forwarders Indexeur Search head Sources de log Architecture Analystes sécurité Heavy Forwarder syslog collecte Splunk Stockage
  • 8.
  • 9.
  • 10.
    10 Surveillance Applicative Risque couvert # Usecases Usurpation d’identité ① Plus de x identifiants utilisés à partir d'une seule adresse IP sur y minutes ② Plus de x adresses IP accédant à un même compte sur y jours glissants ③ Plus de x demandes de réinitialisation de mot de passe pour un compte donné sur y jours glissants Application robert.duvall IP 204.107.141.25 al.pacino james.caan diane.keaton IP 204.107.141.36 IP 204.107.141.47
  • 11.
    11 Evolutions > Nouvelles données,nouveaux tableaux de bord et use cases > Pour la sécurité informatique : > Intégration de davantage de sources de données externes (threat intelligence) / internes (référentiels) > Baselining et analyse prédictive > Pour la lutte contre la fraude : > Couverture de nouveaux besoins métier > Ateliers en commun pour apporter davantage de valeur ajoutée > Et après demain ? Business Intelligence ? Machine Learning ? Capacity planning 2.0 ?
  • 12.
    12 Retour sur lasolution pour de la sécurité Expertise humaine à sécuriser pour exploiter pleinement l’outil dans la durée La pleine utilisation de l’interface est à réserver aux experts dans un premier temps – Commencer par un export « données brutes » ou PDF Une architecture technique virtualisée est plus difficile à optimiser pour la plate- forme qu’un ensemble de serveurs physiques
  • 13.
    13 Splunk est… Un outilextrêmement flexible, véritable couteau suisse de la donnée
  • 14.