2. Comment Splunk est devenu
l’outil de SIEM de Natixis et plus
encore …
Pierre Kirchner
Responsable de la sécurité des
infrastructures, des applications
et du SOC
3. 3
Agenda
Présentation de la société
Qui suis-je?
L’histoire d’un succès
Quelles sont les prochaines étapes?
Ce qu’il faut retenir !
Des questions ?
7. 7
Qui suis-je ?
Pierre Kirchner – Responsable de la sécurité des infrastructures, des
applications et du Security Operation Center
Missions de mes équipes : sécuriser les assets de Natixis et assurer une
surveillance au quotidien
Mon slogan Splunk préféré : Put that in your | and splunk it
8. 2013 : Premiers pas
Centralisation des logs des équipements de sécurité
0
250
500
750
1000
2013 2014 2015 2016 2017
Volume (Go/j)
0
50
100
150
2013 2014 2015 2016 2017
Stockage en ligne (To)
0
100
200
300
2013 2014 2015 2016 2017
Nombre d’utilisateurs
Enjeux :
• Centralisation des logs des équipements de
sécurité
• Recherches simples et efficaces en cas
d’incident
9. 2013 : Architecture technique
INDEXER INDEXERINDEXER INDEXER INDEXERINDEXER
Clients
Splunk
INDEXEURS ACTIFS BACKUP INDEXEURS
AD
Logs
FW Network MessagingApplications
Réplication IP
Version : 5.0.6
Architecture distribuée en
Actif / Passif
Sources de données limitées
au strict nécessaire
3 mois de rétention en ligne
Clients
Splunk
10. 2014 : Extension des cas d’usage
Troubleshooting & compliance
0
250
500
750
1000
2013 2014 2015 2016 2017
Volume (Go/j)
0
50
100
150
2013 2014 2015 2016 2017
Stockage en ligne (To)
0
100
200
300
2013 2014 2015 2016 2017
Nombre d’utilisateurs
Enjeux : Ouverture de la plate-forme :
• A la Conformité (SSI) pour opérer des
contrôles permanents de niveau 2
• Aux équipes réseaux pour investigations en
cas d’incident opérationnel
11. 2014 : Fiabilisation de l’architecture technique
INDEXER INDEXERINDEXER INDEXER INDEXERINDEXER
Clients
Splunk
CLUSTER INDEXERS
AD
Logs
FW Network MessagingApplications Antivirus Scripts Switchs
Splunk
Heavy Forwarder
Version : 6.1.5
Augmentation du nombre de
sources de données
Architecture en Cluster
Splunk (meilleure résilience)
Mais facteur de réplication de
4 pour le stockage
Accès aux logs en temps réel
Clients
Splunk
12. 2015 : Sécurité & reporting
Module Enterprise Security & integration d’apps
0
250
500
750
1000
2013 2014 2015 2016 2017
Volume (Go/j)
0
50
100
150
2013 2014 2015 2016 2017
Stockage en ligne (To)
0
100
200
300
2013 2014 2015 2016 2017
Nombre d’utilisateurs
Enjeux :
• Délais courts de mise en œuvre d’un SIEM
• Implémenter des scénarii de détection
• Assurer des reportings de qualité
(intégration d’apps)
13. 2015 : Evolution de l’architecture + E.S.
INDEXER INDEXERINDEXER INDEXER INDEXERINDEXER
Clients
Splunk
CLUSTER INDEXERS
Splunk
Heavy Forwarder
CLUSTER SEARCH HEAD CLUSTER SEARCH HEAD (ES)
INDEXER INDEXER INDEXER
Version : 6.3.1
Cluster de search head dédié à
E.S.
Augmentation du nombre
d’indexers (en lien avec
l’augmentation du volume)
Augmentation du stockage et
optimisation Splunk (passage
facteur 2)
3 mois de rétention en ligne
AD
Logs
FW Network MessagingApplications Antivirus Scripts Switchs
14. 2016 : Utilisation de la data
Sécurité, reporting & contrôles
0
250
500
750
1000
2013 2014 2015 2016 2017
Volume (Go/j)
0
50
100
150
2013 2014 2015 2016 2017
Stockage en ligne (To)
0
100
200
300
2013 2014 2015 2016 2017
Nombre d’utilisateurs
Enjeux :
• Sécurité :
• Tuning du module ES
• Implémentation de règles de corrélation « maison »
• Création d’alerte temps réel
• Reporting & Contrôles
• Ouverture du service aux entités IT pour opérer des
« auto-contrôles »
15. 2016 : Stabilité de l’architecture
Version : 6.3.3
3 mois de rétention en ligne
INDEXER INDEXERINDEXER INDEXER INDEXERINDEXER
Clients
Splunk
CLUSTER INDEXERS
Splunk
Heavy Forwarder
CLUSTER SEARCH HEAD CLUSTER SEARCH HEAD (ES)
INDEXER INDEXER INDEXER
AD
Logs
FW Network MessagingApplications Antivirus Scripts Switchs
19. 2018 : Analyses prédictives
Data analytics
Any Machine Data
Online
Services Web
Services
Servers
Security GPS
Location
Storage
Desktops
Networks
Packaged
Applications
Custom
ApplicationsMessaging
Telecoms
Web
Clickstreams
Databases
Energy
Meters
Call Detail
Records
Smartphones
and Devices
RFID
Retention des données d’une année
• Analyse prédective
• Analyse de tendances
• Analyse de risques
• …
20. 20
Ce qu’il faut retenir
1. Maîtrise des données : commencer sur un périmètre réduit
2. Bien qualifier les besoins et les phases d’integration des données
3. Définir sa road-map interne d’utilisation de Splunk
4. Déployer le service d’une manière prudente et contrôlée