Copyright © 2015 Splunk Inc.
Comment Splunk
est devenu l’outil
de SIEM de Natixis
et plus encore …
Comment Splunk est devenu
l’outil de SIEM de Natixis et plus
encore …
Pierre Kirchner
Responsable de la sécurité des
infrastructures, des applications
et du SOC
3
Agenda
Présentation de la société
Qui suis-je?
L’histoire d’un succès
Quelles sont les prochaines étapes?
Ce qu’il faut retenir !
Des questions ?
4
Présentation de la société
5
Présentation de la société
6
Présentation de la société
7
Qui suis-je ?
Pierre Kirchner – Responsable de la sécurité des infrastructures, des
applications et du Security Operation Center
Missions de mes équipes : sécuriser les assets de Natixis et assurer une
surveillance au quotidien
Mon slogan Splunk préféré : Put that in your | and splunk it
2013 : Premiers pas
Centralisation des logs des équipements de sécurité
0
250
500
750
1000
2013 2014 2015 2016 2017
Volume (Go/j)
0
50
100
150
2013 2014 2015 2016 2017
Stockage en ligne (To)
0
100
200
300
2013 2014 2015 2016 2017
Nombre d’utilisateurs
Enjeux :
• Centralisation des logs des équipements de
sécurité
• Recherches simples et efficaces en cas
d’incident
2013 : Architecture technique
INDEXER INDEXERINDEXER INDEXER INDEXERINDEXER
Clients
Splunk
INDEXEURS ACTIFS BACKUP INDEXEURS
AD
Logs
FW Network MessagingApplications
Réplication IP
 Version : 5.0.6
 Architecture distribuée en
Actif / Passif
 Sources de données limitées
au strict nécessaire
 3 mois de rétention en ligne
Clients
Splunk
2014 : Extension des cas d’usage
Troubleshooting & compliance
0
250
500
750
1000
2013 2014 2015 2016 2017
Volume (Go/j)
0
50
100
150
2013 2014 2015 2016 2017
Stockage en ligne (To)
0
100
200
300
2013 2014 2015 2016 2017
Nombre d’utilisateurs
Enjeux : Ouverture de la plate-forme :
• A la Conformité (SSI) pour opérer des
contrôles permanents de niveau 2
• Aux équipes réseaux pour investigations en
cas d’incident opérationnel
2014 : Fiabilisation de l’architecture technique
INDEXER INDEXERINDEXER INDEXER INDEXERINDEXER
Clients
Splunk
CLUSTER INDEXERS
AD
Logs
FW Network MessagingApplications Antivirus Scripts Switchs
Splunk
Heavy Forwarder
 Version : 6.1.5
 Augmentation du nombre de
sources de données
 Architecture en Cluster
Splunk (meilleure résilience)
 Mais facteur de réplication de
4 pour le stockage
 Accès aux logs en temps réel
Clients
Splunk
2015 : Sécurité & reporting
Module Enterprise Security & integration d’apps
0
250
500
750
1000
2013 2014 2015 2016 2017
Volume (Go/j)
0
50
100
150
2013 2014 2015 2016 2017
Stockage en ligne (To)
0
100
200
300
2013 2014 2015 2016 2017
Nombre d’utilisateurs
Enjeux :
• Délais courts de mise en œuvre d’un SIEM
• Implémenter des scénarii de détection
• Assurer des reportings de qualité
(intégration d’apps)
2015 : Evolution de l’architecture + E.S.
INDEXER INDEXERINDEXER INDEXER INDEXERINDEXER
Clients
Splunk
CLUSTER INDEXERS
Splunk
Heavy Forwarder
CLUSTER SEARCH HEAD CLUSTER SEARCH HEAD (ES)
INDEXER INDEXER INDEXER
 Version : 6.3.1
 Cluster de search head dédié à
E.S.
 Augmentation du nombre
d’indexers (en lien avec
l’augmentation du volume)
 Augmentation du stockage et
optimisation Splunk (passage
facteur 2)
 3 mois de rétention en ligne
AD
Logs
FW Network MessagingApplications Antivirus Scripts Switchs
2016 : Utilisation de la data
Sécurité, reporting & contrôles
0
250
500
750
1000
2013 2014 2015 2016 2017
Volume (Go/j)
0
50
100
150
2013 2014 2015 2016 2017
Stockage en ligne (To)
0
100
200
300
2013 2014 2015 2016 2017
Nombre d’utilisateurs
Enjeux :
• Sécurité :
• Tuning du module ES
• Implémentation de règles de corrélation « maison »
• Création d’alerte temps réel
• Reporting & Contrôles
• Ouverture du service aux entités IT pour opérer des
« auto-contrôles »
2016 : Stabilité de l’architecture
 Version : 6.3.3
 3 mois de rétention en ligne
INDEXER INDEXERINDEXER INDEXER INDEXERINDEXER
Clients
Splunk
CLUSTER INDEXERS
Splunk
Heavy Forwarder
CLUSTER SEARCH HEAD CLUSTER SEARCH HEAD (ES)
INDEXER INDEXER INDEXER
AD
Logs
FW Network MessagingApplications Antivirus Scripts Switchs
Et après ?
2017-2018 : Storage et Data Analytics
Données vivantes, analyses comportementales & prédictives
0
250
500
750
1000
2013 2014 2015 2016 2017
Volume (Go/j)
0
50
100
150
2013 2014 2015 2016 2017
Stockage (To/j)
0
100
200
300
2013 2014 2015 2016 2017
Nombre d’utilisateurs
Enjeux :
• Accroitre la réactivité et la pertinence des
enquêtes de sécurité
• Détecter les comportements anormaux
2017 : Storage  HUNK
INDEXER INDEXER
Clients
Splunk
Clients
Splunk
CLUSTER INDEXERS
Splunk
Heavy Forwarder
CLUSTERS SEARCH HEAD
INDEXER INDEXER
Hadoop
(MapReduce & HDFS)
AD
Logs
FW Network MessagingApplications Antivirus Scripts Switchs
2018 : Analyses prédictives
Data analytics
Any Machine Data
Online
Services Web
Services
Servers
Security GPS
Location
Storage
Desktops
Networks
Packaged
Applications
Custom
ApplicationsMessaging
Telecoms
Web
Clickstreams
Databases
Energy
Meters
Call Detail
Records
Smartphones
and Devices
RFID
Retention des données d’une année
• Analyse prédective
• Analyse de tendances
• Analyse de risques
• …
20
Ce qu’il faut retenir
1. Maîtrise des données : commencer sur un périmètre réduit
2. Bien qualifier les besoins et les phases d’integration des données
3. Définir sa road-map interne d’utilisation de Splunk
4. Déployer le service d’une manière prudente et contrôlée
Questions
Merci

SplunkLive! Paris 2016 - Customer Presentation - Natixis

  • 1.
    Copyright © 2015Splunk Inc. Comment Splunk est devenu l’outil de SIEM de Natixis et plus encore …
  • 2.
    Comment Splunk estdevenu l’outil de SIEM de Natixis et plus encore … Pierre Kirchner Responsable de la sécurité des infrastructures, des applications et du SOC
  • 3.
    3 Agenda Présentation de lasociété Qui suis-je? L’histoire d’un succès Quelles sont les prochaines étapes? Ce qu’il faut retenir ! Des questions ?
  • 4.
  • 5.
  • 6.
  • 7.
    7 Qui suis-je ? PierreKirchner – Responsable de la sécurité des infrastructures, des applications et du Security Operation Center Missions de mes équipes : sécuriser les assets de Natixis et assurer une surveillance au quotidien Mon slogan Splunk préféré : Put that in your | and splunk it
  • 8.
    2013 : Premierspas Centralisation des logs des équipements de sécurité 0 250 500 750 1000 2013 2014 2015 2016 2017 Volume (Go/j) 0 50 100 150 2013 2014 2015 2016 2017 Stockage en ligne (To) 0 100 200 300 2013 2014 2015 2016 2017 Nombre d’utilisateurs Enjeux : • Centralisation des logs des équipements de sécurité • Recherches simples et efficaces en cas d’incident
  • 9.
    2013 : Architecturetechnique INDEXER INDEXERINDEXER INDEXER INDEXERINDEXER Clients Splunk INDEXEURS ACTIFS BACKUP INDEXEURS AD Logs FW Network MessagingApplications Réplication IP  Version : 5.0.6  Architecture distribuée en Actif / Passif  Sources de données limitées au strict nécessaire  3 mois de rétention en ligne Clients Splunk
  • 10.
    2014 : Extensiondes cas d’usage Troubleshooting & compliance 0 250 500 750 1000 2013 2014 2015 2016 2017 Volume (Go/j) 0 50 100 150 2013 2014 2015 2016 2017 Stockage en ligne (To) 0 100 200 300 2013 2014 2015 2016 2017 Nombre d’utilisateurs Enjeux : Ouverture de la plate-forme : • A la Conformité (SSI) pour opérer des contrôles permanents de niveau 2 • Aux équipes réseaux pour investigations en cas d’incident opérationnel
  • 11.
    2014 : Fiabilisationde l’architecture technique INDEXER INDEXERINDEXER INDEXER INDEXERINDEXER Clients Splunk CLUSTER INDEXERS AD Logs FW Network MessagingApplications Antivirus Scripts Switchs Splunk Heavy Forwarder  Version : 6.1.5  Augmentation du nombre de sources de données  Architecture en Cluster Splunk (meilleure résilience)  Mais facteur de réplication de 4 pour le stockage  Accès aux logs en temps réel Clients Splunk
  • 12.
    2015 : Sécurité& reporting Module Enterprise Security & integration d’apps 0 250 500 750 1000 2013 2014 2015 2016 2017 Volume (Go/j) 0 50 100 150 2013 2014 2015 2016 2017 Stockage en ligne (To) 0 100 200 300 2013 2014 2015 2016 2017 Nombre d’utilisateurs Enjeux : • Délais courts de mise en œuvre d’un SIEM • Implémenter des scénarii de détection • Assurer des reportings de qualité (intégration d’apps)
  • 13.
    2015 : Evolutionde l’architecture + E.S. INDEXER INDEXERINDEXER INDEXER INDEXERINDEXER Clients Splunk CLUSTER INDEXERS Splunk Heavy Forwarder CLUSTER SEARCH HEAD CLUSTER SEARCH HEAD (ES) INDEXER INDEXER INDEXER  Version : 6.3.1  Cluster de search head dédié à E.S.  Augmentation du nombre d’indexers (en lien avec l’augmentation du volume)  Augmentation du stockage et optimisation Splunk (passage facteur 2)  3 mois de rétention en ligne AD Logs FW Network MessagingApplications Antivirus Scripts Switchs
  • 14.
    2016 : Utilisationde la data Sécurité, reporting & contrôles 0 250 500 750 1000 2013 2014 2015 2016 2017 Volume (Go/j) 0 50 100 150 2013 2014 2015 2016 2017 Stockage en ligne (To) 0 100 200 300 2013 2014 2015 2016 2017 Nombre d’utilisateurs Enjeux : • Sécurité : • Tuning du module ES • Implémentation de règles de corrélation « maison » • Création d’alerte temps réel • Reporting & Contrôles • Ouverture du service aux entités IT pour opérer des « auto-contrôles »
  • 15.
    2016 : Stabilitéde l’architecture  Version : 6.3.3  3 mois de rétention en ligne INDEXER INDEXERINDEXER INDEXER INDEXERINDEXER Clients Splunk CLUSTER INDEXERS Splunk Heavy Forwarder CLUSTER SEARCH HEAD CLUSTER SEARCH HEAD (ES) INDEXER INDEXER INDEXER AD Logs FW Network MessagingApplications Antivirus Scripts Switchs
  • 16.
  • 17.
    2017-2018 : Storageet Data Analytics Données vivantes, analyses comportementales & prédictives 0 250 500 750 1000 2013 2014 2015 2016 2017 Volume (Go/j) 0 50 100 150 2013 2014 2015 2016 2017 Stockage (To/j) 0 100 200 300 2013 2014 2015 2016 2017 Nombre d’utilisateurs Enjeux : • Accroitre la réactivité et la pertinence des enquêtes de sécurité • Détecter les comportements anormaux
  • 18.
    2017 : Storage HUNK INDEXER INDEXER Clients Splunk Clients Splunk CLUSTER INDEXERS Splunk Heavy Forwarder CLUSTERS SEARCH HEAD INDEXER INDEXER Hadoop (MapReduce & HDFS) AD Logs FW Network MessagingApplications Antivirus Scripts Switchs
  • 19.
    2018 : Analysesprédictives Data analytics Any Machine Data Online Services Web Services Servers Security GPS Location Storage Desktops Networks Packaged Applications Custom ApplicationsMessaging Telecoms Web Clickstreams Databases Energy Meters Call Detail Records Smartphones and Devices RFID Retention des données d’une année • Analyse prédective • Analyse de tendances • Analyse de risques • …
  • 20.
    20 Ce qu’il fautretenir 1. Maîtrise des données : commencer sur un périmètre réduit 2. Bien qualifier les besoins et les phases d’integration des données 3. Définir sa road-map interne d’utilisation de Splunk 4. Déployer le service d’une manière prudente et contrôlée
  • 21.
  • 22.

Notes de l'éditeur

  • #23 Eric remonte sur scène pour remercie Pierre Kirchner et introduire Romain et Stephane