Téléchargé parSplunk
SplunkLive! Paris 2016 - Customer Presentation - Natixis
Le document décrit comment Natixis a intégré Splunk comme outil de SIEM pour sécuriser ses infrastructures et assurer une surveillance continue. À travers différentes étapes de 2013 à 2018, Natixis a élargi l'utilisation de Splunk pour la centralisation des logs, le reporting et les analyses prédictives. Les leçons retenues incluent l'importance de maîtriser les données et de définir une feuille de route claire pour l'intégration de Splunk.
Contenu connexe
Similaire à SplunkLive! Paris 2016 - Customer Presentation - Natixis
SplunkLive! Paris 2016 - Customer Presentation - Natixis
- 1. Copyright © 2015Splunk Inc. Comment Splunk est devenu l’outil de SIEM de Natixis et plus encore …
- 2. Comment Splunk estdevenu l’outil de SIEM de Natixis et plus encore … Pierre Kirchner Responsable de la sécurité des infrastructures, des applications et du SOC
- 3. 3 Agenda Présentation de lasociété Qui suis-je? L’histoire d’un succès Quelles sont les prochaines étapes? Ce qu’il faut retenir ! Des questions ?
- 4. 4 Présentation de lasociété
- 5. 5 Présentation de lasociété
- 6. 6 Présentation de lasociété
- 7. 7 Qui suis-je ? PierreKirchner – Responsable de la sécurité des infrastructures, des applications et du Security Operation Center Missions de mes équipes : sécuriser les assets de Natixis et assurer une surveillance au quotidien Mon slogan Splunk préféré : Put that in your | and splunk it
- 8. 2013 : Premierspas Centralisation des logs des équipements de sécurité 0 250 500 750 1000 2013 2014 2015 2016 2017 Volume (Go/j) 0 50 100 150 2013 2014 2015 2016 2017 Stockage en ligne (To) 0 100 200 300 2013 2014 2015 2016 2017 Nombre d’utilisateurs Enjeux : • Centralisation des logs des équipements de sécurité • Recherches simples et efficaces en cas d’incident
- 9. 2013 : Architecturetechnique INDEXER INDEXERINDEXER INDEXER INDEXERINDEXER Clients Splunk INDEXEURS ACTIFS BACKUP INDEXEURS AD Logs FW Network MessagingApplications Réplication IP Version : 5.0.6 Architecture distribuée en Actif / Passif Sources de données limitées au strict nécessaire 3 mois de rétention en ligne Clients Splunk
- 10. 2014 : Extensiondes cas d’usage Troubleshooting & compliance 0 250 500 750 1000 2013 2014 2015 2016 2017 Volume (Go/j) 0 50 100 150 2013 2014 2015 2016 2017 Stockage en ligne (To) 0 100 200 300 2013 2014 2015 2016 2017 Nombre d’utilisateurs Enjeux : Ouverture de la plate-forme : • A la Conformité (SSI) pour opérer des contrôles permanents de niveau 2 • Aux équipes réseaux pour investigations en cas d’incident opérationnel
- 11. 2014 : Fiabilisationde l’architecture technique INDEXER INDEXERINDEXER INDEXER INDEXERINDEXER Clients Splunk CLUSTER INDEXERS AD Logs FW Network MessagingApplications Antivirus Scripts Switchs Splunk Heavy Forwarder Version : 6.1.5 Augmentation du nombre de sources de données Architecture en Cluster Splunk (meilleure résilience) Mais facteur de réplication de 4 pour le stockage Accès aux logs en temps réel Clients Splunk
- 12. 2015 : Sécurité& reporting Module Enterprise Security & integration d’apps 0 250 500 750 1000 2013 2014 2015 2016 2017 Volume (Go/j) 0 50 100 150 2013 2014 2015 2016 2017 Stockage en ligne (To) 0 100 200 300 2013 2014 2015 2016 2017 Nombre d’utilisateurs Enjeux : • Délais courts de mise en œuvre d’un SIEM • Implémenter des scénarii de détection • Assurer des reportings de qualité (intégration d’apps)
- 13. 2015 : Evolutionde l’architecture + E.S. INDEXER INDEXERINDEXER INDEXER INDEXERINDEXER Clients Splunk CLUSTER INDEXERS Splunk Heavy Forwarder CLUSTER SEARCH HEAD CLUSTER SEARCH HEAD (ES) INDEXER INDEXER INDEXER Version : 6.3.1 Cluster de search head dédié à E.S. Augmentation du nombre d’indexers (en lien avec l’augmentation du volume) Augmentation du stockage et optimisation Splunk (passage facteur 2) 3 mois de rétention en ligne AD Logs FW Network MessagingApplications Antivirus Scripts Switchs
- 14. 2016 : Utilisationde la data Sécurité, reporting & contrôles 0 250 500 750 1000 2013 2014 2015 2016 2017 Volume (Go/j) 0 50 100 150 2013 2014 2015 2016 2017 Stockage en ligne (To) 0 100 200 300 2013 2014 2015 2016 2017 Nombre d’utilisateurs Enjeux : • Sécurité : • Tuning du module ES • Implémentation de règles de corrélation « maison » • Création d’alerte temps réel • Reporting & Contrôles • Ouverture du service aux entités IT pour opérer des « auto-contrôles »
- 15. 2016 : Stabilitéde l’architecture Version : 6.3.3 3 mois de rétention en ligne INDEXER INDEXERINDEXER INDEXER INDEXERINDEXER Clients Splunk CLUSTER INDEXERS Splunk Heavy Forwarder CLUSTER SEARCH HEAD CLUSTER SEARCH HEAD (ES) INDEXER INDEXER INDEXER AD Logs FW Network MessagingApplications Antivirus Scripts Switchs
- 16.
- 17. 2017-2018 : Storageet Data Analytics Données vivantes, analyses comportementales & prédictives 0 250 500 750 1000 2013 2014 2015 2016 2017 Volume (Go/j) 0 50 100 150 2013 2014 2015 2016 2017 Stockage (To/j) 0 100 200 300 2013 2014 2015 2016 2017 Nombre d’utilisateurs Enjeux : • Accroitre la réactivité et la pertinence des enquêtes de sécurité • Détecter les comportements anormaux
- 18. 2017 : Storage HUNK INDEXER INDEXER Clients Splunk Clients Splunk CLUSTER INDEXERS Splunk Heavy Forwarder CLUSTERS SEARCH HEAD INDEXER INDEXER Hadoop (MapReduce & HDFS) AD Logs FW Network MessagingApplications Antivirus Scripts Switchs
- 19. 2018 : Analysesprédictives Data analytics Any Machine Data Online Services Web Services Servers Security GPS Location Storage Desktops Networks Packaged Applications Custom ApplicationsMessaging Telecoms Web Clickstreams Databases Energy Meters Call Detail Records Smartphones and Devices RFID Retention des données d’une année • Analyse prédective • Analyse de tendances • Analyse de risques • …
- 20. 20 Ce qu’il fautretenir 1. Maîtrise des données : commencer sur un périmètre réduit 2. Bien qualifier les besoins et les phases d’integration des données 3. Définir sa road-map interne d’utilisation de Splunk 4. Déployer le service d’une manière prudente et contrôlée
- 21.
- 22.
Notes de l'éditeur
- #23 Eric remonte sur scène pour remercie Pierre Kirchner et introduire Romain et Stephane