3. PRÉSENTATION
Présentation SPLUNK - MOSAIC 2A 3
Jean-Marc CIR
– Directeur de Projets Informatiques
– Ligne de Produits Identité et Sécurité
– OI / DIT / MOSAIC
– Golfeur du dimanche
Benjamin DELPY
– Expert Sécurité Informatique
– Centre de Recherche & Développement en Sécurité
– OI / DIT / ARCOS
– Kiwi la nuit
4. PRÉSENTATION
Présentation SPLUNK - MOSAIC 2A 4
La Banque de France est aujourd’hui le pilier français de l’Eurosystème, système fédéral
qui regroupe la Banque Centrale Européenne et les Banques Centrales Nationales.
Ses trois grandes missions sont :
– la stratégie monétaire
• Études, recherches, analyses, prévisions, enquêtes et statistiques contribuent à la préparation des décisions de la BCE
• Mise en œuvre de la stratégie monétaire
• Gardien de la monnaie
– la stabilité financière (double responsabilité de protection et de surveillance)
• en charge du renforcement de la réglementation et de la prévention des risques ainsi que de la sécurité des dépôts des
épargnants.
• assure avec l’ACPR la supervision des entreprises du secteur financier
• veille au bon fonctionnement des systèmes de paiement et des infrastructures de marché et procède régulièrement à
l’évaluation des risques et vulnérabilités du système financier
– les services à l’économie s’adressant :
• aux ménages et aux entreprises (surendettement, cotation des entreprises, médiation du crédit, enquêtes de conjoncture
• à l’État (tenue de compte du Trésor Public, adjudications de titres publics, balance des paiements,…)
5. PRÉSENTATION
Présentation SPLUNK - MOSAIC 2A 5
Pourquoi ?
– Audits sur des applications bancaires sensibles ;
– Gestion des logs hétérogène et obsolète ;
– Besoins réglementaires, utilisé par beaucoup d’autres acteurs bancaire / gouvernementaux.
Quand ?
– 2012 : Première itération de SIEM à la Banque de France
– 2015 : Premier POC sur une licence gratuite de Splunk
Comment ?
– Première architecture de SIEM sur un autre produit
• Réussite à la mise en production
• Échec dans la montée en charge
– Seconde architecture : Bascule vers Splunk
• Réutilisation du parc précédent : économies de serveurs, de flux et planning resserré.
6. PRÉSENTATION
Présentation SPLUNK - MOSAIC 2A 6
Notre client initial:
– ARCOS, équipe du CERT pour ses besoins d’analyse et de
détection.
Identification de l’extension du service à d’autres
équipes non sécurité
– Équipes de support, de production, projets…
Enseignement de nos erreurs précédentes:
– Architecture précédente montée très (trop) vite ;
– Cette fois-ci accompagné par l’éditeur (PS Splunk).
7. ARCHITECTURE & VOLUMÉTRIE
Présentation SPLUNK - MOSAIC 2A 7
1 milliard d’événements indexés quotidiennement
~7000 hôtes et équipements collectés
~300 types de logs différents
Soit : 12 Indexers, 4 Forwarders et 4 Search Heads
2500
6300
7150
2016 2017 2018
8. Présentation SPLUNK - MOSAIC 2A 8
ARCHITECTURE & VOLUMÉTRIE
Choix d’architecture:
– Serveurs physiques
– Stockage local (SSD).
Serveur Nb Modèle OS CPU RAM SSD HDD SAN
Indexer 12 HP GEN8/9 RHEL7 16 128Go 1,5To 3To 3To
Forwarder 4 HP GEN8/9 RHEL7 16 128Go N/A 1,3To N/A
Search Head 4 HP GEN8 RHEL7 16 128Go N/A 2,7To N/A
Management 1 HP GEN8 RHEL7 4 48Go N/A 2,9To N/A
9. ARCHITECTURE & VOLUMÉTRIE
Présentation SPLUNK - MOSAIC 2A 9
Licence 900 Go
Capacité stockage Disques + SAN = 90To
Utilisation licence quotidienne >600 Go
Volume total logs collectées = 32 To
4 sources (Web, F5, AD et FW) = 85 %
Autres sources = 15 %
10. ARCHITECTURE & VOLUMÉTRIE
Présentation SPLUNK - MOSAIC 2A 10
0
2000
4000
6000
8000
10000
12000
14000
16000
juin juil août sept oct nov déc janv févr mars avr mai juin juil août sept oct nov déc janv févr
2016 2017 2018
11. SÉCURITÉ
Présentation SPLUNK - MOSAIC 2A 11
Choix d’une approche périmétrique
– De nos équipements réseau externes vers nos Active Directory
• Anti-virus
• VPN
• Proxy
• Messagerie
• Active Directory
• FW et équilibreurs de charge
Surveillance du CERT sur l’ensemble de ces composants
– En particulier sur Proxy et Messagerie
15. OUVERTURES
Présentation SPLUNK - MOSAIC 2A 15
Un constat quotidien : les données de sécurité peuvent servir à
d’autres usages que du SIEM
– Surveillance d’infrastructures applicatives (exemple: gestion
des identités) ;
– Pour les équipes de supervision et d’exploitation
• Windows, UNIX, réseau, …
– Nécessité d’industrialiser les processus pour faire face à la
complexité croissante des productions informatiques
En étude pour le capacity planning, ITOA
• Utilisation des technologies de Machine Learning afin de capitaliser
sur nos données existantes (expérimentation)
Conséquence : changement dans les pratiques et les profils des
utilisateurs (Data Scientist)