SlideShare une entreprise Scribd logo

SplunkLive! Paris 2018: Banque de France

Télécharger en tant que PPTX, PDF
Splunk
Splunk

Presented at SplunkLive! Paris 2018: - Presentation - Architecture & Volumetrie - Securite - Ouvertures

Technologie
1  sur  16
SIEM 2.0 DE LA BANQUE DE FRANCE OI-DIT 20/02/2018
2 1.Présentation 2.Architecture & Volumétrie 3.Sécurité 4.Ouvertures Présentation SPLUNK - MOSAIC 2A
PRÉSENTATION Présentation SPLUNK - MOSAIC 2A 3  Jean-Marc CIR – Directeur de Projets Informatiques – Ligne de Produits Identité et Sécurité – OI / DIT / MOSAIC – Golfeur du dimanche  Benjamin DELPY – Expert Sécurité Informatique – Centre de Recherche & Développement en Sécurité – OI / DIT / ARCOS – Kiwi la nuit
PRÉSENTATION Présentation SPLUNK - MOSAIC 2A 4  La Banque de France est aujourd’hui le pilier français de l’Eurosystème, système fédéral qui regroupe la Banque Centrale Européenne et les Banques Centrales Nationales.  Ses trois grandes missions sont : – la stratégie monétaire • Études, recherches, analyses, prévisions, enquêtes et statistiques contribuent à la préparation des décisions de la BCE • Mise en œuvre de la stratégie monétaire • Gardien de la monnaie – la stabilité financière (double responsabilité de protection et de surveillance) • en charge du renforcement de la réglementation et de la prévention des risques ainsi que de la sécurité des dépôts des épargnants. • assure avec l’ACPR la supervision des entreprises du secteur financier • veille au bon fonctionnement des systèmes de paiement et des infrastructures de marché et procède régulièrement à l’évaluation des risques et vulnérabilités du système financier – les services à l’économie s’adressant : • aux ménages et aux entreprises (surendettement, cotation des entreprises, médiation du crédit, enquêtes de conjoncture • à l’État (tenue de compte du Trésor Public, adjudications de titres publics, balance des paiements,…)
PRÉSENTATION Présentation SPLUNK - MOSAIC 2A 5  Pourquoi ? – Audits sur des applications bancaires sensibles ; – Gestion des logs hétérogène et obsolète ; – Besoins réglementaires, utilisé par beaucoup d’autres acteurs bancaire / gouvernementaux.  Quand ? – 2012 : Première itération de SIEM à la Banque de France – 2015 : Premier POC sur une licence gratuite de Splunk  Comment ? – Première architecture de SIEM sur un autre produit • Réussite à la mise en production • Échec dans la montée en charge – Seconde architecture : Bascule vers Splunk • Réutilisation du parc précédent : économies de serveurs, de flux et planning resserré.
PRÉSENTATION Présentation SPLUNK - MOSAIC 2A 6  Notre client initial: – ARCOS, équipe du CERT pour ses besoins d’analyse et de détection.  Identification de l’extension du service à d’autres équipes non sécurité – Équipes de support, de production, projets…  Enseignement de nos erreurs précédentes: – Architecture précédente montée très (trop) vite ; – Cette fois-ci accompagné par l’éditeur (PS Splunk).
ARCHITECTURE & VOLUMÉTRIE Présentation SPLUNK - MOSAIC 2A 7  1 milliard d’événements indexés quotidiennement  ~7000 hôtes et équipements collectés  ~300 types de logs différents  Soit : 12 Indexers, 4 Forwarders et 4 Search Heads 2500 6300 7150 2016 2017 2018
Présentation SPLUNK - MOSAIC 2A 8 ARCHITECTURE & VOLUMÉTRIE  Choix d’architecture: – Serveurs physiques – Stockage local (SSD). Serveur Nb Modèle OS CPU RAM SSD HDD SAN Indexer 12 HP GEN8/9 RHEL7 16 128Go 1,5To 3To 3To Forwarder 4 HP GEN8/9 RHEL7 16 128Go N/A 1,3To N/A Search Head 4 HP GEN8 RHEL7 16 128Go N/A 2,7To N/A Management 1 HP GEN8 RHEL7 4 48Go N/A 2,9To N/A
ARCHITECTURE & VOLUMÉTRIE Présentation SPLUNK - MOSAIC 2A 9  Licence 900 Go  Capacité stockage Disques + SAN = 90To  Utilisation licence quotidienne >600 Go  Volume total logs collectées = 32 To  4 sources (Web, F5, AD et FW) = 85 %  Autres sources = 15 %
ARCHITECTURE & VOLUMÉTRIE Présentation SPLUNK - MOSAIC 2A 10 0 2000 4000 6000 8000 10000 12000 14000 16000 juin juil août sept oct nov déc janv févr mars avr mai juin juil août sept oct nov déc janv févr 2016 2017 2018
SÉCURITÉ Présentation SPLUNK - MOSAIC 2A 11  Choix d’une approche périmétrique – De nos équipements réseau externes vers nos Active Directory • Anti-virus • VPN • Proxy • Messagerie • Active Directory • FW et équilibreurs de charge  Surveillance du CERT sur l’ensemble de ces composants – En particulier sur Proxy et Messagerie
SÉCURITÉ Présentation SPLUNK - MOSAIC 2A 12  Swift Tentatives de login (bruteforce)
SÉCURITÉ Présentation SPLUNK - MOSAIC 2A 13  Minage de cryptomonnaie (blocage)
SÉCURITÉ Présentation SPLUNK - MOSAIC 2A 14
OUVERTURES Présentation SPLUNK - MOSAIC 2A 15  Un constat quotidien : les données de sécurité peuvent servir à d’autres usages que du SIEM – Surveillance d’infrastructures applicatives (exemple: gestion des identités) ; – Pour les équipes de supervision et d’exploitation • Windows, UNIX, réseau, … – Nécessité d’industrialiser les processus pour faire face à la complexité croissante des productions informatiques  En étude pour le capacity planning, ITOA • Utilisation des technologies de Machine Learning afin de capitaliser sur nos données existantes (expérimentation)  Conséquence : changement dans les pratiques et les profils des utilisateurs (Data Scientist)
MERCI ! & CONTACTS Présentation SPLUNK - MOSAIC 2A 16 Jean-Marc CIR jean-marc.cir@banque-france.fr Benjamin DELPY benjamin.delpy@banque-france.fr

Recommandé

SplunkLive! Paris 2018: Infomil
SplunkLive! Paris 2018: InfomilSplunkLive! Paris 2018: Infomil
SplunkLive! Paris 2018: InfomilSplunk
 
SplunkLive! Paris 2018: Getting Data In
SplunkLive! Paris 2018: Getting Data InSplunkLive! Paris 2018: Getting Data In
SplunkLive! Paris 2018: Getting Data InSplunk
 
AccorHotels - CRIP Paris
AccorHotels - CRIP ParisAccorHotels - CRIP Paris
AccorHotels - CRIP ParisSplunk
 
SplunkLive! Paris 2015 - ICDC
SplunkLive! Paris 2015 - ICDCSplunkLive! Paris 2015 - ICDC
SplunkLive! Paris 2015 - ICDCSplunk
 
Splunk User Group: Toulouse, France - 26 September 2017
Splunk User Group: Toulouse, France - 26 September 2017Splunk User Group: Toulouse, France - 26 September 2017
Splunk User Group: Toulouse, France - 26 September 2017Splunk
 
SplunkLive! Paris 2016 - Customer Presentation - Natixis
SplunkLive! Paris 2016 - Customer Presentation - NatixisSplunkLive! Paris 2016 - Customer Presentation - Natixis
SplunkLive! Paris 2016 - Customer Presentation - NatixisSplunk
 
FIC 2018 Presentation & Demo - 23 & 24 January
FIC 2018 Presentation & Demo - 23 & 24 JanuaryFIC 2018 Presentation & Demo - 23 & 24 January
FIC 2018 Presentation & Demo - 23 & 24 JanuarySplunk
 
SplunkLive! Paris 2017 - Amundi Presentation
SplunkLive! Paris 2017 - Amundi PresentationSplunkLive! Paris 2017 - Amundi Presentation
SplunkLive! Paris 2017 - Amundi PresentationSplunk
 

Recommandé

SplunkLive! Paris 2018: Infomil
SplunkLive! Paris 2018: InfomilSplunkLive! Paris 2018: Infomil
SplunkLive! Paris 2018: InfomilSplunk
 
SplunkLive! Paris 2018: Getting Data In
SplunkLive! Paris 2018: Getting Data InSplunkLive! Paris 2018: Getting Data In
SplunkLive! Paris 2018: Getting Data InSplunk
 
AccorHotels - CRIP Paris
AccorHotels - CRIP ParisAccorHotels - CRIP Paris
AccorHotels - CRIP ParisSplunk
 
SplunkLive! Paris 2015 - ICDC
SplunkLive! Paris 2015 - ICDCSplunkLive! Paris 2015 - ICDC
SplunkLive! Paris 2015 - ICDCSplunk
 
Splunk User Group: Toulouse, France - 26 September 2017
Splunk User Group: Toulouse, France - 26 September 2017Splunk User Group: Toulouse, France - 26 September 2017
Splunk User Group: Toulouse, France - 26 September 2017Splunk
 
SplunkLive! Paris 2016 - Customer Presentation - Natixis
SplunkLive! Paris 2016 - Customer Presentation - NatixisSplunkLive! Paris 2016 - Customer Presentation - Natixis
SplunkLive! Paris 2016 - Customer Presentation - NatixisSplunk
 
FIC 2018 Presentation & Demo - 23 & 24 January
FIC 2018 Presentation & Demo - 23 & 24 JanuaryFIC 2018 Presentation & Demo - 23 & 24 January
FIC 2018 Presentation & Demo - 23 & 24 JanuarySplunk
 
SplunkLive! Paris 2017 - Amundi Presentation
SplunkLive! Paris 2017 - Amundi PresentationSplunkLive! Paris 2017 - Amundi Presentation
SplunkLive! Paris 2017 - Amundi PresentationSplunk
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Kyos
 
Investigation de cybersécurité avec Splunk
Investigation de cybersécurité avec SplunkInvestigation de cybersécurité avec Splunk
Investigation de cybersécurité avec SplunkIbrahimous
 
Assises 2017 - Caisse des Depots
Assises 2017 - Caisse des DepotsAssises 2017 - Caisse des Depots
Assises 2017 - Caisse des DepotsSplunk
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Kyos
 
Splunk live paris_overview_02_07_2013 v2.1
Splunk live paris_overview_02_07_2013 v2.1Splunk live paris_overview_02_07_2013 v2.1
Splunk live paris_overview_02_07_2013 v2.1jenny_splunk
 
Orange Business Services: Une meilleure infrastructure SIEM avec Elastic
Orange Business Services: Une meilleure infrastructure SIEM avec ElasticOrange Business Services: Une meilleure infrastructure SIEM avec Elastic
Orange Business Services: Une meilleure infrastructure SIEM avec ElasticElasticsearch
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
Ibm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdfIbm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdfColloqueRISQ
 
Quantum computing & cyber securite
Quantum computing & cyber securiteQuantum computing & cyber securite
Quantum computing & cyber securiteEstelle Auberix
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC ! SecludIT
 
Elastic Detector vu par un Ethical Hacker
Elastic Detector vu par un Ethical HackerElastic Detector vu par un Ethical Hacker
Elastic Detector vu par un Ethical HackerSecludIT
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorSecludIT
 
Cloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itCloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itSecludIT
 
Aligner votre sécurité avec vos processus métiers
Aligner votre sécurité avec vos processus métiersAligner votre sécurité avec vos processus métiers
Aligner votre sécurité avec vos processus métiersAlgoSec
 
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneMicrosoft
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesCyber Security Alliance
 
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Mame Cheikh Ibra Niang
 
SRI.pdf
SRI.pdfSRI.pdf
SRI.pdfTestTest449467
 
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Witekio
 
Snort
SnortSnort
SnortTchadowNet
 
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17Dig-IT
 

Contenu connexe

Tendances

Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Kyos
 
Investigation de cybersécurité avec Splunk
Investigation de cybersécurité avec SplunkInvestigation de cybersécurité avec Splunk
Investigation de cybersécurité avec SplunkIbrahimous
 
Assises 2017 - Caisse des Depots
Assises 2017 - Caisse des DepotsAssises 2017 - Caisse des Depots
Assises 2017 - Caisse des DepotsSplunk
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Kyos
 
Splunk live paris_overview_02_07_2013 v2.1
Splunk live paris_overview_02_07_2013 v2.1Splunk live paris_overview_02_07_2013 v2.1
Splunk live paris_overview_02_07_2013 v2.1jenny_splunk
 
Orange Business Services: Une meilleure infrastructure SIEM avec Elastic
Orange Business Services: Une meilleure infrastructure SIEM avec ElasticOrange Business Services: Une meilleure infrastructure SIEM avec Elastic
Orange Business Services: Une meilleure infrastructure SIEM avec ElasticElasticsearch
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
Ibm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdfIbm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdfColloqueRISQ
 
Quantum computing & cyber securite
Quantum computing & cyber securiteQuantum computing & cyber securite
Quantum computing & cyber securiteEstelle Auberix
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC ! SecludIT
 
Elastic Detector vu par un Ethical Hacker
Elastic Detector vu par un Ethical HackerElastic Detector vu par un Ethical Hacker
Elastic Detector vu par un Ethical HackerSecludIT
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorSecludIT
 
Cloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itCloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itSecludIT
 
Aligner votre sécurité avec vos processus métiers
Aligner votre sécurité avec vos processus métiersAligner votre sécurité avec vos processus métiers
Aligner votre sécurité avec vos processus métiersAlgoSec
 

Tendances (14)

Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
 
Investigation de cybersécurité avec Splunk
Investigation de cybersécurité avec SplunkInvestigation de cybersécurité avec Splunk
Investigation de cybersécurité avec Splunk
 
Assises 2017 - Caisse des Depots
Assises 2017 - Caisse des DepotsAssises 2017 - Caisse des Depots
Assises 2017 - Caisse des Depots
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
 
Splunk live paris_overview_02_07_2013 v2.1
Splunk live paris_overview_02_07_2013 v2.1Splunk live paris_overview_02_07_2013 v2.1
Splunk live paris_overview_02_07_2013 v2.1
 
Orange Business Services: Une meilleure infrastructure SIEM avec Elastic
Orange Business Services: Une meilleure infrastructure SIEM avec ElasticOrange Business Services: Une meilleure infrastructure SIEM avec Elastic
Orange Business Services: Une meilleure infrastructure SIEM avec Elastic
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le Cloud
 
Ibm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdfIbm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdf
 
Quantum computing & cyber securite
Quantum computing & cyber securiteQuantum computing & cyber securite
Quantum computing & cyber securite
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC !
 
Elastic Detector vu par un Ethical Hacker
Elastic Detector vu par un Ethical HackerElastic Detector vu par un Ethical Hacker
Elastic Detector vu par un Ethical Hacker
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic Detector
 
Cloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itCloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud it
 
Aligner votre sécurité avec vos processus métiers
Aligner votre sécurité avec vos processus métiersAligner votre sécurité avec vos processus métiers
Aligner votre sécurité avec vos processus métiers
 

Similaire à SplunkLive! Paris 2018: Banque de France

OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneMicrosoft
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesCyber Security Alliance
 
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Mame Cheikh Ibra Niang
 
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Witekio
 
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17Dig-IT
 
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielCyber Security Alliance
 
Inria Tech Talk : Respect des données personnelles avec PlugDB
Inria Tech Talk : Respect des données personnelles avec PlugDBInria Tech Talk : Respect des données personnelles avec PlugDB
Inria Tech Talk : Respect des données personnelles avec PlugDBStéphanie Roger
 
Informatique CDC & la Suite Elastic : une seule suite pour de multiples usages
Informatique CDC & la Suite Elastic : une seule suite pour de multiples usagesInformatique CDC & la Suite Elastic : une seule suite pour de multiples usages
Informatique CDC & la Suite Elastic : une seule suite pour de multiples usagesElasticsearch
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le designChristophe Villeneuve
 
Ecosystème Lync : le Big Bang
Ecosystème Lync : le Big BangEcosystème Lync : le Big Bang
Ecosystème Lync : le Big BangMicrosoft Ideas
 
Detection de fraudes bancaires ML et Big Data
Detection de fraudes bancaires ML et Big DataDetection de fraudes bancaires ML et Big Data
Detection de fraudes bancaires ML et Big DataBenjamin Bouillé
 
Système d’Information à l’Apec : un nouveau coeur de métier mis en place avec...
Système d’Information à l’Apec : un nouveau coeur de métier mis en place avec...Système d’Information à l’Apec : un nouveau coeur de métier mis en place avec...
Système d’Information à l’Apec : un nouveau coeur de métier mis en place avec...Ippon
 
Computerland c cloud-2013oct17
Computerland c cloud-2013oct17Computerland c cloud-2013oct17
Computerland c cloud-2013oct17Patricia NENZI
 
Computerland c cloud-2013oct17
Computerland c cloud-2013oct17Computerland c cloud-2013oct17
Computerland c cloud-2013oct17Patricia NENZI
 

Similaire à SplunkLive! Paris 2018: Banque de France (20)

OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
 
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77
 
SRI.pdf
SRI.pdfSRI.pdf
SRI.pdf
 
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
 
Snort
SnortSnort
Snort
 
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
 
KAMAL 2016
KAMAL 2016KAMAL 2016
KAMAL 2016
 
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
 
Inria Tech Talk : Respect des données personnelles avec PlugDB
Inria Tech Talk : Respect des données personnelles avec PlugDBInria Tech Talk : Respect des données personnelles avec PlugDB
Inria Tech Talk : Respect des données personnelles avec PlugDB
 
cv_chaker_jouini_fr
cv_chaker_jouini_frcv_chaker_jouini_fr
cv_chaker_jouini_fr
 
Informatique CDC & la Suite Elastic : une seule suite pour de multiples usages
Informatique CDC & la Suite Elastic : une seule suite pour de multiples usagesInformatique CDC & la Suite Elastic : une seule suite pour de multiples usages
Informatique CDC & la Suite Elastic : une seule suite pour de multiples usages
 
La sécurité applicative par le design
La sécurité applicative par le designLa sécurité applicative par le design
La sécurité applicative par le design
 
Ecosystème Lync : le Big Bang
Ecosystème Lync : le Big BangEcosystème Lync : le Big Bang
Ecosystème Lync : le Big Bang
 
Detection de fraudes bancaires ML et Big Data
Detection de fraudes bancaires ML et Big DataDetection de fraudes bancaires ML et Big Data
Detection de fraudes bancaires ML et Big Data
 
Système d’Information à l’Apec : un nouveau coeur de métier mis en place avec...
Système d’Information à l’Apec : un nouveau coeur de métier mis en place avec...Système d’Information à l’Apec : un nouveau coeur de métier mis en place avec...
Système d’Information à l’Apec : un nouveau coeur de métier mis en place avec...
 
Computerland c cloud-2013oct17
Computerland c cloud-2013oct17Computerland c cloud-2013oct17
Computerland c cloud-2013oct17
 
Computerland c cloud-2013oct17
Computerland c cloud-2013oct17Computerland c cloud-2013oct17
Computerland c cloud-2013oct17
 
Cv web
Cv webCv web
Cv web
 

Plus de Splunk

.conf Go 2023 - Data analysis as a routine
.conf Go 2023 - Data analysis as a routine.conf Go 2023 - Data analysis as a routine
.conf Go 2023 - Data analysis as a routineSplunk
 
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTVSplunk
 
.conf Go 2023 - Navegando la normativa SOX (Telefónica)
.conf Go 2023 - Navegando la normativa SOX (Telefónica).conf Go 2023 - Navegando la normativa SOX (Telefónica)
.conf Go 2023 - Navegando la normativa SOX (Telefónica)Splunk
 
.conf Go 2023 - Raiffeisen Bank International
.conf Go 2023 - Raiffeisen Bank International.conf Go 2023 - Raiffeisen Bank International
.conf Go 2023 - Raiffeisen Bank InternationalSplunk
 
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett .conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett Splunk
 
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär).conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)Splunk
 
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu....conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...Splunk
 
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever....conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...Splunk
 
.conf go 2023 - De NOC a CSIRT (Cellnex)
.conf go 2023 - De NOC a CSIRT (Cellnex).conf go 2023 - De NOC a CSIRT (Cellnex)
.conf go 2023 - De NOC a CSIRT (Cellnex)Splunk
 
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)conf go 2023 - El camino hacia la ciberseguridad (ABANCA)
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)Splunk
 
Splunk - BMW connects business and IT with data driven operations SRE and O11y
Splunk - BMW connects business and IT with data driven operations SRE and O11ySplunk - BMW connects business and IT with data driven operations SRE and O11y
Splunk - BMW connects business and IT with data driven operations SRE and O11ySplunk
 
Splunk x Freenet - .conf Go Köln
Splunk x Freenet - .conf Go KölnSplunk x Freenet - .conf Go Köln
Splunk x Freenet - .conf Go KölnSplunk
 
Splunk Security Session - .conf Go Köln
Splunk Security Session - .conf Go KölnSplunk Security Session - .conf Go Köln
Splunk Security Session - .conf Go KölnSplunk
 
Data foundations building success, at city scale – Imperial College London
Data foundations building success, at city scale – Imperial College London Data foundations building success, at city scale – Imperial College London
Data foundations building success, at city scale – Imperial College LondonSplunk
 
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...Splunk
 
SOC, Amore Mio! | Security Webinar
SOC, Amore Mio! | Security WebinarSOC, Amore Mio! | Security Webinar
SOC, Amore Mio! | Security WebinarSplunk
 
.conf Go 2022 - Observability Session
.conf Go 2022 - Observability Session.conf Go 2022 - Observability Session
.conf Go 2022 - Observability SessionSplunk
 
.conf Go Zurich 2022 - Keynote
.conf Go Zurich 2022 - Keynote.conf Go Zurich 2022 - Keynote
.conf Go Zurich 2022 - KeynoteSplunk
 
.conf Go Zurich 2022 - Platform Session
.conf Go Zurich 2022 - Platform Session.conf Go Zurich 2022 - Platform Session
.conf Go Zurich 2022 - Platform SessionSplunk
 
.conf Go Zurich 2022 - Security Session
.conf Go Zurich 2022 - Security Session.conf Go Zurich 2022 - Security Session
.conf Go Zurich 2022 - Security SessionSplunk
 

Plus de Splunk (20)

.conf Go 2023 - Data analysis as a routine
.conf Go 2023 - Data analysis as a routine.conf Go 2023 - Data analysis as a routine
.conf Go 2023 - Data analysis as a routine
 
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV
.conf Go 2023 - How KPN drives Customer Satisfaction on IPTV
 
.conf Go 2023 - Navegando la normativa SOX (Telefónica)
.conf Go 2023 - Navegando la normativa SOX (Telefónica).conf Go 2023 - Navegando la normativa SOX (Telefónica)
.conf Go 2023 - Navegando la normativa SOX (Telefónica)
 
.conf Go 2023 - Raiffeisen Bank International
.conf Go 2023 - Raiffeisen Bank International.conf Go 2023 - Raiffeisen Bank International
.conf Go 2023 - Raiffeisen Bank International
 
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett .conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett
.conf Go 2023 - På liv og død Om sikkerhetsarbeid i Norsk helsenett
 
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär).conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)
.conf Go 2023 - Many roads lead to Rome - this was our journey (Julius Bär)
 
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu....conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...
.conf Go 2023 - Das passende Rezept für die digitale (Security) Revolution zu...
 
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever....conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...
.conf go 2023 - Cyber Resilienz – Herausforderungen und Ansatz für Energiever...
 
.conf go 2023 - De NOC a CSIRT (Cellnex)
.conf go 2023 - De NOC a CSIRT (Cellnex).conf go 2023 - De NOC a CSIRT (Cellnex)
.conf go 2023 - De NOC a CSIRT (Cellnex)
 
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)conf go 2023 - El camino hacia la ciberseguridad (ABANCA)
conf go 2023 - El camino hacia la ciberseguridad (ABANCA)
 
Splunk - BMW connects business and IT with data driven operations SRE and O11y
Splunk - BMW connects business and IT with data driven operations SRE and O11ySplunk - BMW connects business and IT with data driven operations SRE and O11y
Splunk - BMW connects business and IT with data driven operations SRE and O11y
 
Splunk x Freenet - .conf Go Köln
Splunk x Freenet - .conf Go KölnSplunk x Freenet - .conf Go Köln
Splunk x Freenet - .conf Go Köln
 
Splunk Security Session - .conf Go Köln
Splunk Security Session - .conf Go KölnSplunk Security Session - .conf Go Köln
Splunk Security Session - .conf Go Köln
 
Data foundations building success, at city scale – Imperial College London
Data foundations building success, at city scale – Imperial College London Data foundations building success, at city scale – Imperial College London
Data foundations building success, at city scale – Imperial College London
 
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...
Splunk: How Vodafone established Operational Analytics in a Hybrid Environmen...
 
SOC, Amore Mio! | Security Webinar
SOC, Amore Mio! | Security WebinarSOC, Amore Mio! | Security Webinar
SOC, Amore Mio! | Security Webinar
 
.conf Go 2022 - Observability Session
.conf Go 2022 - Observability Session.conf Go 2022 - Observability Session
.conf Go 2022 - Observability Session
 
.conf Go Zurich 2022 - Keynote
.conf Go Zurich 2022 - Keynote.conf Go Zurich 2022 - Keynote
.conf Go Zurich 2022 - Keynote
 
.conf Go Zurich 2022 - Platform Session
.conf Go Zurich 2022 - Platform Session.conf Go Zurich 2022 - Platform Session
.conf Go Zurich 2022 - Platform Session
 
.conf Go Zurich 2022 - Security Session
.conf Go Zurich 2022 - Security Session.conf Go Zurich 2022 - Security Session
.conf Go Zurich 2022 - Security Session
 

SplunkLive! Paris 2018: Banque de France

  • 1. SIEM 2.0 DE LA BANQUE DE FRANCE OI-DIT 20/02/2018
  • 3. PRÉSENTATION Présentation SPLUNK - MOSAIC 2A 3  Jean-Marc CIR – Directeur de Projets Informatiques – Ligne de Produits Identité et Sécurité – OI / DIT / MOSAIC – Golfeur du dimanche  Benjamin DELPY – Expert Sécurité Informatique – Centre de Recherche & Développement en Sécurité – OI / DIT / ARCOS – Kiwi la nuit
  • 4. PRÉSENTATION Présentation SPLUNK - MOSAIC 2A 4  La Banque de France est aujourd’hui le pilier français de l’Eurosystème, système fédéral qui regroupe la Banque Centrale Européenne et les Banques Centrales Nationales.  Ses trois grandes missions sont : – la stratégie monétaire • Études, recherches, analyses, prévisions, enquêtes et statistiques contribuent à la préparation des décisions de la BCE • Mise en œuvre de la stratégie monétaire • Gardien de la monnaie – la stabilité financière (double responsabilité de protection et de surveillance) • en charge du renforcement de la réglementation et de la prévention des risques ainsi que de la sécurité des dépôts des épargnants. • assure avec l’ACPR la supervision des entreprises du secteur financier • veille au bon fonctionnement des systèmes de paiement et des infrastructures de marché et procède régulièrement à l’évaluation des risques et vulnérabilités du système financier – les services à l’économie s’adressant : • aux ménages et aux entreprises (surendettement, cotation des entreprises, médiation du crédit, enquêtes de conjoncture • à l’État (tenue de compte du Trésor Public, adjudications de titres publics, balance des paiements,…)
  • 5. PRÉSENTATION Présentation SPLUNK - MOSAIC 2A 5  Pourquoi ? – Audits sur des applications bancaires sensibles ; – Gestion des logs hétérogène et obsolète ; – Besoins réglementaires, utilisé par beaucoup d’autres acteurs bancaire / gouvernementaux.  Quand ? – 2012 : Première itération de SIEM à la Banque de France – 2015 : Premier POC sur une licence gratuite de Splunk  Comment ? – Première architecture de SIEM sur un autre produit • Réussite à la mise en production • Échec dans la montée en charge – Seconde architecture : Bascule vers Splunk • Réutilisation du parc précédent : économies de serveurs, de flux et planning resserré.
  • 6. PRÉSENTATION Présentation SPLUNK - MOSAIC 2A 6  Notre client initial: – ARCOS, équipe du CERT pour ses besoins d’analyse et de détection.  Identification de l’extension du service à d’autres équipes non sécurité – Équipes de support, de production, projets…  Enseignement de nos erreurs précédentes: – Architecture précédente montée très (trop) vite ; – Cette fois-ci accompagné par l’éditeur (PS Splunk).
  • 7. ARCHITECTURE & VOLUMÉTRIE Présentation SPLUNK - MOSAIC 2A 7  1 milliard d’événements indexés quotidiennement  ~7000 hôtes et équipements collectés  ~300 types de logs différents  Soit : 12 Indexers, 4 Forwarders et 4 Search Heads 2500 6300 7150 2016 2017 2018
  • 8. Présentation SPLUNK - MOSAIC 2A 8 ARCHITECTURE & VOLUMÉTRIE  Choix d’architecture: – Serveurs physiques – Stockage local (SSD). Serveur Nb Modèle OS CPU RAM SSD HDD SAN Indexer 12 HP GEN8/9 RHEL7 16 128Go 1,5To 3To 3To Forwarder 4 HP GEN8/9 RHEL7 16 128Go N/A 1,3To N/A Search Head 4 HP GEN8 RHEL7 16 128Go N/A 2,7To N/A Management 1 HP GEN8 RHEL7 4 48Go N/A 2,9To N/A
  • 9. ARCHITECTURE & VOLUMÉTRIE Présentation SPLUNK - MOSAIC 2A 9  Licence 900 Go  Capacité stockage Disques + SAN = 90To  Utilisation licence quotidienne >600 Go  Volume total logs collectées = 32 To  4 sources (Web, F5, AD et FW) = 85 %  Autres sources = 15 %
  • 10. ARCHITECTURE & VOLUMÉTRIE Présentation SPLUNK - MOSAIC 2A 10 0 2000 4000 6000 8000 10000 12000 14000 16000 juin juil août sept oct nov déc janv févr mars avr mai juin juil août sept oct nov déc janv févr 2016 2017 2018
  • 11. SÉCURITÉ Présentation SPLUNK - MOSAIC 2A 11  Choix d’une approche périmétrique – De nos équipements réseau externes vers nos Active Directory • Anti-virus • VPN • Proxy • Messagerie • Active Directory • FW et équilibreurs de charge  Surveillance du CERT sur l’ensemble de ces composants – En particulier sur Proxy et Messagerie
  • 12. SÉCURITÉ Présentation SPLUNK - MOSAIC 2A 12  Swift Tentatives de login (bruteforce)
  • 13. SÉCURITÉ Présentation SPLUNK - MOSAIC 2A 13  Minage de cryptomonnaie (blocage)
  • 15. OUVERTURES Présentation SPLUNK - MOSAIC 2A 15  Un constat quotidien : les données de sécurité peuvent servir à d’autres usages que du SIEM – Surveillance d’infrastructures applicatives (exemple: gestion des identités) ; – Pour les équipes de supervision et d’exploitation • Windows, UNIX, réseau, … – Nécessité d’industrialiser les processus pour faire face à la complexité croissante des productions informatiques  En étude pour le capacity planning, ITOA • Utilisation des technologies de Machine Learning afin de capitaliser sur nos données existantes (expérimentation)  Conséquence : changement dans les pratiques et les profils des utilisateurs (Data Scientist)
  • 16. MERCI ! & CONTACTS Présentation SPLUNK - MOSAIC 2A 16 Jean-Marc CIR jean-marc.cir@banque-france.fr Benjamin DELPY benjamin.delpy@banque-france.fr

Notes de l'éditeur

  1. 2012 – Petit focus sur l’ancien SIEM Splunk: Ressources sur le marché, catalogue UGAP
  2. Placer que cela a été un succès (ou fait des émules)