Investigation de cybersécurité avec Splunk

Post on 14-Aug-2015

495 views 1 download

Preview:

Click to see full reader

Tags:

Report this document
SHARE

Transcript of Investigation de cybersécurité avec Splunk

Détecter des cyberattaques Un exemple plein de Splunk et de visualisations

Charles Ibrahim - @Ibrahimous

L’investigation de sécurité avec Splunk

Exemple complet : Spam, pièces-jointes, et utilisateurs imprudents

Dataviz, machine learning, Big Data

Agenda de la présentation

19/05/2015 2

Introduction

Conclusion

Charles Ibrahim - @Ibrahimous

Introduction SOC/SIEM

19/05/2015 3

“A security operations center (SOC) is a centralized unit that deals with security issues, on an organizational and technical level” (Wikipedia)

Défense en profondeur. Si, ça sert.

SOC ? CERT ? CSIRT ? … WAT ?

Ten Strategies of a World-Class Cybersecurity Operations Center - www.mitre.org/sites/default/files/publications/pr-13-1028-mitre-10-strategies-cyber-ops-center.pdf

Charles Ibrahim - @Ibrahimous

L’investigation de sécurité avec Splunk

Exemple complet : Spam, pièces-jointes, et utilisateurs imprudents

Dataviz, machine learning, Big Data

Agenda de la présentation

19/05/2015 4

Introduction

Conclusion

Charles Ibrahim - @Ibrahimous

Servers

Storage

Desktops Email Web

Transaction Records

Network Flows

DHCP/ DNS

Hypervisor

Custom Apps

Physical Access

Badges

Threat Intelligence

Mobile

CMBD

5

All Machine Data is Security Relevant

Intrusion Detection

Firewall

Data Loss Prevention

Anti-Malware

Vulnerability Scans

Authentication

Traditional SIEM

Splunk et la supervision de sécurité

19/05/2015 Charles Ibrahim - @Ibrahimous

Fonctionnement de Splunk – vue générale

19/05/2015 6

Cœur <-> démon splunkd : en C

Interface Web : Django

SplunkJS <-> full MVC Javascript côté serveur

… et BEAUCOUP de fichiers de conf ^^

Charles Ibrahim - @Ibrahimous

Des Apps ! Des T-A !

19/05/2015 7

Splunk est modulaire : possibilité d’ajouter des « Technology Add-Ons » et d’installer des Apps

Charles Ibrahim - @Ibrahimous

L’investigation de sécurité avec Splunk

Exemple complet : Un spam, une pièce-jointe, un utilisateur imprudent

Dataviz, machine learning, Big Data

Agenda de la présentation

19/05/2015 8

Introduction

Conclusion

Charles Ibrahim - @Ibrahimous

Réception d’alerte suricata avec splunk

19/05/2015 9 Charles Ibrahim - @Ibrahimous

Analyse de logs dans splunk

19/05/2015 10 Charles Ibrahim - @Ibrahimous

Récupération de l’ensemble de la campagne

19/05/2015 11 Charles Ibrahim - @Ibrahimous

Récupération de la PJ

19/05/2015 12 Charles Ibrahim - @Ibrahimous

« Vous avez ouvert le mail ? »

« … et la PJ ?? »

« … une fenêtre avec des lignes de commandes ??? »

Localisation et réputation

19/05/2015 13 Charles Ibrahim - @Ibrahimous

Historique de l’adresse IP

19/05/2015 14

Fréquence à laquelle cette IP déclenche des alertes / se connecte à notre infra ?

Quels équipements de sécurité fait-elle sonner ?

Haute valeur ajoutée !

Charles Ibrahim - @Ibrahimous

Des postes de travail de notre parc s’y connectent-ils ?

Est-elle présente dans des listes de Threat Intelligence ?

L’investigation de sécurité avec Splunk

Exemple complet : Spam, pièces-jointes, et utilisateurs imprudents

Dataviz, machine learning, Big Data

Agenda de la présentation

19/05/2015 15

Introduction

Conclusion

Charles Ibrahim - @Ibrahimous

Parenthèse : des outils de visualisation ?

Place à Javascript ! … qui permet de manipuler des éléments HTML et d’y lier des données en masse … via d3.js, sigma.js, SplunkJS, …

19/05/2015 16 Charles Ibrahim - @Ibrahimous

Visualiser des données de sécurité… pour quoi faire ?

19/05/2015 17 Charles Ibrahim - @Ibrahimous

Perspectives : voir en N dimensions – Machine Learning

19/05/2015 18

Visualisation effective en dimension 2 (+ ou – en dimension 3, peut-être, un jour). Perception humaine VS agrégation d’indicateurs !

Il n’y a pas que la puissance de calcul qui compte !

Représentation des données : vive les mathématiques (géométrie algébrique,

topologie, analyse différentielle)

Charles Ibrahim - @Ibrahimous

Apprendre des données : Big Data & Machine Learning

Conclusion

19/05/2015 19

Splunk : un gestionnaire de logs efficace, donc adapté à la supervision de sécurité, bien que requérant des

compétences techniques poussées

Permet l’implémentation de règles de détection de très nombreuses formes d’attaques

Plus généralement, les analystes cybersécurité doivent inventer et développer de nouvelles visualisations, qui leur

permettront de détecter les menaces les plus complexes.

Charles Ibrahim - @Ibrahimous

Quelques références

19/05/2015 20

SIEMs Magic Quadrant Gartner

Splunk – how it works

Splunk Documentation (général) How indexing works ? Configuration parameters and the data pipeline

Suricata

MISC (mars 2013)- Présentation – Éric Leblond

Javascript libraries : D3js Sigmajs SplunkJS stack

Big Data, Machine Learning : Big Data Machine Learning, Entropy and Fraud in Splunk

Charles Ibrahim - @Ibrahimous

http://securityintelligence.com/gartner-2014-magic-quadrant-siem-security/.VVru2PmsXgU
http://securityintelligence.com/gartner-2014-magic-quadrant-siem-security/.VVru2PmsXgU
http://docs.splunk.com/Documentation/Splunk/6.2.2
http://docs.splunk.com/Documentation/Splunk/6.2.2
http://docs.splunk.com/Documentation/Splunk/6.2.2
http://wiki.splunk.com/Community:HowIndexingWorks
http://docs.splunk.com/Documentation/Splunk/6.2.2/Admin/Configurationparametersandthedatapipeline
http://connect.ed-diamond.com/MISC/MISC-066/Presentation-de-l-IDS-IPS-Suricata2
http://connect.ed-diamond.com/MISC/MISC-066/Presentation-de-l-IDS-IPS-Suricata2
http://connect.ed-diamond.com/MISC/MISC-066/Presentation-de-l-IDS-IPS-Suricata2
http://connect.ed-diamond.com/MISC/MISC-066/Presentation-de-l-IDS-IPS-Suricata2
http://connect.ed-diamond.com/MISC/MISC-066/Presentation-de-l-IDS-IPS-Suricata2
http://connect.ed-diamond.com/MISC/MISC-066/Presentation-de-l-IDS-IPS-Suricata2
http://connect.ed-diamond.com/MISC/MISC-066/Presentation-de-l-IDS-IPS-Suricata2
http://connect.ed-diamond.com/MISC/MISC-066/Presentation-de-l-IDS-IPS-Suricata2
http://connect.ed-diamond.com/MISC/MISC-066/Presentation-de-l-IDS-IPS-Suricata2
http://connect.ed-diamond.com/MISC/MISC-066/Presentation-de-l-IDS-IPS-Suricata2
http://d3js.org/
http://conf.splunk.com/sessions/2014/conf2014_FredWilmotSebastienTricaud_Security.pdf?activity=presentations
http://sigmajs.org/
http://conf.splunk.com/sessions/2014/conf2014_FredWilmotSebastienTricaud_Security.pdf?activity=presentations
http://dev.splunk.com/view/webframework-splunkjsstack/SP-CAAAESV
http://dev.splunk.com/view/webframework-splunkjsstack/SP-CAAAESV
http://dev.splunk.com/view/webframework-splunkjsstack/SP-CAAAESV
http://conf.splunk.com/sessions/2014/conf2014_FredWilmotSebastienTricaud_Security.pdf?activity=presentations
http://conf.splunk.com/sessions/2014/conf2014_FredWilmotSebastienTricaud_Security.pdf?activity=presentations
http://conf.splunk.com/sessions/2014/conf2014_AlexLoffler_Telus_BigData.pdf?activity=presentations
http://conf.splunk.com/sessions/2014/conf2014_FredWilmotSebastienTricaud_Security.pdf?activity=presentations
http://conf.splunk.com/sessions/2014/conf2014_FredWilmotSebastienTricaud_Security.pdf?activity=presentations
http://conf.splunk.com/sessions/2014/conf2014_FredWilmotSebastienTricaud_Security.pdf?activity=presentations
http://conf.splunk.com/sessions/2014/conf2014_FredWilmotSebastienTricaud_Security.pdf?activity=presentations
http://conf.splunk.com/sessions/2014/conf2014_FredWilmotSebastienTricaud_Security.pdf?activity=presentations
http://conf.splunk.com/sessions/2014/conf2014_FredWilmotSebastienTricaud_Security.pdf?activity=presentations
http://conf.splunk.com/sessions/2014/conf2014_FredWilmotSebastienTricaud_Security.pdf?activity=presentations

Merci pour votre attention !

… et classiquement : place aux questions !

19/05/2015 21

@Ibrahimous & : : Charles Ibrahim &

Charles Ibrahim - @Ibrahimous

Top related

LA CYBERSÉCURITÉ DES ENTREPRISES
 Documents
Security Investigation and Rapid Response Using Splunk and ... · Enter Splunk Splunk Enterprise and Splunk Cloud provide an analytics-driven approach to security on the AWS Cloud
 Documents
CYBERSÉCURITÉ EN BRETAGNE : L’ENJEU DES COMPÉTENCES études... · CYBERSéCURITé EN BRETAGNE – Dans tous les métiers de la cybersécurité, des compé-tences techniques très
 Documents
Admission Control using Splunk Enterprise Deployment Guide€¦ · Configuring Splunk Enterprise ... For more information on Splunk configuration, see Splunk documentation. Troubleshooting
 Documents
cybersécurité iNNOVAtiONs · cybersécurité : intelligence, rapidité et partage de connaissance intelligence artificielle et cybersécurité : une arme à double tranchant L’intelligence
 Documents
Tenable and Splunk Integration · Splunk Splunkreceivesvulnerabilitydatacollectedby SecurityCenter Nessus NessusHost Scans,Nes-susPlugins Splunk SplunkreceivesvulnerabilitydatacollectedbyNes-
 Documents
Trousse de cybersécurité
 Documents
Cybersécurité réseaux/Internet, synthèse
 Documents
Cybersécurité - ces.telecom-evolution.frces.telecom-evolution.fr/wp-content/uploads/2014/04/Plaquette... · Analyse de la menace et investigation numérique : Analyste/ chercheur
 Documents
Program Overview - Splunk...mission-critical services. None. Splunk Enterprise System Administration Splunk Enterprise Data Administration Splunk Cloud Administration Implementing
 Documents
LA CYBERSÉCURITÉ GLOBALE
 Documents
Cybersécurité - Numilog
 Documents
Using Splunk Adaptive Response Tech Brief SPLUNK ADAPTIVE RESPONSE ... and orchestration capabilities to run further investigation on them using automated workflows. It also keeps
 Documents
EN CYBERSÉCURITÉ - Cigref
 Documents
Organisation SSI - Cybersécurité
 Leadership & Management
Cybersécurité et rançongiciels - allianceon.org
 Documents
SplunkingYour Mobile Apps - .conf19 | Splunk · Introducing Splunk for Mobile Intelligence (Splunk MINT) Deploying Splunk MINT – Intro to SDKs – Getting Started Using Splunk MINT
 Documents
CYBERSÉCURITÉ INNOVATIONS - EPITA
 Documents
FireEye Splunk InterFireEye + Splunk: Intermediate Guidemediate Guide
 Documents
Portrait cybersécurité
 Documents

Copyright © 2022 FDOCUMENTS