Investigation de cybersécurité avec Splunk
-
Upload
ibrahimous -
Category
Presentations & Public Speaking
-
view
495 -
download
1
Transcript of Investigation de cybersécurité avec Splunk
Détecter des cyberattaques Un exemple plein de Splunk et de visualisations
Charles Ibrahim - @Ibrahimous
L’investigation de sécurité avec Splunk
Exemple complet : Spam, pièces-jointes, et utilisateurs imprudents
Dataviz, machine learning, Big Data
Agenda de la présentation
19/05/2015 2
Introduction
Conclusion
Charles Ibrahim - @Ibrahimous
Introduction SOC/SIEM
19/05/2015 3
“A security operations center (SOC) is a centralized unit that deals with security issues, on an organizational and technical level” (Wikipedia)
Défense en profondeur. Si, ça sert.
SOC ? CERT ? CSIRT ? … WAT ?
Ten Strategies of a World-Class Cybersecurity Operations Center - www.mitre.org/sites/default/files/publications/pr-13-1028-mitre-10-strategies-cyber-ops-center.pdf
Charles Ibrahim - @Ibrahimous
L’investigation de sécurité avec Splunk
Exemple complet : Spam, pièces-jointes, et utilisateurs imprudents
Dataviz, machine learning, Big Data
Agenda de la présentation
19/05/2015 4
Introduction
Conclusion
Charles Ibrahim - @Ibrahimous
Servers
Storage
Desktops Email Web
Transaction Records
Network Flows
DHCP/ DNS
Hypervisor
Custom Apps
Physical Access
Badges
Threat Intelligence
Mobile
CMBD
5
All Machine Data is Security Relevant
Intrusion Detection
Firewall
Data Loss Prevention
Anti-Malware
Vulnerability Scans
Authentication
Traditional SIEM
Splunk et la supervision de sécurité
19/05/2015 Charles Ibrahim - @Ibrahimous
Fonctionnement de Splunk – vue générale
19/05/2015 6
Cœur <-> démon splunkd : en C
Interface Web : Django
SplunkJS <-> full MVC Javascript côté serveur
… et BEAUCOUP de fichiers de conf ^^
Charles Ibrahim - @Ibrahimous
Des Apps ! Des T-A !
19/05/2015 7
Splunk est modulaire : possibilité d’ajouter des « Technology Add-Ons » et d’installer des Apps
Charles Ibrahim - @Ibrahimous
L’investigation de sécurité avec Splunk
Exemple complet : Un spam, une pièce-jointe, un utilisateur imprudent
Dataviz, machine learning, Big Data
Agenda de la présentation
19/05/2015 8
Introduction
Conclusion
Charles Ibrahim - @Ibrahimous
Réception d’alerte suricata avec splunk
19/05/2015 9 Charles Ibrahim - @Ibrahimous
Analyse de logs dans splunk
19/05/2015 10 Charles Ibrahim - @Ibrahimous
Récupération de l’ensemble de la campagne
19/05/2015 11 Charles Ibrahim - @Ibrahimous
Récupération de la PJ
19/05/2015 12 Charles Ibrahim - @Ibrahimous
…
« Vous avez ouvert le mail ? »
« … et la PJ ?? »
« … une fenêtre avec des lignes de commandes ??? »
Localisation et réputation
19/05/2015 13 Charles Ibrahim - @Ibrahimous
Historique de l’adresse IP
19/05/2015 14
Fréquence à laquelle cette IP déclenche des alertes / se connecte à notre infra ?
Quels équipements de sécurité fait-elle sonner ?
Haute valeur ajoutée !
Charles Ibrahim - @Ibrahimous
Des postes de travail de notre parc s’y connectent-ils ?
Est-elle présente dans des listes de Threat Intelligence ?
L’investigation de sécurité avec Splunk
Exemple complet : Spam, pièces-jointes, et utilisateurs imprudents
Dataviz, machine learning, Big Data
Agenda de la présentation
19/05/2015 15
Introduction
Conclusion
Charles Ibrahim - @Ibrahimous
Parenthèse : des outils de visualisation ?
Place à Javascript ! … qui permet de manipuler des éléments HTML et d’y lier des données en masse … via d3.js, sigma.js, SplunkJS, …
19/05/2015 16 Charles Ibrahim - @Ibrahimous
Visualiser des données de sécurité… pour quoi faire ?
19/05/2015 17 Charles Ibrahim - @Ibrahimous
Perspectives : voir en N dimensions – Machine Learning
19/05/2015 18
Visualisation effective en dimension 2 (+ ou – en dimension 3, peut-être, un jour). Perception humaine VS agrégation d’indicateurs !
Il n’y a pas que la puissance de calcul qui compte !
Représentation des données : vive les mathématiques (géométrie algébrique,
topologie, analyse différentielle)
Charles Ibrahim - @Ibrahimous
Apprendre des données : Big Data & Machine Learning
Conclusion
19/05/2015 19
Splunk : un gestionnaire de logs efficace, donc adapté à la supervision de sécurité, bien que requérant des
compétences techniques poussées
Permet l’implémentation de règles de détection de très nombreuses formes d’attaques
Plus généralement, les analystes cybersécurité doivent inventer et développer de nouvelles visualisations, qui leur
permettront de détecter les menaces les plus complexes.
Charles Ibrahim - @Ibrahimous
Quelques références
19/05/2015 20
SIEMs Magic Quadrant Gartner
Splunk – how it works
Splunk Documentation (général) How indexing works ? Configuration parameters and the data pipeline
Suricata
MISC (mars 2013)- Présentation – Éric Leblond
Javascript libraries : D3js Sigmajs SplunkJS stack
Big Data, Machine Learning : Big Data Machine Learning, Entropy and Fraud in Splunk
Charles Ibrahim - @Ibrahimous
Merci pour votre attention !
… et classiquement : place aux questions !
19/05/2015 21
@Ibrahimous & : : Charles Ibrahim &
Charles Ibrahim - @Ibrahimous