Copyright © 2014 Splunk Inc.

Splunk comme corrélateur

d’évènements sécurité

2

Thomas Le Gallais

Responsable SOC

Informatique CDC,

Groupe Caisse des Dépôts

3

A propos d’Informatique CDCL’action d’Informatique CDC s’inscrit dans le prolongement des missions de Tiers de confiance de la Caisse des Dépôts.

GIE – Groupement d’Intérêt Economique – créé en 1959

4

Qui suis-je ?Thomas Le Gallais, responsable du centre opérationnel de sécurité (SOC) d’Informatique CDC

Premier projet de corrélation d’évènements sécurité en 2004

5

Notre problématique sécuritéLes attaques sont de plus en plus nombreuses et sophistiquées– Forte volumétrie de données générées

par un S.I. avec du bruit dans les logs

Les risques globaux sont bien visibles pour une cellule sécurité…– … beaucoup moins pour les métiers

Besoin d’un outil– Pour détecter les comportements à

risque et les attaques– Rendre compte de l'efficacité et des

limites de nos dispositifs de sécurité

6

Collecter Analyser Comprendre Représenter Anticiper

Données information à valeur ajoutée

Surveillance pré-Splunk

– Vision unitaire des données sans vision consolidée par périmètre

– Scripts pour la collecte et le tri des évènements pas industriel, pas auditable, pas adapté à notre organisation, difficile à maintenir

Besoin d’un framework pour collecter, centraliser, corréler les journaux d’évènements

7

Gestion du cluster

ESX #1 ESX #2

Gestion des forwarders

Indexeur

Search head

Sources de log

Architecture

Analystes sécurité

HeavyForwarder

syslog collecteSplunk

Stockage

8

ShellShock

9

Rapport Antivirus

10

Surveillance ApplicativeRisque couvert # Use cases

Usurpation

d’identité

①Plus de x identifiants utilisés à partir d'une seule adresse IP sur y minutes

②Plus de x adresses IP accédant à un même compte sur y jours glissants

③Plus de x demandes de réinitialisation de mot de passe pour un compte donné sur y jours glissants

Application

robert.duvall

IP 204.107.141.25 al.pacino

james.caan

diane.keaton

IP 204.107.141.36

IP 204.107.141.47

11

Evolutions> Nouvelles données, nouveaux tableaux de bord et use

cases> Pour la sécurité informatique :

> Intégration de davantage de sources de données externes (threat intelligence) / internes (référentiels)

> Baselining et analyse prédictive

> Pour la lutte contre la fraude :> Couverture de nouveaux besoins métier> Ateliers en commun pour apporter davantage de valeur

ajoutée

> Et après demain ? Business Intelligence ? Machine Learning ? Capacity planning 2.0 ?

12

Retour sur la solution pour de la sécurité

Expertise humaine à sécuriser pour exploiter pleinement l’outil dans la durée

La pleine utilisation de l’interface est à réserver aux experts dans un premier temps– Commencer par un export « données

brutes » ou PDF

Une architecture technique virtualisée est plus difficile à optimiser pour la plate-forme qu’un ensemble de serveurs physiques

13

Splunk est…

Un outil extrêmement flexible, véritable couteau suisse de la

donnée

Merci