Utilisation de Splunk pour la Sécurité des Données

Questions and Answers

Quel est le rôle principal d'un outil SIEM dans la sécurité informatique ?

• Gestion des incidents en temps réel
• Collecte des données de performance des systèmes
• Optimisation des ressources réseau
• Gestion des Informations de Sécurité et des Evénements de Sécurité (correct)

Quelles actions peuvent être identifiées à l'aide des requêtes SPL ?

• Les connexions en dehors des heures normales de travail (correct)
• Les mises à jour de sécurité des applications
• Les envois d'emails sécurisés
• Les modifications de configuration système

Quelles données les outils SIEM collectent-ils principalement ?

• Données d'analyse de performance réseau
• Données des requêtes de base de données
• Données sur les utilisateurs actifs uniquement
• Données de journalisation et événements de sécurité (correct)

Quelle est l'une des fonctionnalités de Splunk en matière de visualisation des données ?

Affichage des événements sous forme de graphs et frises chronologiques (B)

Pour affiner la recherche sur les activités suspectes, quel critère pourrait être utilisé dans une requête SPL ?

Cibler les actions de l'utilisateur suspect après une heure précise (A)

Flashcards

Outil SIEM

Système permettant la gestion des informations et événements de sécurité en temps réel.

Requêtes SPL

Commandes utilisées pour rechercher et analyser des données dans un SIEM, comme Splunk.

Analyse des requêtes

Processus d'examen des actions d'un utilisateur pour détecter des comportements suspects.

Connexions hors des heures normales

Accès à des systèmes en dehors du temps habituel de travail, souvent signe de comportement malveillant.

Manipulation de documents

Actions d'un utilisateur sur des fichiers pour accéder ou altérer des données, surveillées pour détection d'anomalies.

Study Notes

Utilisation de Splunk pour la Protection de Données

• L'objectif est d'analyser les incidents de sécurité détectés.
• Splunk est un outil d'investigation.
• Les méthodes d'investigations incluent l'utilisation de frises chronologiques, de mots clés et de requêtes SPL.
• Il est possible de rechercher un utilisateur suspect, et d'analyser les requêtes et actions menées par l'utilisateur.
• Les outils SIEM comme Splunk, IBM QRADAR, SOLARWINDS et ELK permettent de réaliser des analyses de sécurité en temps réel.
• Les données de journalisation de multiples sources peuvent être collectés.
• Splunk permet d'afficher les événements sous forme de graphiques ou de diagrammes avec des étiquettes interactives.
• Les résultats sont issus de requêtes écrites en langage SPL.
• Des mots clés comme "Fail*", "invalid*", "password*", "temp*" et "test*" peuvent être utilisés pour cibler des événements spécifiques.
• Il est possible d'identifier les connexions en dehors des heures normales de travail en utilisant des requêtes SPL.
• La plage de recherche peut être affinée en réduisant la plage de recherche.
• L'utilisation de requêtes SPL permet la détection d'activité suspecte ou malveillante.
• Les requêtes SPL peuvent être utilisées pour cibler les actions de l'utilisateur suspect.
• Les identifiants de session (Token ID) peuvent être vérifiés pour confirmer si la session est utilisée pour une activité malveillante.

Sommaire

• Objectif
• Outil d'investigation
• Méthodes d'investigation
• Recherche de l'utilisateur suspect
• Analyse des requêtes et actions menées par l'utilisateur
• Conclusion

Objectif (page 3)

• L'objectif est l'analyse des incidents de sécurité en utilisant Splunk.

Outils d'investigations (page 4)

• Outils SIEM pour l'analyse de sécurité en temps réel.
• Collecte d'événements de sécurité et de données de journalisation à partir de sources multiples.
• Les rôles SIEM inclus la gestion des informations de sécurité (SIM), et la gestion des événements de sécurité (SEM).
• Exemples d'outils SIEM : ELK, IBM QRADAR, SOLARWINDS et SPLUNK.