Utilisation de Splunk pour la Protection de données : Analyse des incidents de sécurité détectés PDF
Document Details
Uploaded by AffectionateHeliotrope9042
Université Paris-Cité
Hassane TAHIR
Tags
Summary
Ce document présente une analyse des incidents de sécurité détectés en utilisant Splunk. Il expose les méthodes d'investigation et la recherche utilisant Splunk. Les requêtes SPL sont utilisées pour affiner la recherche.
Full Transcript
Hassane TAHIR Objectif Outil d’investigation Méthodes d’investigation Recherche de l’Utilisateur suspect Analyse des requêtes et actions menées par l’utilisateur Conclusion Challenge Analyst SOC Incident ! Inciden...
Hassane TAHIR Objectif Outil d’investigation Méthodes d’investigation Recherche de l’Utilisateur suspect Analyse des requêtes et actions menées par l’utilisateur Conclusion Challenge Analyst SOC Incident ! Incident ! Incident ! Données Projet S/Place Outils SIEM pour Investigation: →l’analyse de sécurité en temps réel à l’aide des alertes →Collecte les événements de sécurité et les données de journalisation des sources multiples Rôle SIEM : →Gestion des Informations de Sécurité (SIM) →Gestion des Evénements de Sécurité (SEM) Exemple des outils SIEM : →ELK, IBM QRADAR, SOLARWINDS, SPLUNK, etc. 1. En utilisant les frises chronologiques Splunk permet d’afficher les événements sous formes de graphiques qui sont typiquement des frises chronologiques (des évènements ou incidents) ou des diagrammes avec des étiquettes interactives. Les indicateurs affichés sont le résultat de requêtes, lesquelles s’écrivaient jusqu’à présent uniquement en commandes SPL. 2. En utilisant les mots clés Fail* password* invalid* temp* test* tmp* 2. Exemple de recherche par mots clés DEMO 3. En utilisant les requêtes SPL: →Identifier les connexions en dehors des heures normales de travail (par exemple après 19h et avant de 8h de matin 3. En utilisant les requêtes SPL: →Affiner la recherche en réduisant la plage de recherche après 22h 3. En utilisant les requêtes SPL: →Actions de l’utilisateur suspect sur une journée 3. En utilisant les requêtes SPL: →Actions de l’utilisateur suspect (suite) : Manipulation des documents documents splace_resume.pdf et cahier_ds_charges-v0.2.pdf 3. En utilisant les requêtes SPL: →Actions de l’utilisateur suspect (suite) Utilisation de langage SPL efficace pour la détection de l’activité suspecte et/malveillante →Requêtes sur les connexions en dehors des heures normales de travail; →Affiner les requêtes pour cibler les actions de l’utilisateur suspect; →Vérifier des Token ID (ou jeton) permettant de confirmer ou pas la session utilisée pour l’activité malveillante
