Upload
splunk
View
29
Download
4
Embed Size (px)
Citation preview
Copyright © 2014 Splunk Inc.
Splunk comme corrélateur
d’évènements sécurité
2
Thomas Le Gallais
Responsable SOC
Informatique CDC,
Groupe Caisse des Dépôts
3
A propos d’Informatique CDCL’action d’Informatique CDC s’inscrit dans le prolongement des missions de Tiers de confiance de la Caisse des Dépôts.
GIE – Groupement d’Intérêt Economique – créé en 1959
4
Qui suis-je ?Thomas Le Gallais, responsable du centre opérationnel de sécurité (SOC) d’Informatique CDC
Premier projet de corrélation d’évènements sécurité en 2004
5
Notre problématique sécuritéLes attaques sont de plus en plus nombreuses et sophistiquées– Forte volumétrie de données générées
par un S.I. avec du bruit dans les logs
Les risques globaux sont bien visibles pour une cellule sécurité…– … beaucoup moins pour les métiers
Besoin d’un outil– Pour détecter les comportements à
risque et les attaques– Rendre compte de l'efficacité et des
limites de nos dispositifs de sécurité
6
Collecter Analyser Comprendre Représenter Anticiper
Données information à valeur ajoutée
Surveillance pré-Splunk
– Vision unitaire des données sans vision consolidée par périmètre
– Scripts pour la collecte et le tri des évènements pas industriel, pas auditable, pas adapté à notre organisation, difficile à maintenir
Besoin d’un framework pour collecter, centraliser, corréler les journaux d’évènements
7
Gestion du cluster
ESX #1 ESX #2
Gestion des forwarders
Indexeur
Search head
Sources de log
Architecture
Analystes sécurité
HeavyForwarder
syslog collecteSplunk
Stockage
8
ShellShock
9
Rapport Antivirus
10
Surveillance ApplicativeRisque couvert # Use cases
Usurpation
d’identité
①Plus de x identifiants utilisés à partir d'une seule adresse IP sur y minutes
②Plus de x adresses IP accédant à un même compte sur y jours glissants
③Plus de x demandes de réinitialisation de mot de passe pour un compte donné sur y jours glissants
Application
robert.duvall
IP 204.107.141.25 al.pacino
james.caan
diane.keaton
IP 204.107.141.36
IP 204.107.141.47
11
Evolutions> Nouvelles données, nouveaux tableaux de bord et use
cases> Pour la sécurité informatique :
> Intégration de davantage de sources de données externes (threat intelligence) / internes (référentiels)
> Baselining et analyse prédictive
> Pour la lutte contre la fraude :> Couverture de nouveaux besoins métier> Ateliers en commun pour apporter davantage de valeur
ajoutée
> Et après demain ? Business Intelligence ? Machine Learning ? Capacity planning 2.0 ?
12
Retour sur la solution pour de la sécurité
Expertise humaine à sécuriser pour exploiter pleinement l’outil dans la durée
La pleine utilisation de l’interface est à réserver aux experts dans un premier temps– Commencer par un export « données
brutes » ou PDF
Une architecture technique virtualisée est plus difficile à optimiser pour la plate-forme qu’un ensemble de serveurs physiques
13
Splunk est…
Un outil extrêmement flexible, véritable couteau suisse de la
donnée
Merci