SlideShare ist ein Scribd-Unternehmen logo

Investigation de cybersécurité avec Splunk

I
Ibrahimous

Démonstration d'investigation sur des cyberattaques, dans le contexte d’un SOC, avec l’outil « Splunk ». Présentation réalisée pour le Security Tuesday de l'ISSA France le 19 mai 2015.

Präsentationen & Vorträge
1 von 21
Downloaden Sie, um offline zu lesen
Détecter des cyberattaques Un exemple plein de Splunk et de visualisations Charles Ibrahim - @Ibrahimous
L’investigation de sécurité avec Splunk Exemple complet : Spam, pièces-jointes, et utilisateurs imprudents Dataviz, machine learning, Big Data Agenda de la présentation 19/05/2015 2 Introduction Conclusion Charles Ibrahim - @Ibrahimous
Introduction SOC/SIEM 19/05/2015 3 “A security operations center (SOC) is a centralized unit that deals with security issues, on an organizational and technical level” (Wikipedia)  Défense en profondeur. Si, ça sert.  SOC ? CERT ? CSIRT ? … WAT ?  Ten Strategies of a World-Class Cybersecurity Operations Center - www.mitre.org/sites/default/files/public ations/pr-13-1028-mitre-10-strategies- cyber-ops-center.pdf Charles Ibrahim - @Ibrahimous
L’investigation de sécurité avec Splunk Exemple complet : Spam, pièces-jointes, et utilisateurs imprudents Dataviz, machine learning, Big Data Agenda de la présentation 19/05/2015 4 Introduction Conclusion Charles Ibrahim - @Ibrahimous
Servers Storage DesktopsEmail Web Transaction Records Network Flows DHCP/ DNS Hypervisor Custom Apps Physical Access Badges Threat Intelligence Mobile CMBD 5 All Machine Data is Security Relevant Intrusion Detection Firewall Data Loss Prevention Anti- Malware Vulnerability Scans Authentication Traditional SIEM Splunk et la supervision de sécurité 19/05/2015 Charles Ibrahim - @Ibrahimous
Fonctionnement de Splunk – vue générale 19/05/2015 6  Cœur <-> démon splunkd : en C  Interface Web : Django  SplunkJS <-> full MVC Javascript côté serveur  … et BEAUCOUP de fichiers de conf ^^ Charles Ibrahim - @Ibrahimous
Des Apps ! Des T-A ! 19/05/2015 7  Splunk est modulaire : possibilité d’ajouter des « Technology Add-Ons » et d’installer des Apps Charles Ibrahim - @Ibrahimous
L’investigation de sécurité avec Splunk Exemple complet : Un spam, une pièce-jointe, un utilisateur imprudent Dataviz, machine learning, Big Data Agenda de la présentation 19/05/2015 8 Introduction Conclusion Charles Ibrahim - @Ibrahimous
Réception d’alerte suricata avec splunk 19/05/2015 9Charles Ibrahim - @Ibrahimous
Analyse de logs dans splunk 19/05/2015 10Charles Ibrahim - @Ibrahimous
Récupération de l’ensemble de la campagne 19/05/2015 11Charles Ibrahim - @Ibrahimous
Récupération de la PJ 19/05/2015 12Charles Ibrahim - @Ibrahimous … « Vous avez ouvert le mail ? » « … et la PJ ?? » « … une fenêtre avec des lignes de commandes ??? »
Localisation et réputation 19/05/2015 13Charles Ibrahim - @Ibrahimous
Historique de l’adresse IP 19/05/2015 14  Fréquence à laquelle cette IP déclenche des alertes / se connecte à notre infra ?  Quels équipements de sécurité fait-elle sonner ? Haute valeur ajoutée ! Charles Ibrahim - @Ibrahimous  Des postes de travail de notre parc s’y connectent-ils ?  Est-elle présente dans des listes de Threat Intelligence ?
L’investigation de sécurité avec Splunk Exemple complet : Spam, pièces-jointes, et utilisateurs imprudents Dataviz, machine learning, Big Data Agenda de la présentation 19/05/2015 15 Introduction Conclusion Charles Ibrahim - @Ibrahimous
Parenthèse : des outils de visualisation ?  Place à Javascript !  … qui permet de manipuler des éléments HTML et d’y lier des données en masse  … via d3.js, sigma.js, SplunkJS, … 19/05/2015 16Charles Ibrahim - @Ibrahimous
Visualiser des données de sécurité… pour quoi faire ? 19/05/2015 17Charles Ibrahim - @Ibrahimous
Perspectives : voir en N dimensions – Machine Learning 19/05/2015 18  Visualisation effective en dimension 2 (+ ou – en dimension 3, peut-être, un jour).  Perception humaine VS agrégation d’indicateurs !  Il n’y a pas que la puissance de calcul qui compte !  Représentation des données : vive les mathématiques (géométrie algébrique, topologie, analyse différentielle) Charles Ibrahim - @Ibrahimous  Apprendre des données : Big Data & Machine Learning
Conclusion 19/05/2015 19  Splunk : un gestionnaire de logs efficace, donc adapté à la supervision de sécurité, bien que requérant des compétences techniques poussées  Permet l’implémentation de règles de détection de très nombreuses formes d’attaques  Plus généralement, les analystes cybersécurité doivent inventer et développer de nouvelles visualisations, qui leur permettront de détecter les menaces les plus complexes. Charles Ibrahim - @Ibrahimous
Quelques références 19/05/2015 20  SIEMs  Magic Quadrant Gartner  Splunk – how it works  Splunk Documentation (général)  How indexing works ?  Configuration parameters and the data pipeline  Suricata  MISC (mars 2013)- Présentation – Éric Leblond  Javascript libraries :  D3js  Sigmajs  SplunkJS stack  Big Data, Machine Learning :  Big Data  Machine Learning, Entropy and Fraud in Splunk Charles Ibrahim - @Ibrahimous
Merci pour votre attention ! … et classiquement : place aux questions ! 19/05/2015 21 @Ibrahimous& : : Charles Ibrahim& Charles Ibrahim - @Ibrahimous

Empfohlen

Splunk
SplunkSplunk
SplunkSimstream
 
Présentation sur splunk
Présentation sur splunkPrésentation sur splunk
Présentation sur splunkNajib Ihsine
 
Alphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm
 
elk
elkelk
elkMoussaKane8
 
Rapport Splunk.pdf
Rapport Splunk.pdfRapport Splunk.pdf
Rapport Splunk.pdfHichemKhalfi
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1PRONETIS
 
Splunk Enterprise Security
Splunk Enterprise SecuritySplunk Enterprise Security
Splunk Enterprise SecuritySplunk
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Mohammed LAAZIZLI
 

Empfohlen

Splunk
SplunkSplunk
SplunkSimstream
 
Présentation sur splunk
Présentation sur splunkPrésentation sur splunk
Présentation sur splunkNajib Ihsine
 
Alphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm
 
elk
elkelk
elkMoussaKane8
 
Rapport Splunk.pdf
Rapport Splunk.pdfRapport Splunk.pdf
Rapport Splunk.pdfHichemKhalfi
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1PRONETIS
 
Splunk Enterprise Security
Splunk Enterprise SecuritySplunk Enterprise Security
Splunk Enterprise SecuritySplunk
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Mohammed LAAZIZLI
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptxemnabenamor3
 
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Sébastien Rabaud
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC ! SecludIT
 
Splunk Phantom SOAR Roundtable
Splunk Phantom SOAR RoundtableSplunk Phantom SOAR Roundtable
Splunk Phantom SOAR RoundtableSplunk
 
Mehari
MehariMehari
MehariImane ABOU EL MARAI
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industriellePatrice Bock
 
Ebios
EbiosEbios
EbiosLandry Kientega
 
Etude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackEtude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackBayeOusseynouFall
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationManuel Cédric EBODE MBALLA
 
Siem OSSIM
Siem OSSIMSiem OSSIM
Siem OSSIMYaya N'Tyeni Sanogo
 
Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...Harold NGUEGANG
 
IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?Antoine Vigneron
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...Abdallah YACOUBA
 
Splunk Enterprise Security
Splunk Enterprise Security Splunk Enterprise Security
Splunk Enterprise Security Md Mofijul Haque
 
Splunk
SplunkSplunk
SplunkBruno Bonfils
 
Splunk for Security Workshop
Splunk for Security WorkshopSplunk for Security Workshop
Splunk for Security WorkshopSplunk
 

Weitere ähnliche Inhalte

Was ist angesagt?

ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Sébastien Rabaud
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC ! SecludIT
 
Splunk Phantom SOAR Roundtable
Splunk Phantom SOAR RoundtableSplunk Phantom SOAR Roundtable
Splunk Phantom SOAR RoundtableSplunk
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industriellePatrice Bock
 
Etude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackEtude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackBayeOusseynouFall
 
Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...Harold NGUEGANG
 
IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?Antoine Vigneron
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...Abdallah YACOUBA
 
Splunk Enterprise Security
Splunk Enterprise Security Splunk Enterprise Security
Splunk Enterprise Security Md Mofijul Haque
 

Was ist angesagt? (20)

ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptx
 
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécurité
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC !
 
Splunk Phantom SOAR Roundtable
Splunk Phantom SOAR RoundtableSplunk Phantom SOAR Roundtable
Splunk Phantom SOAR Roundtable
 
Mehari
MehariMehari
Mehari
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielle
 
Ebios
EbiosEbios
Ebios
 
Etude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackEtude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec Openstack
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
Siem OSSIM
Siem OSSIMSiem OSSIM
Siem OSSIM
 
Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...
 
IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
 
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
 
Splunk Enterprise Security
Splunk Enterprise Security Splunk Enterprise Security
Splunk Enterprise Security
 

Andere mochten auch

Splunk for Security Workshop
Splunk for Security WorkshopSplunk for Security Workshop
Splunk for Security WorkshopSplunk
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesFranck Franchin
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...StHack
 
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIILes audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIIISACA Chapitre de Québec
 
SplunkLive Wellington 2015 - New Features, Pivot and Search Dojo
SplunkLive Wellington 2015 - New Features, Pivot and Search DojoSplunkLive Wellington 2015 - New Features, Pivot and Search Dojo
SplunkLive Wellington 2015 - New Features, Pivot and Search DojoSplunk
 
SplunkLive! Paris 2015 - Auchan
SplunkLive! Paris 2015 - AuchanSplunkLive! Paris 2015 - Auchan
SplunkLive! Paris 2015 - AuchanSplunk
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...OPcyberland
 
Firewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructureFirewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructureJohan Moreau
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsBee_Ware
 
Cyber Security IT GRC Management Model and Methodology.
Cyber Security IT GRC Management Model and Methodology.Cyber Security IT GRC Management Model and Methodology.
Cyber Security IT GRC Management Model and Methodology.360factors
 
2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims
2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims
2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger imsIMS NETWORKS
 
Cloud & Cybersécurité, le socle de toute activité ?
Cloud & Cybersécurité, le socle de toute activité ?Cloud & Cybersécurité, le socle de toute activité ?
Cloud & Cybersécurité, le socle de toute activité ?POST Telecom for Business
 
Introduction to malware analysis with Cuckoo Sandbox
Introduction to malware analysis with Cuckoo SandboxIntroduction to malware analysis with Cuckoo Sandbox
Introduction to malware analysis with Cuckoo Sandboxsysinsider
 
ANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritéANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritépolenumerique33
 
ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...
ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...
ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...Cyber Security Alliance
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...BEIJAFLORE
 

Andere mochten auch (20)

Splunk
SplunkSplunk
Splunk
 
Splunk for Security Workshop
Splunk for Security WorkshopSplunk for Security Workshop
Splunk for Security Workshop
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
 
HP ArcSight
HP ArcSight HP ArcSight
HP ArcSight
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
 
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIILes audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
 
SplunkLive Wellington 2015 - New Features, Pivot and Search Dojo
SplunkLive Wellington 2015 - New Features, Pivot and Search DojoSplunkLive Wellington 2015 - New Features, Pivot and Search Dojo
SplunkLive Wellington 2015 - New Features, Pivot and Search Dojo
 
SplunkLive! Paris 2015 - Auchan
SplunkLive! Paris 2015 - AuchanSplunkLive! Paris 2015 - Auchan
SplunkLive! Paris 2015 - Auchan
 
Applying Lean for information security operations centre
Applying Lean for information security operations centreApplying Lean for information security operations centre
Applying Lean for information security operations centre
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
 
ENFIN Cyber !
ENFIN Cyber !ENFIN Cyber !
ENFIN Cyber !
 
Firewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructureFirewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructure
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industriels
 
Cyber Security IT GRC Management Model and Methodology.
Cyber Security IT GRC Management Model and Methodology.Cyber Security IT GRC Management Model and Methodology.
Cyber Security IT GRC Management Model and Methodology.
 
2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims
2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims
2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims
 
Cloud & Cybersécurité, le socle de toute activité ?
Cloud & Cybersécurité, le socle de toute activité ?Cloud & Cybersécurité, le socle de toute activité ?
Cloud & Cybersécurité, le socle de toute activité ?
 
Introduction to malware analysis with Cuckoo Sandbox
Introduction to malware analysis with Cuckoo SandboxIntroduction to malware analysis with Cuckoo Sandbox
Introduction to malware analysis with Cuckoo Sandbox
 
ANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritéANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécurité
 
ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...
ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...
ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
 

Ähnlich wie Investigation de cybersécurité avec Splunk

SplunkLive! Paris 2015 - ICDC
SplunkLive! Paris 2015 - ICDCSplunkLive! Paris 2015 - ICDC
SplunkLive! Paris 2015 - ICDCSplunk
 
Bluemix Paris Meetup #5 - Internet des objets - 11 février 2015
Bluemix Paris Meetup #5 - Internet des objets - 11 février 2015Bluemix Paris Meetup #5 - Internet des objets - 11 février 2015
Bluemix Paris Meetup #5 - Internet des objets - 11 février 2015IBM France Lab
 
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneMicrosoft
 
AccorHotels - CRIP Paris
AccorHotels - CRIP ParisAccorHotels - CRIP Paris
AccorHotels - CRIP ParisSplunk
 
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 Thierry Matusiak
 
VISEO Shake the Microsoft business - comment rapidement batir une solution IoT
VISEO Shake the Microsoft business - comment rapidement batir une solution IoTVISEO Shake the Microsoft business - comment rapidement batir une solution IoT
VISEO Shake the Microsoft business - comment rapidement batir une solution IoTFactoVia
 
IBM Cloud Paris Meetup - 20180911 - Des étudiants présentent leur projet aprè...
IBM Cloud Paris Meetup - 20180911 - Des étudiants présentent leur projet aprè...IBM Cloud Paris Meetup - 20180911 - Des étudiants présentent leur projet aprè...
IBM Cloud Paris Meetup - 20180911 - Des étudiants présentent leur projet aprè...IBM France Lab
 
Security intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - frSecurity intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - frSerge Richard
 
SPbD @ IBM France Lab par Patrick MERLIN
SPbD @ IBM France Lab par Patrick MERLINSPbD @ IBM France Lab par Patrick MERLIN
SPbD @ IBM France Lab par Patrick MERLINTelecomValley
 
AMAN - CISSI SIEM 12 mars 2014
AMAN - CISSI SIEM 12 mars 2014AMAN - CISSI SIEM 12 mars 2014
AMAN - CISSI SIEM 12 mars 2014Abdeljalil AGNAOU
 
Une plateforme Data 360 au Ministère des Armements avec la Suite Elastic
Une plateforme Data 360 au Ministère des Armements avec la Suite ElasticUne plateforme Data 360 au Ministère des Armements avec la Suite Elastic
Une plateforme Data 360 au Ministère des Armements avec la Suite ElasticElasticsearch
 
#OSSPARIS19 - Gouvernance des données dans le contexte Big Data - REX datalak...
#OSSPARIS19 - Gouvernance des données dans le contexte Big Data - REX datalak...#OSSPARIS19 - Gouvernance des données dans le contexte Big Data - REX datalak...
#OSSPARIS19 - Gouvernance des données dans le contexte Big Data - REX datalak...Paris Open Source Summit
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéChristian Charreyre
 
FIC 2018 Presentation & Demo - 23 & 24 January
FIC 2018 Presentation & Demo - 23 & 24 JanuaryFIC 2018 Presentation & Demo - 23 & 24 January
FIC 2018 Presentation & Demo - 23 & 24 JanuarySplunk
 
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets siASIP Santé
 
Bluemix Paris Meetup : Big data et Analytics - 15 avril 2015
Bluemix Paris Meetup : Big data et Analytics - 15 avril 2015Bluemix Paris Meetup : Big data et Analytics - 15 avril 2015
Bluemix Paris Meetup : Big data et Analytics - 15 avril 2015IBM France Lab
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3PRONETIS
 
15 03 16_data sciences pour l'actuariat_f. soulie fogelman
15 03 16_data sciences pour l'actuariat_f. soulie fogelman15 03 16_data sciences pour l'actuariat_f. soulie fogelman
15 03 16_data sciences pour l'actuariat_f. soulie fogelmanArthur Charpentier
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...Lexing - Belgium
 

Ähnlich wie Investigation de cybersécurité avec Splunk (20)

SplunkLive! Paris 2015 - ICDC
SplunkLive! Paris 2015 - ICDCSplunkLive! Paris 2015 - ICDC
SplunkLive! Paris 2015 - ICDC
 
Bluemix Paris Meetup #5 - Internet des objets - 11 février 2015
Bluemix Paris Meetup #5 - Internet des objets - 11 février 2015Bluemix Paris Meetup #5 - Internet des objets - 11 février 2015
Bluemix Paris Meetup #5 - Internet des objets - 11 février 2015
 
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows PhoneOWASP Top10 Mobile - Attaques et solutions sur Windows Phone
OWASP Top10 Mobile - Attaques et solutions sur Windows Phone
 
AccorHotels - CRIP Paris
AccorHotels - CRIP ParisAccorHotels - CRIP Paris
AccorHotels - CRIP Paris
 
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
 
VISEO Shake the Microsoft business - comment rapidement batir une solution IoT
VISEO Shake the Microsoft business - comment rapidement batir une solution IoTVISEO Shake the Microsoft business - comment rapidement batir une solution IoT
VISEO Shake the Microsoft business - comment rapidement batir une solution IoT
 
Reveelium Smart Predictive Analytics - Datasheet FR
Reveelium Smart Predictive Analytics - Datasheet FRReveelium Smart Predictive Analytics - Datasheet FR
Reveelium Smart Predictive Analytics - Datasheet FR
 
IBM Cloud Paris Meetup - 20180911 - Des étudiants présentent leur projet aprè...
IBM Cloud Paris Meetup - 20180911 - Des étudiants présentent leur projet aprè...IBM Cloud Paris Meetup - 20180911 - Des étudiants présentent leur projet aprè...
IBM Cloud Paris Meetup - 20180911 - Des étudiants présentent leur projet aprè...
 
Security intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - frSecurity intelligence overview_may 2015 - fr
Security intelligence overview_may 2015 - fr
 
SPbD @ IBM France Lab par Patrick MERLIN
SPbD @ IBM France Lab par Patrick MERLINSPbD @ IBM France Lab par Patrick MERLIN
SPbD @ IBM France Lab par Patrick MERLIN
 
AMAN - CISSI SIEM 12 mars 2014
AMAN - CISSI SIEM 12 mars 2014AMAN - CISSI SIEM 12 mars 2014
AMAN - CISSI SIEM 12 mars 2014
 
Une plateforme Data 360 au Ministère des Armements avec la Suite Elastic
Une plateforme Data 360 au Ministère des Armements avec la Suite ElasticUne plateforme Data 360 au Ministère des Armements avec la Suite Elastic
Une plateforme Data 360 au Ministère des Armements avec la Suite Elastic
 
#OSSPARIS19 - Gouvernance des données dans le contexte Big Data - REX datalak...
#OSSPARIS19 - Gouvernance des données dans le contexte Big Data - REX datalak...#OSSPARIS19 - Gouvernance des données dans le contexte Big Data - REX datalak...
#OSSPARIS19 - Gouvernance des données dans le contexte Big Data - REX datalak...
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
 
FIC 2018 Presentation & Demo - 23 & 24 January
FIC 2018 Presentation & Demo - 23 & 24 JanuaryFIC 2018 Presentation & Demo - 23 & 24 January
FIC 2018 Presentation & Demo - 23 & 24 January
 
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
 
Bluemix Paris Meetup : Big data et Analytics - 15 avril 2015
Bluemix Paris Meetup : Big data et Analytics - 15 avril 2015Bluemix Paris Meetup : Big data et Analytics - 15 avril 2015
Bluemix Paris Meetup : Big data et Analytics - 15 avril 2015
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3
 
15 03 16_data sciences pour l'actuariat_f. soulie fogelman
15 03 16_data sciences pour l'actuariat_f. soulie fogelman15 03 16_data sciences pour l'actuariat_f. soulie fogelman
15 03 16_data sciences pour l'actuariat_f. soulie fogelman
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
 

Investigation de cybersécurité avec Splunk

  • 1. Détecter des cyberattaques Un exemple plein de Splunk et de visualisations Charles Ibrahim - @Ibrahimous
  • 2. L’investigation de sécurité avec Splunk Exemple complet : Spam, pièces-jointes, et utilisateurs imprudents Dataviz, machine learning, Big Data Agenda de la présentation 19/05/2015 2 Introduction Conclusion Charles Ibrahim - @Ibrahimous
  • 3. Introduction SOC/SIEM 19/05/2015 3 “A security operations center (SOC) is a centralized unit that deals with security issues, on an organizational and technical level” (Wikipedia)  Défense en profondeur. Si, ça sert.  SOC ? CERT ? CSIRT ? … WAT ?  Ten Strategies of a World-Class Cybersecurity Operations Center - www.mitre.org/sites/default/files/public ations/pr-13-1028-mitre-10-strategies- cyber-ops-center.pdf Charles Ibrahim - @Ibrahimous
  • 4. L’investigation de sécurité avec Splunk Exemple complet : Spam, pièces-jointes, et utilisateurs imprudents Dataviz, machine learning, Big Data Agenda de la présentation 19/05/2015 4 Introduction Conclusion Charles Ibrahim - @Ibrahimous
  • 5. Servers Storage DesktopsEmail Web Transaction Records Network Flows DHCP/ DNS Hypervisor Custom Apps Physical Access Badges Threat Intelligence Mobile CMBD 5 All Machine Data is Security Relevant Intrusion Detection Firewall Data Loss Prevention Anti- Malware Vulnerability Scans Authentication Traditional SIEM Splunk et la supervision de sécurité 19/05/2015 Charles Ibrahim - @Ibrahimous
  • 6. Fonctionnement de Splunk – vue générale 19/05/2015 6  Cœur <-> démon splunkd : en C  Interface Web : Django  SplunkJS <-> full MVC Javascript côté serveur  … et BEAUCOUP de fichiers de conf ^^ Charles Ibrahim - @Ibrahimous
  • 7. Des Apps ! Des T-A ! 19/05/2015 7  Splunk est modulaire : possibilité d’ajouter des « Technology Add-Ons » et d’installer des Apps Charles Ibrahim - @Ibrahimous
  • 8. L’investigation de sécurité avec Splunk Exemple complet : Un spam, une pièce-jointe, un utilisateur imprudent Dataviz, machine learning, Big Data Agenda de la présentation 19/05/2015 8 Introduction Conclusion Charles Ibrahim - @Ibrahimous
  • 9. Réception d’alerte suricata avec splunk 19/05/2015 9Charles Ibrahim - @Ibrahimous
  • 10. Analyse de logs dans splunk 19/05/2015 10Charles Ibrahim - @Ibrahimous
  • 11. Récupération de l’ensemble de la campagne 19/05/2015 11Charles Ibrahim - @Ibrahimous
  • 12. Récupération de la PJ 19/05/2015 12Charles Ibrahim - @Ibrahimous … « Vous avez ouvert le mail ? » « … et la PJ ?? » « … une fenêtre avec des lignes de commandes ??? »
  • 13. Localisation et réputation 19/05/2015 13Charles Ibrahim - @Ibrahimous
  • 14. Historique de l’adresse IP 19/05/2015 14  Fréquence à laquelle cette IP déclenche des alertes / se connecte à notre infra ?  Quels équipements de sécurité fait-elle sonner ? Haute valeur ajoutée ! Charles Ibrahim - @Ibrahimous  Des postes de travail de notre parc s’y connectent-ils ?  Est-elle présente dans des listes de Threat Intelligence ?
  • 15. L’investigation de sécurité avec Splunk Exemple complet : Spam, pièces-jointes, et utilisateurs imprudents Dataviz, machine learning, Big Data Agenda de la présentation 19/05/2015 15 Introduction Conclusion Charles Ibrahim - @Ibrahimous
  • 16. Parenthèse : des outils de visualisation ?  Place à Javascript !  … qui permet de manipuler des éléments HTML et d’y lier des données en masse  … via d3.js, sigma.js, SplunkJS, … 19/05/2015 16Charles Ibrahim - @Ibrahimous
  • 17. Visualiser des données de sécurité… pour quoi faire ? 19/05/2015 17Charles Ibrahim - @Ibrahimous
  • 18. Perspectives : voir en N dimensions – Machine Learning 19/05/2015 18  Visualisation effective en dimension 2 (+ ou – en dimension 3, peut-être, un jour).  Perception humaine VS agrégation d’indicateurs !  Il n’y a pas que la puissance de calcul qui compte !  Représentation des données : vive les mathématiques (géométrie algébrique, topologie, analyse différentielle) Charles Ibrahim - @Ibrahimous  Apprendre des données : Big Data & Machine Learning
  • 19. Conclusion 19/05/2015 19  Splunk : un gestionnaire de logs efficace, donc adapté à la supervision de sécurité, bien que requérant des compétences techniques poussées  Permet l’implémentation de règles de détection de très nombreuses formes d’attaques  Plus généralement, les analystes cybersécurité doivent inventer et développer de nouvelles visualisations, qui leur permettront de détecter les menaces les plus complexes. Charles Ibrahim - @Ibrahimous
  • 20. Quelques références 19/05/2015 20  SIEMs  Magic Quadrant Gartner  Splunk – how it works  Splunk Documentation (général)  How indexing works ?  Configuration parameters and the data pipeline  Suricata  MISC (mars 2013)- Présentation – Éric Leblond  Javascript libraries :  D3js  Sigmajs  SplunkJS stack  Big Data, Machine Learning :  Big Data  Machine Learning, Entropy and Fraud in Splunk Charles Ibrahim - @Ibrahimous
  • 21. Merci pour votre attention ! … et classiquement : place aux questions ! 19/05/2015 21 @Ibrahimous& : : Charles Ibrahim& Charles Ibrahim - @Ibrahimous