Démonstration d'investigation sur des cyberattaques, dans le contexte d’un SOC, avec l’outil « Splunk ».
Présentation réalisée pour le Security Tuesday de l'ISSA France le 19 mai 2015.
2. L’investigation de sécurité avec Splunk
Exemple complet :
Spam, pièces-jointes, et utilisateurs imprudents
Dataviz, machine learning, Big Data
Agenda de la présentation
19/05/2015 2
Introduction
Conclusion
Charles Ibrahim - @Ibrahimous
3. Introduction SOC/SIEM
19/05/2015 3
“A security operations center (SOC) is a centralized unit that deals with
security issues, on an organizational and technical level” (Wikipedia)
Défense en profondeur. Si, ça sert.
SOC ? CERT ? CSIRT ? … WAT ?
Ten Strategies of a World-Class
Cybersecurity Operations Center -
www.mitre.org/sites/default/files/public
ations/pr-13-1028-mitre-10-strategies-
cyber-ops-center.pdf
Charles Ibrahim - @Ibrahimous
4. L’investigation de sécurité avec Splunk
Exemple complet :
Spam, pièces-jointes, et utilisateurs imprudents
Dataviz, machine learning, Big Data
Agenda de la présentation
19/05/2015 4
Introduction
Conclusion
Charles Ibrahim - @Ibrahimous
6. Fonctionnement de Splunk – vue générale
19/05/2015 6
Cœur <-> démon splunkd : en C
Interface Web : Django
SplunkJS <-> full MVC Javascript côté
serveur
… et BEAUCOUP de fichiers de conf ^^
Charles Ibrahim - @Ibrahimous
7. Des Apps ! Des T-A !
19/05/2015 7
Splunk est modulaire : possibilité d’ajouter
des « Technology Add-Ons » et d’installer
des Apps
Charles Ibrahim - @Ibrahimous
8. L’investigation de sécurité avec Splunk
Exemple complet :
Un spam, une pièce-jointe, un utilisateur
imprudent
Dataviz, machine learning, Big Data
Agenda de la présentation
19/05/2015 8
Introduction
Conclusion
Charles Ibrahim - @Ibrahimous
12. Récupération de la PJ
19/05/2015 12Charles Ibrahim - @Ibrahimous
…
« Vous avez ouvert le mail ? »
« … et la PJ ?? »
« … une fenêtre avec des
lignes de commandes ??? »
14. Historique de l’adresse IP
19/05/2015 14
Fréquence à laquelle cette IP déclenche des
alertes / se connecte à notre infra ?
Quels équipements de sécurité fait-elle
sonner ?
Haute valeur
ajoutée !
Charles Ibrahim - @Ibrahimous
Des postes de travail de notre parc s’y
connectent-ils ?
Est-elle présente dans des listes de Threat
Intelligence ?
15. L’investigation de sécurité avec Splunk
Exemple complet :
Spam, pièces-jointes, et utilisateurs imprudents
Dataviz, machine learning, Big Data
Agenda de la présentation
19/05/2015 15
Introduction
Conclusion
Charles Ibrahim - @Ibrahimous
16. Parenthèse : des outils de visualisation ?
Place à Javascript !
… qui permet de manipuler des éléments HTML et d’y lier des données en masse
… via d3.js, sigma.js, SplunkJS, …
19/05/2015 16Charles Ibrahim - @Ibrahimous
17. Visualiser des données de sécurité… pour quoi faire ?
19/05/2015 17Charles Ibrahim - @Ibrahimous
18. Perspectives : voir en N dimensions – Machine Learning
19/05/2015 18
Visualisation effective en dimension 2 (+ ou – en dimension 3, peut-être, un
jour).
Perception humaine VS agrégation d’indicateurs !
Il n’y a pas que la puissance de calcul qui compte !
Représentation des données : vive les mathématiques (géométrie algébrique,
topologie, analyse différentielle)
Charles Ibrahim - @Ibrahimous
Apprendre des données : Big Data
& Machine Learning
19. Conclusion
19/05/2015 19
Splunk : un gestionnaire de logs efficace, donc adapté à la
supervision de sécurité, bien que requérant des
compétences techniques poussées
Permet l’implémentation de règles de détection de très
nombreuses formes d’attaques
Plus généralement, les analystes cybersécurité doivent
inventer et développer de nouvelles visualisations, qui leur
permettront de détecter les menaces les plus complexes.
Charles Ibrahim - @Ibrahimous
20. Quelques références
19/05/2015 20
SIEMs
Magic Quadrant Gartner
Splunk – how it works
Splunk Documentation (général)
How indexing works ?
Configuration parameters and the data pipeline
Suricata
MISC (mars 2013)- Présentation – Éric Leblond
Javascript libraries :
D3js
Sigmajs
SplunkJS stack
Big Data, Machine Learning :
Big Data
Machine Learning, Entropy and Fraud in Splunk
Charles Ibrahim - @Ibrahimous
21. Merci pour votre attention !
… et classiquement : place aux questions !
19/05/2015 21
@Ibrahimous& : : Charles Ibrahim&
Charles Ibrahim - @Ibrahimous