Générer et Traiter les Logs pour la Sécurité
» Introduction
L’actualité de la Sécurité des Systèmes d’information (SSI)
Les problématiques de la supervision et des logs.
Les possibilités de normalisation.
Quels sont les avantages d’une supervision centralisée ?
Les solutions du marché.
» La collecte des informations
L’hétérogénéité des sources. Qu’est-ce qu’un événement de sécurité ?
Le Security Event Information Management (SIEM). Les événements collectés du SI.
Les journaux système des équipements (firewalls, routeurs, serveurs, bases de données, etc.).
La collecte passive en mode écoute et la collecte active.
Travaux pratiques
Démarche d’une analyse de log.
Géolocalisation d’une adresse.
Corrélation de logs d’origine différente.
Analyser le cheminement des utilisateurs Web (via Cookie) ou bien la sauvegarde des données Web envoyées POST
» Syslog
Le protocole Syslog.
La partie client et la partie serveur.
Centraliser les journaux d’événements avec Syslog.
Syslog(-ng) est-il suffisant ? Avantages et inconvénients.
Travaux pratiques
Installation et configuration de Syslog. Exemple d’analyse et de corrélation des données.
» Le programme SEC
Présentation de SEC (Simple Event Correlator).
Le fichier de configuration et les règles.
Comment détecter des motifs intéressants.
La corrélation et l’analyse avec SEC.
Travaux pratiques
Installation et configuration de SEC. Exemple d’analyse et de corrélation des données.
» Le logiciel Splunk
L’architecture et le framework MapReduce. Comment collecter et indexer les données?
Exploiter les données machine. L’authentification des transactions.
L’intégration aux annuaires LDAP et aux serveurs Active Directory.
Travaux pratiques
Installation et configuration de Slunk. Exemple d’analyse et de corrélation des données.
» Analyse de fichier de logs à l’aide des outils précédemment décrit
Travaux pratiques
Analyser des logs Réseaux d’un DDoS Volumétrique
Analyser des logs Web et Réseau d’une attaque de type Apache Killer
Analyser des logs Web et Réseau d’une attaque de type HeartBleed
Analyser des logs Web d’une Injection SQL : compréhension et mise en place de contre-mesure
Analyser des logs Web d’un Brute-Force sur Formulaire : compréhension et mise en place de contre-mesure
Analyse une attaque mystère
» La législation française
La durée de conservation des logs. Le cadre d’utilisation et législation.
La CNIL, LOPSSI, LPM, LCEN,… Le droit du travail.
La charte informatique, son contenu et le processus de validation.
Comment mettre en place une charte informatique?
Sa contribution dans la chaîne de la sécurité.
Travaux pratiques
Exemple de mise en place d’une charte informatique.
» Conclusions
Les bonnes pratiques.Les pièges à éviter.
Choisir les bons outils. Le futur pour ces applications.
Formation
- Analyse Forensique et Réponse à Incident de Sécurité
- Check Point Niveau 1
- Check Point Niveau 2
- Détection d’Intrusion
- Firewall Cisco ASA
- Générer et Traiter les Logs pour la Sécurité
- Nagios
- Réseaux Privés Virtuels – VPN IPSEC
- Sécurité des Applications Web
- Sécurité des réseaux WiFi
- Séminaire SDN et Infrastructure as Code
- Wireshark
- Splunk