Identifier les menaces avec Elastic SIEM
A presentation at JUG Summer Camp in in La Rochelle, France by David Pilato
Identifier les menaces avec Elastic SIEM David Pilato @dadoonet
Les incidents de sécurité ont 3 niveaux FYI, WTF et OMG
Découvrir une faille par la presse ou les utilisateurs
Découvrir une faille par les Pirates demandant une rançon
Découvrir une faille par votre facture Cloud
Découvrir une faille par vous-même après les faits
Découvrir une faille par vous-même et pouvoir prouver qu’il n’y a pas eu de dégats
uditd https://github.com/linux-audit
Demo
Problem How to centralize?
Auditbeat
Demo
System Module host, process, package, socket, login, user
Demo
File Integrity Module inotify (Linux) fsevents (macOS) ReadDirectoryChangesW (Windows)
Demo
Elastic Common Schema https://github.com/elastic/ecs
—- name: base root: true title: Base group: 1 short: All fields defined directly at the top level description: > The base field set contains all fields which are on the top level. These fields are common across all types of events. type: group fields: - name: “@timestamp” type: date level: core required: true example: “2016-05-23T08:05:34.853Z” short: Date/time when the event originated. description: > Date/time when the event originated. This is the date/time extracted from the event, typically representing when the event was generated by the source. If the event source has no original timestamp, this value is typically populated by the first time the event was received by the pipeline. Required field for all events.
Elastic SIEM Security Information and Event Management
Demo
Code https://github.com/xeraa/ auditbeat-in-action
Identifier les menaces avec Elastic SIEM David Pilato @dadoonet
Savoir ce qui se passe dans votre environnement est une part importante pour être informé de problèmes de sécurité. Mais comment capturer et visualiser les informations pertinentes ? Un outil open source est mondialement utilisé pour cela : la suite Elastic. Ce talk vous fera découvrir par la pratique comment ingérer les données utiles provenant de votre couche réseau, de vos machines, de vos logs ainsi que le moyen de facilement les visualiser afin d’identifier des patterns et comportements suspicieux. Nous utiliserons notamment pour cela le tout dernier outil SIEM de la suite Elastic.
Nous utiliserons pour cela des données type “piège à miel” :
- La première étape est de lire, extraire et enrichir la donnée afin d’identifier les attaques, leur source et plus encore.
- Puis stocker et explorer la donnée collectée pour trouver des indicateurs pertinents.
- Ce qui nous amènera à créer des visualisations spécifiques à notre besoin - par exemple la localisation de l’attaquant ou des patterns type d’attaque.
- Puis nous combinerons ces visualisations dans un tableau de bord consolidant l’information.
- Au final, nous utiliserons l’application SIEM pour voir comment toute cette recherche et analyse est dorénavant grandement simplifiée.
Tout cela en live.
Video
Resources
The following resources were mentioned during the presentation or are useful additional information.
-
AuditD Rules
Templates for common auditD rules
-
Demo repository
-
JUG Summer Camp
