Identifier les menaces avec Elastic SIEM David Pilato @dadoonet

Les incidents de sécurité ont 3 niveaux FYI, WTF et OMG

Découvrir une faille par la presse ou les utilisateurs

Découvrir une faille par les Pirates demandant une rançon

Découvrir une faille par votre facture Cloud

Découvrir une faille par vous-même après les faits

Découvrir une faille par vous-même et pouvoir prouver qu’il n’y a pas eu de dégats

uditd https://github.com/linux-audit

Demo

Problem How to centralize?

Auditbeat

Demo

System Module host, process, package, socket, login, user

Demo

File Integrity Module inotify (Linux) fsevents (macOS) ReadDirectoryChangesW (Windows)

Demo

Elastic Common Schema https://github.com/elastic/ecs

—- name: base root: true title: Base group: 1 short: All fields defined directly at the top level description: > The base field set contains all fields which are on the top level. These fields are common across all types of events. type: group fields: - name: “@timestamp” type: date level: core required: true example: “2016-05-23T08:05:34.853Z” short: Date/time when the event originated. description: > Date/time when the event originated. This is the date/time extracted from the event, typically representing when the event was generated by the source. If the event source has no original timestamp, this value is typically populated by the first time the event was received by the pipeline. Required field for all events.

Elastic SIEM Security Information and Event Management

Demo

Code https://github.com/xeraa/ auditbeat-in-action

Identifier les menaces avec Elastic SIEM David Pilato @dadoonet