Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Deployer son propre SOC !

5,467 views

Published on

Telecom Valley - Commission Sécurité & Cloud-2016-11-08

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Deployer son propre SOC !

  1. 1. Déployer son propre SOC avec Elastic Stack et « Elastic Detector » LE scanner de nouvelle génération Frédéric DONNAT – Directeur Technique et Co-Fondateur fred@secludit.com Téléphone 06 59 98 30 77 SecludIT – Copyright & confidentiel - 2016
  2. 2. SecludIT – Copyright & confidentiel - 2016 Prévenir, vaut mieux que guérir… Les vulnérabilités représentent la première porte empruntée des attaquants - (53% des attaques réussies, source Forrester). Cyber attaques en progression +38% selon PWC
  3. 3. SecludIT – Copyright & confidentiel - 2016 SOC : Security Operation Center • But d’un SOC : • Donner de la visibilité sur l’infrastructure (Cloud, Virtuelle, serveurs physiques) et « sa sécurité » • Générer des alertes de sécurité « préventive » • Aider à l’« analyse » d’incidents de sécurité • Eléments primordiaux : • Gestion et « centralisation » des logs avec un SIEM • Tableaux de bords de « pilotage » • Sondes telles que : Scanner de Vulnérabilités
  4. 4. SecludIT – Copyright & confidentiel - 2016 SIEM avec Elastic Stack
  5. 5. SecludIT – Copyright & confidentiel - 2016 Mise en place d’Elastic Stack • Télécharger les composants • Installer les composants sur un serveur (virtuel ou non) • Configurer les composants • Ajouter une interface de gestion d’Elastic Stack
  6. 6. SecludIT – Copyright & confidentiel - 2016 Mise en place d’Elastic Stack
  7. 7. SecludIT – Copyright & confidentiel - 2016 Filtres Logstash pour Elastic Stack input { udp { port => 5514 type => "nagios" } } # Filtering for SSH logins either failed or successful filter { if [type] == "syslog" { if [syslog_program] == "sshd" { if "Failed password" in [message] { grok { break_on_match => false match => [ "message", "invalid user %{DATA:UserName} from %{IP:src_ip}", "message", "for %{DATA:UserName} from %{IP:src_ip}" ] } mutate { add_tag => [ "SSH_Failed_Login" ] } } …
  8. 8. SecludIT – Copyright & confidentiel - 2016 Détection de problèmes SSH avec Elastic Stack
  9. 9. SecludIT – Copyright & confidentiel - 2016 Visibilité sur l’infrastructure avec Elastic Stack
  10. 10. SecludIT – Copyright & confidentiel - 2016 Vulnérabilités sur l’infrastructure avec Elastic Stack
  11. 11. SecludIT – Copyright & confidential - 2016 Différenciateurs Majeurs d’Elastic Detector 1. Automatisation Intensive / Connecteur APIs • Auto-Découverte • Pas d’agent 2. Technologie de « Clonage » • Pas d’impact sur la production • Isolation / Cloisonnement 3. Reporting : « La bonne information à la bonne personne » • Indicateur de risque pour le pilotage • Feuille de route « métier » pour la remédiation
  12. 12. SecludIT – Copyright & confidentiel - 2016 A chacun ses informations
  13. 13. SecludIT – Copyright & confidentiel - 2016 Questions ?

×