Gestion des logs : présentation et mise en œuvre simplifiée d’un collecteur et d’un SIEM

MISC

n°

juillet 2017

Par

Vieux Nicolas

Forensic

Tag(s)

logs

SIEM

De nos jours, il est de plus en plus difficile de détecter une activité malveillante, ce qui rend extrêmement important la collecte des journaux d’événements. Cet article fournit une introduction pour celle-ci et pourra être appliquée à tous les types de log ; peu importe si ce sont des événements système, applicatif, réseau, etc… Nous verrons également comment ces derniers devront être stockés et gérés. L'objectif de ce document est double : - Présenter à un responsable les bienfaits de collecter et superviser ses logs, - Orienter avec les bases, une équipe de sécurité opérationnelle ou une équipe d’analystes forensic. De nombreux outils disponibles dans le commerce existent pour collecter les journaux d’événements, je vous présenterai via un cas pratique comment collecter tous types d’événements, et comment mettre en place un SIEM facilement et rapidement.

Sans une bonne compréhension des équipements de votre parc informatique, de certains détails primordiaux comme les différents types de comptes, de connexions et de méthodes d'authentification disponibles sous Windows, la réponse aux incidents et les résultats d'analyse forensic pourraient-être sujets à des erreurs. Au travers de cet article nous essaierons de voir ensemble comment simplifier la gestion des logs avec la mise en place d’un collecteur et d’un SIEM.

1. Présentation

1.1 Objectif

Les objectifs peuvent être divers et variés ; voyons chacun des points qui pourront vous inciter à mettre en place un collecteur de log et un SIEM :

Conformité :

Beaucoup d’autres objectifs appartiennent de près ou de loin à la conformité. Celle-ci dépendra du pays dans lequel est implantée votre entreprise, de la taille de la structure, de la réglementation dans le secteur dans lequel vous êtes etc…

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.

S'abonner à Connect

Accédez à tous les contenus de Connect en illimité
Découvrez des listes de lecture et des contenus Premium
Consultez les nouveaux articles en avant-première

Je m'abonne

Déjà abonné ? Connectez-vous

Article rédigé par

Vieux Nicolas

4 articles

Par le(s) même(s) auteur(s)

Log4Shell, de multiples vulnérabilités dans Log4j : de l’identification du périmètre à la remédiation

MISC

n°

120

mars 2022

Par

Vieux Nicolas

Exploit

Depuis début décembre, de nombreuses entreprises sont potentiellement impactées par plusieurs vulnérabilités découvertes dans le framework de journalisation Log4j d’Apache. Log4j est présent dans plusieurs centaines de produits, du cloud (certains produits d’AWS sont impactés), des outils de développement (comme Oracle JDeveloper), des appliances (par exemple avec Clearswift Secure Gateway), des sites web, différents logiciels intégrés aux ordinateurs, etc. Ce composant anodin est connu par une minorité d’informaticiens, et a un impact mondial sur plusieurs milliers d’entreprises, y compris Apple, Google, Tesla et bien d’autres géants, en faisant apparaître une porte d’entrée dans leur SI.

Ajouter à une liste de lecture

OpenSSH : une vulnérabilité existant depuis 20 ans a été détectée dans cet outil conçu pour sécuriser les communications

MISC

n°

101

janvier 2019

Par

Vieux Nicolas

Exploit

Cela fait 20 ans qu’une vulnérabilité présente dans OpenSSH permet d’énumérer les utilisateurs. Elle a été rendue publique le 17 août 2018 sous la référence CVE ID 2018-15473. Du fait de sa facilité d’exploitation, des exploits ont rapidement vu le jour sur des sites de dépôt de code comme GitHub, des scripts Python ont également été codés et même le très célèbre Metasploit a mis à jour son module d'énumération des utilisateurs SSH [Ref] « modules/auxiliary/scanner/ssh/ssh_enumusers.rb ». Cette vulnérabilité ne donne pas la liste des noms d'utilisateurs valides, mais permet, sans faire d’attaque par mot de passe, de dire si un utilisateur existe ou non. Nous allons voir ensemble au travers de cet article pourquoi cette vulnérabilité existe, comment l'exploiter et de quelle manière nous pouvonsnous en prévenir.

Ajouter à une liste de lecture

Plus d'article de cet auteur

Les derniers articles Premiums

Les derniers articles Premium

Bun.js : l’alternative à Node.js pour un développement plus rapide

Contenu Premium

Par

Blachowiak Thomas

Code

Web

Dans l’univers du développement backend, Node.js domine depuis plus de dix ans. Mais un nouveau concurrent fait de plus en plus parler de lui, il s’agit de Bun.js. Ce runtime se distingue par ses performances améliorées, sa grande simplicité et une expérience développeur repensée. Peut-il rivaliser avec Node.js et changer les standards du développement JavaScript ?

Ajouter à une liste de lecture

PostgreSQL au centre de votre SI avec PostgREST

Contenu Premium

Par

Auverlot Olivier

Data / Big Data

Web

Dans un système d’information, il devient de plus en plus important d’avoir la possibilité d’échanger des données entre applications. Ce passage au stade de l’interopérabilité est généralement confié à des services web autorisant la mise en œuvre d’un couplage faible entre composants. C’est justement ce que permet de faire PostgREST pour les bases de données PostgreSQL.

Ajouter à une liste de lecture

La place de l’Intelligence Artificielle dans les entreprises

Contenu Premium

Par

Blachowiak Thomas

Société

L’intelligence artificielle est en train de redéfinir le paysage professionnel. De l’automatisation des tâches répétitives à la cybersécurité, en passant par l’analyse des données, l’IA s’immisce dans tous les aspects de l’entreprise moderne. Toutefois, cette révolution technologique soulève des questions éthiques et sociétales, notamment sur l’avenir des emplois. Cet article se penche sur l’évolution de l’IA, ses applications variées, et les enjeux qu’elle engendre dans le monde du travail.

Ajouter à une liste de lecture

Petit guide d’outils open source pour le télétravail

Contenu Premium

Par

Samhi Jordan

Système

Ah le Covid ! Si en cette période de nombreux cas resurgissent, ce n’est rien comparé aux vagues que nous avons connues en 2020 et 2021. Ce fléau a contraint une large partie de la population à faire ce que tout le monde connaît sous le nom de télétravail. Nous avons dû changer nos habitudes et avons dû apprendre à utiliser de nombreux outils collaboratifs, de visioconférence, etc., dont tout le monde n’était pas habitué. Dans cet article, nous passons en revue quelques outils open source utiles pour le travail à la maison. En effet, pour les adeptes du costume en haut et du pyjama en bas, la communauté open source s’est démenée pour proposer des alternatives aux outils propriétaires et payants.

Ajouter à une liste de lecture

Les listes de lecture

Sécurité Windows : Active Directory

11 article(s) - ajoutée le 01/07/2020

Sécurité réseau

Clé de voûte d'une infrastructure Windows, Active Directory est l'une des cibles les plus appréciées des attaquants. Les articles regroupés dans cette liste vous permettront de découvrir l'état de la menace, les attaques et, bien sûr, les contre-mesures.

Sécurité des mobiles

8 article(s) - ajoutée le 13/10/2020

Mobilité Sécurité système

Découvrez les méthodologies d'analyse de la sécurité des terminaux mobiles au travers d'exemples concrets sur Android et iOS.

Cryptographie appliquée

10 article(s) - ajoutée le 13/10/2020

Crypto

Vous retrouverez ici un ensemble d'articles sur les usages contemporains de la cryptographie (whitebox, courbes elliptiques, embarqué, post-quantique), qu'il s'agisse de rechercher des vulnérabilités ou simplement comprendre les fondamentaux du domaine.

Voir les 70 listes de lecture

Abonnez-vous maintenant

et profitez de tous les contenus en illimité

Je découvre les offres

Déjà abonné ? Connectez-vous