Nous parlerons ici de solutions face aux problématiques de création d’un Security Information Management System totalement open source en utilisant la stack Elastic.
Lorsque j’ai entrepris, il y a plus de deux ans la mise en place d’un SIEM, j’ai tenté de glaner des informations sur la possibilité d’en créer un open source. En guise de réponse, j’ai très souvent obtenu une question suivie d’une affirmation : « Mais pourquoi veux-tu créer un SIEM open source ? Les solutions du marché font très bien l’affaire ! ». À cette question je répondais systématiquement : non, les solutions du marché ne répondent jamais complètement à mes besoins, elles sont très coûteuses, peu modulables, pas toujours interfaçables. Le coût d’une solution du marché (licence et matérielle) représente rapidement l’équivalent d’une équipe de cinq ingénieurs. En raison des lourdes charges et de la flexibilité nécessaire, je me suis rapidement tourné vers la stack Elastic qui intègre beaucoup d’éléments intéressants, mais qui nécessite un peu d’huile de coude.
1. Le trône de fer
Après quelques erreurs et...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
[LUCENE] https://www.elastic.co/guide/en/kibana/current/lucene-query.html
[RFC_SYSLOG] https://tools.ietf.org/html/rfc5424
[DOC_ELASTIC] https://www.elastic.co/guide/index.html
[GROK_CONSTRUCTOR] http://grokconstructor.appspot.com/do/match
[VEGA] https://vega.github.io/vega/
[KIBANA_PLUGGIN] https://www.elastic.co/guide/en/kibana/current/known-plugins.html