1. Déployer son propre SOC avec Elastic Stack et
« Elastic Detector » LE scanner de nouvelle génération
Frédéric DONNAT – Directeur Technique et Co-Fondateur
fred@secludit.com
Téléphone 06 59 98 30 77
SecludIT – Copyright & confidentiel - 2016
2. SecludIT – Copyright & confidentiel - 2016
Prévenir,
vaut mieux que guérir…
Les vulnérabilités représentent la première porte empruntée
des attaquants - (53% des attaques réussies, source Forrester).
Cyber attaques en
progression +38% selon
PWC
3. SecludIT – Copyright & confidentiel - 2016
SOC : Security Operation Center
• But d’un SOC :
• Donner de la visibilité sur l’infrastructure (Cloud,
Virtuelle, serveurs physiques) et « sa sécurité »
• Générer des alertes de sécurité « préventive »
• Aider à l’« analyse » d’incidents de sécurité
• Eléments primordiaux :
• Gestion et « centralisation » des logs avec un SIEM
• Tableaux de bords de « pilotage »
• Sondes telles que : Scanner de Vulnérabilités
5. SecludIT – Copyright & confidentiel - 2016
Mise en place d’Elastic Stack
• Télécharger les composants
• Installer les composants sur un serveur
(virtuel ou non)
• Configurer les composants
• Ajouter une interface de gestion
d’Elastic Stack
7. SecludIT – Copyright & confidentiel - 2016
Filtres Logstash pour Elastic Stack
input {
udp {
port => 5514
type => "nagios"
}
}
# Filtering for SSH logins either failed or successful
filter {
if [type] == "syslog" {
if [syslog_program] == "sshd" {
if "Failed password" in [message] {
grok {
break_on_match => false
match => [
"message", "invalid user %{DATA:UserName} from %{IP:src_ip}",
"message", "for %{DATA:UserName} from %{IP:src_ip}" ]
}
mutate {
add_tag => [ "SSH_Failed_Login" ]
}
}
…
8. SecludIT – Copyright & confidentiel - 2016
Détection de problèmes SSH avec Elastic Stack
9. SecludIT – Copyright & confidentiel - 2016
Visibilité sur l’infrastructure avec Elastic Stack
10. SecludIT – Copyright & confidentiel - 2016
Vulnérabilités sur l’infrastructure avec Elastic Stack
11. SecludIT – Copyright & confidential - 2016
Différenciateurs Majeurs d’Elastic Detector
1. Automatisation Intensive / Connecteur APIs
• Auto-Découverte
• Pas d’agent
2. Technologie de « Clonage »
• Pas d’impact sur la production
• Isolation / Cloisonnement
3. Reporting : « La bonne information à la bonne personne »
• Indicateur de risque pour le pilotage
• Feuille de route « métier » pour la remédiation