Surveiller avec un SIEM SIEM

Les SIEM (Security Information and Event Management) sont les solutions dédiées à l’analyse des gros volumes de données. Ces logiciels sont très utilisés en sécurité pour collecter, normaliser, stocker puis alerter, analyser et représenter des informations à partir des journaux de systèmes d’information. On peut les voir comme de grosses boîtes noires capables d’avaler d’énormes volumes de logs et d’y appliquer ensuite des recherches ou des règles de détection.

L’essai d’un SIEM du marché sur les journaux PowerShell collectés est un bon sujet pour terminer ce chapitre sur la supervision. Il existe de nombreux SIEM, commerciaux ou libres. On citera par exemple Graylog, LogRhythm, Microsoft Sentinel, Elastic ELK ou bien Splunk. Ce livre ne portant pas spécifiquement sur les SIEM, nous ne rentrerons pas dans les détails de leur fonctionnement basé sur les technologies NoSQL et d’indexation. Splunk

Dans la suite de cette section, nous allons utiliser la version d’essai du logiciel Splunk Enterprise, d’une part parce qu’il fait partie des principaux SIEM du marché, d’autre part car il est possible de transformer la version d’essai en une version gratuite (Splunk Free). Cette version gratuite est limitée à 500 Mo de journaux injectés par jour et est fournie sans certaines fonctions comme...

Pour consulter la suite, découvrez le livre suivant :
couv_EPCYBPOW.png
60-signet.svg
En version papier
20-ecran_lettre.svg
En version numérique
41-logo_abonnement.svg
En illimité avec l'abonnement ENI
130-boutique.svg
Sur la boutique officielle ENI
Précédent
Les logs PowerShell
Suivant
Conclusion