Identifier les menaces avec Elastic SIEM

Savoir ce qui se passe dans votre environnement est une part importante pour être informé de problèmes de sécurité. Mais comment capturer et visualiser les informations pertinentes ? Un outil open source est mondialement utilisé pour cela : la suite Elastic. Ce talk vous fera découvrir par la pratique comment ingérer les données utiles provenant de votre couche réseau, de vos machines, de vos logs ainsi que le moyen de facilement les visualiser afin d'identifier des patterns et comportements suspicieux. Nous utiliserons notamment pour cela le tout dernier outil SIEM de la suite Elastic.

Nous utiliserons pour cela des données provenant de "piège de type pot à miel" :

La première étape est de lire, extraire et enrichir la donnée afin d'identifier les attaques, leur source et plus encore.
Puis stocker et explorer la donnée collectée pour trouver des indicateurs pertinents.
Ce qui nous amènera à créer des visualisations spécifiques à notre besoin - par exemple la localisation de l'attaquant ou des patterns type d'attaque.
Puis nous combinerons ces visualisations dans un tableau de bord consolidant l'information.
Au final, nous utiliserons l'application SIEM pour voir comment toute cette recherche et analyse est dorénavant grandement simplifiée.
Tout cela en live.

Nous avons la chance de recevoir David Pilato pour nous présenter ce talk.

Pour ceux qui ne le connaissent pas encore, David est développeur et évangéliste chez Elastic depuis 2013, après avoir passé les deux années précédentes à promouvoir le projet open-source Elasticsearch. Il en anime la communauté française et organise des BBL (https://www.elastic.co/blog/free-lunch-for-open-source-engineers) au sein des entreprises.