Un intrusion dans notre SI ? Menons l'enquête...

En prenant comme exemple la détection d'un compte compromis, nous verrons dans cette session comment Swimlane et Elastic permettent de répondre efficacement et rapidement à ce type d'incident. Nous nous mettrons dans la peau d'un ingénieur analyste sécurité d'un SOC, et nous verrons comment il pourra tirer parti de ces deux outils pour isoler l'incident et comprendre ce que le hacker a fait.

Par Charles Rami, Senior Sales Engineering, Swimlane

L’exploitation de la donnée dans un SIEM pour obtenir du renseignement

La suite Elastic permet de manière simple et naturelle à la fois de collecter, de transformer et d’exploiter la donnée afin d’obtenir de l’information et d’en déduire du renseignent. Dans le cadre des formations que je réalise, les stagiaires sont amenés à créer un système d’information puis de collecter des logs et alertes. Ils génèrent ensuite des alertes en attaquant / auditant leur infrastructure afin de mieux gérer les risques. Enfin, ils peuvent constater que ce genre de solution permet d’anticiper des menaces ou d’attribuer des attaques au travers la Threat Intelligence en mettant en relation des données entre elle.

Enfin, au-delà de la sécurité informatique, cet outil permet de collecter, d’exploiter, d’analyser la donnée afin d’obtenir du renseignement puis de le diffuser via un outil de reporting et de dashboarding avancé.

Seront abordés, une illustration d’un projet réalisé par un groupe d’élèves de Telecom Paris en quelques semaines qui avait pour mission de créer un SOC pour gérer quelques risques d’une infrastructure vulnérable, puis quelques projets d’OSINT réalisés par des élèves ainsi que l’utilisation du SIEM chez un grand groupe.

Par Nicolas Bloumine, Expert en cybersécurité