28 avril 2017
Hier soir, 27 Avril, ont eu lieu dans les locaux de Nomios des sessions techniques autour des usages de Splunk.
Deux sessions étaient proposées selon les profils techniques de nos clients. L’une permettant de découvrir Splunk, l’autre de travailler sur des cas concrets d’attaques (usage SIEM).
Splunk 4 Rookies
Lors de cette session, des responsables de production, administrateurs sécurité, réseaux et systèmes ont fait leurs premiers pas en Splunk.
Après avoir créé leur environnement sur un lab mis à disposition par Splunk, une présentation générale de l’outil a été faite par Alexis, ingénieur chez Nomios et spécialiste Splunk et Jean-Pierre, spécialiste Splunk de chez Arrow.
Le paradigme a changé avec la quantité de données à notre disposition.
Avant, nous réfléchissions à la donnée pertinente puis nous la collections, analysions et la représentions. C’était tout à fait pertinent mais limité à ce que nous anticipions d’intéressant. Avec les outils de Big Data nous n’avons plus besoin d’autant anticiper. On peut stocker tous les types de données qui pourraient avoir de la valeur (même si le coût peu devenir élevé) puis nous avons le pouvoir de chercher dans la donnée, sans la structurer avec une indexation universelle.
Prenons Splunk par un bout, la source et la collecte de données. Splunk propose ce qu’ils appellent un « Universal Forwarder » permettant bien entendu de collecter depuis les emplacements distants tous types de sources (fichiers, ports, registres, scripts…) de manière bufférisée et redondée pour ne pas perdre de données.
L’exemple pratique choisi pour se faire les dents était l’exploitation de logs Web (angles technique, marketing et fraude). Les participants ont pu découvrir le langage de recherche Splunk, réaliser des tableaux de bord et chercher des potentielles attaques.
Les premières impressions ont été positives. Il reste maintenant à créer des instances dans chacunes de leurs entreprises pour mettre en oeuvre ce qu’ils ont appris.
Splunk 4 Security Ninjas
Splunk propose plusieurs types de workshops avancés appelés Ninjas : Sécurité, IT Opérations, ITService Intelligence.
Nomios ayant déjà depuis quelques années déployé des environnements Splunk pour la sécurité de nos clients, nous avons tout naturellement proposé une session « Sécurité ».
Il s’agissait de la première session sécurité proposée par Splunk en France. Le contenu a donc été élaboré conjointement entre Splunk, Ludovic et David, ingénieurs sécurité chez Nomios.
Les clients ont été renforcés par quelques ingénieurs Nomios profitant de l’occasion pour se perfectionner sur des cas concrets.
Les experts ont cherché dans des logs Windows la présence de Malwares en repérant des signatures de Zeus et ont remonté à la source de l’infection. Grâce à des applications Splunk orientées SIEM, ils ont ensuite travaillé sur des attaques « SQL Injections », des « Lateral Movements » et enfin sur des attaques, assez compliquées à repérer, de DNS Exfiltrations noyées dans la masse des transactions DNS.
Splunk Add-On for Microsoft Sysmon : https://splunkbase.splunk.com/app/1914/
SQL Injection Search : https://splunkbase.splunk.com/app/1528/
URL Toolbox : https://splunkbase.splunk.com/app/2734/
SECURITY ESSENTIALS APP : https://splunkbase.splunk.com/app/3435/
After Work
Le principe de la soirée était aussi d’échanger autour de pizzas et de bières. Nous avions donc prévu Napolitaines, Reines, 4 saisons, 4 fromages … le tout arrosé avec modération de quelques centilitres de bières et conclus par un traditionnel tiramisu.
