Centralisation sécurisée et exploitation des logs

Votre système d'information pour et par l'humain

Objectifs Pédagogiques

Cette formation vous apportera la compréhension et les compétences pour pouvoir remonter de manière sécurisée les journaux des systèmes informatiques que vous gérez.

Vous serez à même de conduire une étude en direct ou post-mortem de ce qu’il se passe sur l’ensemble de votre système à un moment donné. Vous saurez lire et corréler des informations de journaux entre elles pour en déduire des comportements de votre système et en améliorer la gérer et la sécurité.

Prérequis

  • Niveau basique en administration de système GNU/Linux ou *BSD
  • Connaissances basiques en réseaux

Public attendu

  • Architectes réseau & sécurité
  • Administrateurs systèmes et réseaux
  • Analyste (système, réseau, post-mortem, …)

Contenu de la formation

Introduction

  • La sécurité des Systèmes d’Information.
  • Qu’est-ce qu’est la journalisation ?
  • Les problématiques de la supervision et de la journalisation.
  • Les possibilités de normalisation.
  • Avantages et inconvénients d’une supervision centralisée ?

La collecte des informations

  • L’hétérogénéité des sources. Qu’est-ce qu’un événement de sécurité ?
  • Le Security Event Information Management (SIEM). Les événements collectés du SI.
  • Les journaux système des équipements (firewalls, routeurs, serveurs, bases de données, etc.).
  • La collecte passive en mode écoute et la collecte active.

Travaux pratiques :

  • Démarche d’une analyse de log.
  • La géolocalisation d’une adresse.
  • La corrélation de logs d’origines différentes, visualiser, trier et chercher les règles.

Le protocole Syslog

  • Le protocole Syslog.
  • La partie client et la partie serveur.
  • Centraliser les journaux d’événements avec Syslog.
  • Sécurisation des journaux
  • Syslog est-il suffisant ? Avantages et inconvénients.

Travaux pratiques : Installation et configuration de Syslog. Exemple d’analyse et de corrélation des données.

Les outils d’affichage de log

  • Présentation de sec.
  • Le fichier de configuration et les règles.
  • Comment détecter des motifs intéressants ?

Travaux pratiques : Installation et configuration de sec. Exemple d’analyse et de corrélation de journaux.

Les autres logiciels du marché : ELK (suite Elastic), Graylog, OSSIM, etc

Travaux pratiques :Installation et configuration d’un logiciel (Greylog, ELK ou autre).Exemple d’analyse et de corrélation des données.

La législation française

  • La durée de conservation des logs. Le cadre d’utilisation et législation. La CNIL. Le droit du travail.
  • La charte informatique, son contenu et le processus de validation.
  • Comment mettre en place une charte informatique ?
  • Sa contribution dans la chaîne de la sécurité.

Travaux pratiques : Exemple de mise en place d’une charte informatique.

Conclusion

  • Les bonnes pratiques.
  • Les pièges à éviter.
  • Choisir les bons outils.
  • Le futur pour ces applications.

Paris - La Défense

contact@eternilab.com

+33 (0)1 84 20 09 71

©  2024 Eternilab. Construit avec WordPress et le thème Mesmerize