Dans mes ressentes recherches dans le cadre de mise en œuvre de solution SIEM ( Security Information and Event Management ) j’ai découvert une suite de logiciel opensource nommée Elastic Stack qui facilite la mise place de SIEM.
Qu’es ce que Elastic Stack
Elastic Stack est un groupe de produits open source conçu pour récupérer les données « Logs » (de n’importe quelle source et dans n’importe quel format), les analyser et les visualiser afin de faire émerger des tendances en temps réel et facilite la détection des menaces.
Ce groupe de produits était historiquement désigné sous l’acronyme ELK (ElasticSearch, Logstash, Kibana). L’ajout d’un quatrième produit nommé “ Beats” a rendu l’acronyme imprononçable, ce qui a donné naissance à la nouvelle appellation Elastic Stack. Ce dernier peut être déployé sur site ou mis à disposition en tant que Software as a Service (SaaS).
Ces composants et rôles
Elasticsearch – La composante principale de Elastic Stack. Il fonctionne comme une base de données consultable pour les fichiers journaux.
Logstash – Canal de recherche de données. Il peut être configuré pour récupérer des données provenant de nombreuses sources différentes, puis pour les envoyer à Elasticsearch.
Kibana – Un outil de visualisation. Il utilise une interface de navigateur web pour organiser et afficher les données.
Beats – Il s’agit de petites applications de collecte de données, spécialisées pour des tâches individuelles. Des agents légers pour les logs écrits en Go. Il existe de nombreuses applications Beats différentes :
- Filebeat
- Winlogbeat
- Packetbeat
- Auditbeat
- Functionbeat
- Journalbeat
- Communitybeat
Par exemple, Filebeat est utilisé pour collecter les fichiers journaux, tandis que Packetbeat est utilisé pour analyser le trafic réseau.
Aperçu du tableau de bord
J’ai recueilli pour vous des liens pour la mise en place de Elastic Stack
- https://www.chiheb-chebbi.com/elk/
- https://bit.ly/2LxUpmf
- https://do.co/39xUZbS
- https://bit.ly/3ianeRT
- https://bit.ly/3idtwA1
- https://bit.ly/2MWhfEw (ElastDocker)
Voilà c’est tout j’espère que vous allez l’expérimenter et partager votre retour d’expérience.
A bientôt !