Elastic Stack Un SIEM OpenSource Complet Et Robuste.

2021-01-142021-01-14 BamaEmmanuel Aucun commentaire

Dans mes ressentes recherches dans le cadre de mise en œuvre de solution SIEM ( Security Information and Event Management ) j’ai découvert une suite de logiciel opensource nommée Elastic Stack qui facilite la mise place de SIEM.

Qu’es ce que Elastic Stack

Elastic Stack est un groupe de produits open source conçu pour récupérer les données “Logs” (de n’importe quelle source et dans n’importe quel format), les analyser et les visualiser afin de faire émerger des tendances en temps réel et facilite la détection des menaces.

Ce groupe de produits était historiquement désigné sous l’acronyme ELK (ElasticSearch, Logstash, Kibana). L’ajout d’un quatrième produit nommé “ Beats” a rendu l’acronyme imprononçable, ce qui a donné naissance à la nouvelle appellation Elastic Stack. Ce dernier peut être déployé sur site ou mis à disposition en tant que Software as a Service (SaaS).

Ces composants et rôles

Elasticsearch – La composante principale de Elastic Stack. Il fonctionne comme une base de données consultable pour les fichiers journaux.

Logstash – Canal de recherche de données. Il peut être configuré pour récupérer des données provenant de nombreuses sources différentes, puis pour les envoyer à Elasticsearch.

Kibana – Un outil de visualisation. Il utilise une interface de navigateur web pour organiser et afficher les données.

Beats – Il s’agit de petites applications de collecte de données, spécialisées pour des tâches individuelles. Des agents légers pour les logs écrits en Go. Il existe de nombreuses applications Beats différentes :