Donnez du sens à vos traces sécurité grâce à syslog-ng

Intervenant(s) : Peter Czanik

  • Langue : Anglais
  • Niveau : Confirmé
  • Type d'événement : Conférence
  • Date : Mercredi 5 juillet 2017
  • Horaire : 10h00
  • Durée : 40 minutes
  • Lieu : Room A 016 Sécurité

Vidéo : https://rmll.ubicast.tv/videos/salle-a-016-securite-05-07-17-100419_02507_part349_35875/

Public cible : GeeksProfessionnels

Les traces sont une des sources majeures d’informations dans le domaine de la Sécurité informatique. Syslog-ng collecte ces traces depuis différentes sources, réalise des analyses temps réel en les traitant et les filtrant, et les stocke ou les redirige pour des analyses ultérieures. Dans un monde idéal, toutes ces traces arrivent dans un format structuré, prêtes pour être analysées, générer des alertes ou alimenter des tableaux de bords. Mais dans le moden réel, seule une partie appartient à cette catégorie. La plupart des traces arrivent sous la forme de messages texte au format libre. Elles sont simples à lire par les humains ce qui était l’usage originel des traces. Cependant, désormais, ce type d’usage est plutôt rare. Heureusement, syslog-ng propose plusieurs outils pour transformer les messages structurés ou pas en un format nom-valeur permettant ainsi de bénéficier des apports des formats structurés. Un fois au format de paires nom-valeur, les messages de logs peuvent être enrichis en temps-réel avec des informations additionnelles qui aident à répondre aux incidents de sécurité plus rapidement. Un exemple est d’ajouter des informations de géolocalisation basées sur les adresses IP. Une autre est d’ajouter des informations provenant de sources externes comme le rôle d’un serveur en se basant sur son adresse IP ou le rôle de l’utilisateur en se basant là sur son nom. Les données externes peuvent aussi servir à filtrer les messages comme ceux des parefeux (sources : les listes noires d’adresses IP concernant les C&C de malwares, spammers etc). Les traces font l’objet d’un nombre croissant d’exigences de conformité. PCI-DSS ou de nombreuses lois européennes sur la vie privée exigent de supprimer les informations sensibles des traces. J’illustrerai comment les traces peuvent être anonymisées tout en les gardant exploitables dans un cadre d’analyse sécurité.
Je terminerai en vous exposant les bases de la configuration syslog-ng et vous montrerai comment les traces collectées peuvent être utilisées pour la levée d’alertes ou la génération de tableaux de bord.

Peter Czanik ,
Peter est un ingénieur système travaillant comme animateur de communauté chez Balabit, l’entreprise soutenant le développement du démon Syslog-ng. Il aide les distributions à maintenir les paquets syslog-ng, suit les gestionnaires de bugs, aide les utilisateurs de syslog-ng et participe régulièrement en tant que conférencier à des conférences comme SCALE, FOSDEM, RMLL, LOADays etc. Pendant son peu de temps libre, il s’intéresse aux architectures non x86, et travaille sur les architectures PowerPC et ARM.

titre documents joints

Slides (PDF - 3.7 Mo)