Introduction

• La sécurité des Systèmes d'Information.
• Les problématiques de la supervision et des logs.
• Les possibilités de normalisation.
• Quels sont les avantages d'une supervision centralisée ?
• Les solutions du marché.

La collecte des informations

• L'hétérogénéité des sources. Qu'est-ce qu'un événement de sécurité ?
• Le Security Event Information Management (SIEM). Les événements collectés du SI.
• Les journaux système des équipements (firewalls, routeurs, serveurs, bases de données, etc.).
• La collecte passive en mode écoute et la collecte active.

Syslog

• Le protocole Syslog.
• La partie client et la partie serveur.
• Centraliser les journaux d'événements avec Syslog.
• Syslog est-il suffisant ? Avantages et inconvénients.

Le programme SEC

• Présentation de SEC (Simple Event Correlator).
• Le fichier de configuration et les règles.
• Comment détecter des motifs intéressants ?
• La corrélation et l'analyse avec SEC.

Le logiciel Splunk

• L'architecture et le framework MapReduce. Comment collecter et indexer les données ?
• Exploiter les données machine. L'authentification des transactions.
• L'intégration aux annuaires LDAP et aux serveurs Active Directory.
• Les autres logiciels du marché : Syslog, SEC (Simple Event Correlator), ELK (suite Elastic), Graylog, OSSIM, etc

La législation française

• La durée de conservation des logs. Le cadre d'utilisation et législation. La CNIL. Le droit du travail.
• La charte informatique, son contenu et le processus de validation.
• Comment mettre en place une charte informatique ?
• Sa contribution dans la chaîne de la sécurité.

Conclusion

• Les bonnes pratiques. Les pièges à éviter. Choisir les bons outils. Le futur pour ces applications.