Donnez du sens à vos traces sécurité grâce à syslog-ng

Display subtitles automatically

None
In the preferred language only when the video is using another
Always in the preferred language
Always in the original language of the video

Preferred language:

Qualities

UbiCast player x

Keyboard shortcuts

Key

Action

K or space

Play / Pause

Mute / Unmute

Select next subtitles

Select next audio track

Show slide in full page or toggle automatic source change

left arrow

Seek 5s backward

right arrow

Seek 5s forward

shift + left arrow or J

Seek 10s backward

shift + right arrow or L

Seek 10s forward

control + left arrow

Seek 60s backward

control + right arrow

Seek 60s forward

shift + down arrow

Decrease volume

shift + up arrow

Increase volume

shift + comma

Decrease playback rate

shift + dot or shift + semicolon

Increase playback rate

end

Seek to end

beginning

Seek to beginning

Loading Click here to add:

Information on this media

Number of views:

Creation date:

July 5, 2017

Speakers:

Peter Czanik

License:

CC BY SA v4

Description

Les traces sont une des sources majeures d’informations dans le domaine de la Sécurité informatique. Syslog-ng collecte ces traces depuis différentes sources, réalise des analyses temps réel en les traitant et les filtrant, et les stocke ou les redirige pour des analyses ultérieures. Dans un monde idéal, toutes ces traces arrivent dans un format structuré, prêtes pour être analysées, générer des alertes ou alimenter des tableaux de bords. Mais dans le moden réel, seule une partie appartient à cette catégorie. La plupart des traces arrivent sous la forme de messages texte au format libre. Elles sont simples à lire par les humains ce qui était l’usage originel des traces. Cependant, désormais, ce type d’usage est plutôt rare. Heureusement, syslog-ng propose plusieurs outils pour transformer les messages structurés ou pas en un format nom-valeur permettant ainsi de bénéficier des apports des formats structurés. Un fois au format de paires nom-valeur, les messages de logs peuvent être enrichis en temps-réel avec des informations additionnelles qui aident à répondre aux incidents de sécurité plus rapidement. Un exemple est d’ajouter des informations de géolocalisation basées sur les adresses IP. Une autre est d’ajouter des informations provenant de sources externes comme le rôle d’un serveur en se basant sur son adresse IP ou le rôle de l’utilisateur en se basant là sur son nom. Les données externes peuvent aussi servir à filtrer les messages comme ceux des parefeux (sources : les listes noires d’adresses IP concernant les C&C de malwares, spammers etc). Les traces font l’objet d’un nombre croissant d’exigences de conformité. PCI-DSS ou de nombreuses lois européennes sur la vie privée exigent de supprimer les informations sensibles des traces. J’illustrerai comment les traces peuvent être anonymisées tout en les gardant exploitables dans un cadre d’analyse sécurité.
Je terminerai en vous exposant les bases de la configuration syslog-ng et vous montrerai comment les traces collectées peuvent être utilisées pour la levée d’alertes ou la génération de tableaux de bord.

Peter Czanik ,
Peter est un ingénieur système travaillant comme animateur de communauté chez Balabit, l’entreprise soutenant le développement du démon Syslog-ng. Il aide les distributions à maintenir les paquets syslog-ng, suit les gestionnaires de bugs, aide les utilisateurs de syslog-ng et participe régulièrement en tant que conférencier à des conférences comme SCALE, FOSDEM, RMLL, LOADays etc. Pendant son peu de temps libre, il s’intéresse aux architectures non x86, et travaille sur les architectures PowerPC et ARM.

Line vers le programme des RMLL