Donnez du sens à vos traces sécurité grâce à syslog-ng
Action | Key |
---|---|
Play / Pause | K or space |
Mute / Unmute | M |
Select next subtitles | C |
Select next audio track | A |
Show slide in full page or toggle automatic source change | V |
Seek 5s backward | left arrow |
Seek 5s forward | right arrow |
Seek 10s backward | shift + left arrow or J |
Seek 10s forward | shift + right arrow or L |
Seek 60s backward | control + left arrow |
Seek 60s forward | control + right arrow |
Decrease volume | shift + down arrow |
Increase volume | shift + up arrow |
Decrease playback rate | shift + comma |
Increase playback rate | shift + dot or shift + semicolon |
Seek to end | end |
Seek to beginning | beginning |
Share this media
Download links
HLS video stream
You can use an external player to play this stream (like VLC).
HLS video streamWhen subscribed to notifications, an email will be sent to you for all added annotations.
Your user account has no email address.
Information on this media
Les traces sont une des sources majeures d’informations dans le domaine de la Sécurité informatique. Syslog-ng collecte ces traces depuis différentes sources, réalise des analyses temps réel en les traitant et les filtrant, et les stocke ou les redirige pour des analyses ultérieures. Dans un monde idéal, toutes ces traces arrivent dans un format structuré, prêtes pour être analysées, générer des alertes ou alimenter des tableaux de bords. Mais dans le moden réel, seule une partie appartient à cette catégorie. La plupart des traces arrivent sous la forme de messages texte au format libre. Elles sont simples à lire par les humains ce qui était l’usage originel des traces. Cependant, désormais, ce type d’usage est plutôt rare. Heureusement, syslog-ng propose plusieurs outils pour transformer les messages structurés ou pas en un format nom-valeur permettant ainsi de bénéficier des apports des formats structurés. Un fois au format de paires nom-valeur, les messages de logs peuvent être enrichis en temps-réel avec des informations additionnelles qui aident à répondre aux incidents de sécurité plus rapidement. Un exemple est d’ajouter des informations de géolocalisation basées sur les adresses IP. Une autre est d’ajouter des informations provenant de sources externes comme le rôle d’un serveur en se basant sur son adresse IP ou le rôle de l’utilisateur en se basant là sur son nom. Les données externes peuvent aussi servir à filtrer les messages comme ceux des parefeux (sources : les listes noires d’adresses IP concernant les C&C de malwares, spammers etc). Les traces font l’objet d’un nombre croissant d’exigences de conformité. PCI-DSS ou de nombreuses lois européennes sur la vie privée exigent de supprimer les informations sensibles des traces. J’illustrerai comment les traces peuvent être anonymisées tout en les gardant exploitables dans un cadre d’analyse sécurité.
Je terminerai en vous exposant les bases de la configuration syslog-ng et vous montrerai comment les traces collectées peuvent être utilisées pour la levée d’alertes ou la génération de tableaux de bord.
Peter Czanik ,
Peter est un ingénieur système travaillant comme animateur de communauté chez Balabit, l’entreprise soutenant le développement du démon Syslog-ng. Il aide les distributions à maintenir les paquets syslog-ng, suit les gestionnaires de bugs, aide les utilisateurs de syslog-ng et participe régulièrement en tant que conférencier à des conférences comme SCALE, FOSDEM, RMLL, LOADays etc. Pendant son peu de temps libre, il s’intéresse aux architectures non x86, et travaille sur les architectures PowerPC et ARM.
Other media in the channel "Sécurité : entre transparence et opacité"
- 27 viewsLes objets MISP et comment nous changeons le paysage du partage d’informations de SécuritéJuly 25th, 2017
- 37 viewsUne journée au coeur du SANS Internet Storm CenterJuly 26th, 2017
- 63 views, 1 this yearLe projet Armadito antivirusJuly 26th, 2017
- 93 viewsRespect de la vie privée et DNSJuly 26th, 2017
- 81 viewsLe routeur Turris Omnia, le centre libre et sécurisé de votre maisonJuly 26th, 2017
- 49 viewsDurcissement système à l’aide de systemdJuly 26th, 2017