Mise en place d'un système de gestion centralisé des logs et des évènements « SIEM »

par Joseph DEMBELE
Université Centrale - Master professionnel mention Cybersécurité 2021

précédent sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

Chapitre III : Tests et évaluations

Figure 41 : Filtrage des authentifications réussies du 25/05/2021

Le sélecteur temporel est défini par défaut sur les 15 dernières minutes. Toutefois, on peut définir l'intervalle de temps exact qu'on veut visualiser. Cet intervalle peut être relatif ou absolu, c'est-à-dire qu'on peut spécifier l'année, le mois, le jour ainsi que l'heure à la milliseconde près. Il nous permet aussi de définir le temps de rechargement de l'index s'il est défini l'index sera rafraîchit selon le temps indiquer ceci n'est pas obligatoire.

Figure 42 : Paramétrage du sélecteur de temps selon le mode "Relative"

Chapitre III : Tests et évaluations

Figure 43 : Paramétrage du sélecteur de temps selon le mode "Absolute"

On peut créer des filtres de recherche et les enregistrer à l'aide de l'outil "+add filter" situé en dessous de la barre de recherche. Le filtre fonctionne directement suite à sa création et on peut le désactiver à tout moment. Un exemple de filtre est de rechercher les évènements venant de la machine serveur Elastic Stack.

Figure 44 : Exemple de filtre de recherche

Chapitre III : Tests et évaluations

2 Visualisation des données

Une image vaut mieux que 1 000 lignes de log, sur Kibana un onglet visualisation est prévu pour faire la visualisation de nos données, on touche ici au coeur de Kibana, il est constitué d'outils nous permettant d'agréger nos données et d'afficher les résultats sous formes de graphes, de courbes, de bâtons et de diagrammes circulaires. Pour plus d'information voir [6]

2.1 Création d'une visualisation sur Kibana

Toute idée de visualisation est réalisable, ça dépend juste de nos besoins et de notre imagination. Pour notre première visualisation on va afficher dans un « donut » (type de graphique circulaire en forme de donut) la machine qui a produit plus de log pendant la dernière semaine entre notre serveur et notre machine Ubuntu.

Pour se faire on se rend dans l'onglet "Visualize" qui se trouve dans "Analytics/Visualize/" puis "Create visualisation". Une fois dans cet onglet on voit les différents types de visualisation qu'on peut créer.

Figure 45 : Types de visualisation disponibles dans Kibana

Kibana propose des visualisations variées comme les : heatmaps, diagrammes en bâtons, graphiques en aires et bien d'autres types de visualisation. Nous pouvons remarquez dans la capture d'écran ci-dessous les types de visualisation qui existe sur Kibana et nous choisissons la visualisation Donut qui est la visualisation qui nous intéresse.

Chapitre III : Tests et évaluations

Figure 46 : Menu de sélection pour les types de visualisation

Une fois qu'on a choisi notre visualisation on peut maintenant glisser et déposer les champs qui doivent figurer dans notre visualisation. Pour notre cas l'étude se portera sur le nom des machines donc on est intéressé par le field "agent.hostname", on le choisit puis on fait un glissé déposé dans le champs prévu à droite.

Figure 47 : Première visualisation créée

Une fois notre visualisation créée on peut l'enregistrer puis l'utiliser après pour nos futurs dashboards.

Chapitre III : Tests et évaluations

précédent sommaire suivant

"En amour, en art, en politique, il faut nous arranger pour que notre légèreté pèse lourd dans la balance." Sacha Guitry