splunk

Les attaques sur les systèmes d’informations se multiplient. Toujours plus complexes, toujours plus nombreuses, il n’est pas simple de se protéger face à elles. C’est à ces problèmes que l’application Splunk enterprise for security essai de répondre.

Les principales fonctionnalités disponibles sont :

  • La corrélation automatisée : permet de visualiser les menaces en temps réel
  • Des rapports et indicateurs de sécurité : transformer les données brutes en graphique ou tableau de bord exportable au format PDF ou CSV
  • Un éditeur de recherches : des recherches guidées pour définir des indicateurs de sécurité ou de performance
  • Examen des incidents et classification : permet de classer les événements par gravité. On peut affecter un niveau (LOW, HIGH, CRITICAL par exemple) à une menace.
  • Corrélation entre l’identité des utilisateurs et les services : permet de suivre l’activité d’un utilisateur à travers ses différentes identités dans les différents services.

Ci-dessous quelques exemples de tableau de bord :

Un premier tableau de bord sur la position de sécurité. Il est basé sur une visualisation de type SOD et est totalement personnalisable. Une banque de module d’indicateurs est prédéfinie dans l’application. Il offre une vision globale de la situation de sécurité.

4

Le tableau de bord d’analyse de risque permet d’identifier les sources et l’impact des risques présents dans votre environnement. Pour plus de précision il est possible de leur définir une importance.

5

Le tableau de bord d’analyse des incidents vous permet de comprendre la gravité d’un incident, sa source, son type, les hôtes impliqués.

6

Pour compléter l’article voici une vidéo de démonstration de l’application :

[youtube]https://www.youtube.com/watch?v=TKUNJiTpwxU[/youtube]

 

Vincent M

Consultant Sécurité