Splunk pour surveiller votre infrastructure Windows

splunk

Splunk dispose d’un magasin d’environs 900 applications. Une partie d’entre elles permet de surveiller vos infrastructures. Nous allons voir dans la suite de cet article quelques exemples d’applications de surveillance, en particulier les infrastructures Windows.

1.    L’application Splunk pour Active Directory :

De nombreuses entreprises s’appuient sur un annuaire Microsoft Active Directory pour gérer les comptes utilisateurs, les mots de passes et leurs privilèges. L’application Splunk pour Active Directory vous permet de surveiller en temps réel la santé de votre forêt. Vous pourrez donc voir :

  • Les changements liés aux GPO, utilisateurs et groupes
  • Des statistiques détaillées sur tous les objets de votre AD. De la forêt à des comptes utilisateurs ou d’ordinateurs
  • Surveiller les failles de sécurité potentielles et les comportements non conformes (trop d’échecs d’authentification, …)

Ci-dessous, un aperçu de l’application :

1

2.    L’application Splunk pour Microsoft Exchange :

Les services de mails sont la clé de voute de la communication dans les entreprises. Une interruption de service et c’est le contact avec vos client et collaborateurs qui est rompu. L’application splunk pour Microsoft Exchange est là pour vous aider à surveiller en temps réel les performances de votre infrastructure de mail.

Les principales fonctionnalités offertes par cette application sont :

  • Des outils de corrélation prêts à l’emploi : des rapports sur l’ensemble du service de messagerie permettent de comprendre rapidement les relations entre les données de performance et de santé avec les événements de sécurité
  • Un éditeur de tableau de bord : vous pouvez créer rapidement des rapports personnalisés
  • Des tableaux de bord opérationnels : les données des rapports illustrées sous forme de graphique pour une meilleure compréhension
  • Une surveillance du comportement des utilisateurs : visibilité détaillée sur l’utilisation du service (méthode d’accès, système d’exploitation, navigateur, emplacement, statistique d’utilisation de la boite de réception). Les administrateurs peuvent détecter les problèmes et agir de manière proactive. Par exemple, pour une boite de réception qui va dépasser son quota.

Ci-dessous un exemple de tableau de bord opérationnel personnalisé :

2

3.    L’application splunk pour les infrastructures Windows

La surveillance d’une infrastructure Windows peut se révéler une tâche lourde et compliquée. L’application exploite la puissance de Splunk enterprise et les informations recueillis sur les postes Windows et l’annuaire Active Directory pour obtenir une vision globale de votre infrastructure.

Les fonctionnalités de l’application sont les suivantes :

  • La corrélation : des rapports et tableaux de bord prédéfinis permettent d’identifier facilement les relations entre la performance, la santé et les événements de sécurité
  • Un générateur de tableaux de bord personnalisé
  • Le rapport de topologie : une vue unique sur tout la forêt Active directory
  • L’audit : fournit des statistiques en temps réel sur le fonctionnement des composants (événements Windows, CPU, mémoire, mise à jour Windows, …)
  • La visualisation des changements des objets de la forêt Active Directory
  • Surveiller la sécurité de la forêt Active Directory : Affiche par exemple, au travers d’un rapport, les échecs d’authentification. Ils pourraient correspondre à un attaque par brute force

Ci-dessous, un aperçu d’un tableau de bord issu de l’application :

3

Vincent M

Consultant Sécurité