Détection d’Attaque de Hameçonnage Utilisant ELK

Qu’est-ce que SIEM?

SIEM est l’acronyme de Security Information and Event Management. Il s’agit d’une solution logicielle qui fournit une analyse en temps réel des alertes de sécurité générées par les équipements réseau et les applications. SIEM collecte les données de journalisation provenant de plusieurs sources telles que les dispositifs réseau, les serveurs et les applications, puis corrèle et analyse ces données pour identifier les menaces de sécurité.

SIEM peut aider les organisations à améliorer leur posture de sécurité en offrant une vue centralisée des événements de sécurité à travers toute l’infrastructure informatique. Il permet aux analystes de sécurité d’identifier rapidement et de réagir aux incidents de sécurité et fournit des rapports détaillés pour des fins de conformité.

Parmi les principales fonctionnalités des solutions SIEM figurent :

1. Collecte et analyse des journaux
2. Corrélation et alerte en temps réel
3. Analytique du comportement des utilisateurs et des entités
4. Intégration de l’intelligence des menaces
5. Rapports de conformité

SIEM est souvent utilisé conjointement avec d’autres solutions de sécurité, telles que les pare-feux, les systèmes de détection d’intrusion et les logiciels antivirus, pour fournir des capacités de surveillance de la sécurité complète et de réponse aux incidents.

Qu’est-ce que ELK?

ELK est un acronyme pour un ensemble d’outils open-source utilisés pour la gestion et l’analyse des journaux : Elasticsearch, Logstash et Kibana.

Elasticsearch est un moteur de recherche et d’analyse distribué qui fournit une recherche rapide et un stockage efficace de grandes quantités de données. Il est conçu pour être évolutif et peut gérer un grand nombre de requêtes et d’opérations d’indexation en temps réel.

Logstash est un outil de collecte et de traitement des données qui vous permet de collecter les journaux et d’autres données à partir de plusieurs sources, telles que les fichiers journaux, syslog, et d’autres sources de données, et de transformer et enrichir les données avant de les envoyer à Elasticsearch.

Kibana est une interface utilisateur web qui vous permet de visualiser et d’analyser les données stockées dans Elasticsearch. Il offre une gamme de visualisations interactives, telles que les graphiques linéaires, les graphiques à barres et les heatmaps, ainsi que des fonctionnalités telles que les tableaux de bord et les alertes.

Ensemble, ces trois outils forment une plateforme puissante pour la gestion et l’analyse des journaux et d’autres types de données, communément appelée la pile ELK ou Elastic stack. La pile ELK est largement utilisée dans les opérations informatiques, la surveillance de la sécurité et l’analyse commerciale pour tirer des informations de grandes quantités de données.

Ingestion de données SIEM vers ELK

L’ingestion de données SIEM dans la pile ELK peut être utile pour les organisations qui souhaitent combiner les capacités de gestion des événements de sécurité de SIEM avec les fonctionnalités de gestion et d’analyse des journaux de ELK.

Voici les étapes de haut niveau pour ingérer des données SIEM dans ELK:

1. Configurer le SIEM pour envoyer les données de journal à Logstash, qui fait partie de la pile ELK.
2. Créez un fichier de configuration Logstash qui définit l’entrée, les filtres et la sortie des données du SIEM.
3. Démarrez Logstash et vérifiez qu’il reçoit et traite correctement les données du SIEM.
4. Configurez Elasticsearch pour recevoir et stocker les données du SIEM.
5. Créez des visualisations et des tableaux de bord Kibana pour afficher les données du SIEM.

Voici un exemple de fichier de configuration Logstash qui reçoit des messages Syslog d’un SIEM et les envoie à Elasticsearch:

	input {
	  syslog {
	    type => "syslog"
	    port => 5514
	  }
	}
	filter {
	  if [type] == "syslog" {
	    grok {
	      match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
	      add_field => [ "received_at", "%{@timestamp}" ]
	      add_field => [ "received_from", "%{host}" ]
	    }
	  }
	}
	
	output {
	  elasticsearch {
	    hosts => ["localhost:9200"]
	    index => "siem"
	  }
}

Une fois que Logstash est configuré et en cours d’exécution, les données du SIEM seront ingérées dans Elasticsearch et peuvent être visualisées et analysées dans Kibana. Il est important de s’assurer que les mesures de sécurité appropriées sont en place pour protéger l’environnement SIEM et ELK, et de surveiller et d’alerter sur tout événement de sécurité.

Détecter une tentative d’hameçonnage d’hôte

La détection de tentatives d’hameçonnage d’hôte à l’aide du SIEM dans ELK implique la surveillance et l’analyse des journaux système et du trafic réseau pour identifier une activité suspecte qui pourrait indiquer une tentative d’hameçonnage. Voici les étapes de haut niveau pour mettre en place la détection de tentatives d’hameçonnage d’hôte à l’aide du SIEM dans ELK:

• Configurez les hôtes pour envoyer les journaux système et le trafic réseau à un système de collecte de journaux centralisé.
• Configurez Logstash pour recevoir et analyser les données de journaux et de trafic réseau des hôtes.
• Configurez Elasticsearch pour stocker les données de journal analysées.
• Utilisez Kibana pour analyser les données de journal et créer des tableaux de bord et des alertes pour identifier d’éventuelles tentatives d’hameçonnage.

Voici quelques techniques spécifiques qui peuvent être utilisées pour détecter les tentatives d’hameçonnage d’hôte:

• Surveiller les tentatives de connexion échouées : Cherchez des tentatives de connexion échouées répétées à partir d’une même adresse IP, ce qui peut indiquer une attaque par force brute. Utilisez Logstash pour analyser les journaux système des événements de connexion échouée et créez un tableau de bord ou une alerte Kibana pour surveiller les tentatives de connexion échouées excessives.
• Surveiller le trafic réseau suspect : Cherchez du trafic réseau en provenance ou à destination d’adresses IP ou de domaines connus comme malveillants. Utilisez Logstash pour analyser les données de trafic réseau et créez un tableau de bord ou une alerte Kibana pour surveiller les modèles de trafic suspects.
• Surveiller les modifications du système de fichiers : Cherchez des modifications non autorisées des fichiers système ou des paramètres. Utilisez Logstash pour analyser les événements de modification du système de fichiers et créez un tableau de bord ou une alerte Kibana pour surveiller les modifications non autorisées.
• Surveiller l’activité des processus suspects : Cherchez des processus qui s’exécutent avec des privilèges élevés ou qui effectuent des actions inhabituelles. Utilisez Logstash pour analyser les événements des processus et créez un tableau de bord ou une alerte Kibana pour surveiller l’activité des processus suspects.

En mettant en œuvre ces techniques et en surveillant régulièrement les journaux et le trafic réseau, les organisations peuvent améliorer leur capacité à détecter et réagir aux tentatives d’intrusion sur les hôtes en utilisant SIEM dans ELK.

Configurer une alerte dans ELK pour détecter une tentative d’intrusion sur un hôte

Pour configurer une alerte dans ELK pour détecter une tentative d’intrusion sur un hôte, vous pouvez suivre ces étapes générales :

• Créez une requête de recherche dans Kibana qui filtre les journaux pour les événements de tentative d’intrusion sur un hôte. Par exemple, vous pouvez utiliser la requête de recherche suivante pour détecter les tentatives de connexion échouées :

from elasticsearch import Elasticsearch

es = Elasticsearch()

search_query = {
  "query": {
    "bool": {
      "must": [
        {
          "match": {
            "event.dataset": "auth"
          }
        },
        {
          "match": {
            "event.action": "failed_login"
          }
        }
      ]
    }
  }
}

res = es.search(index="siem", body=search_query)

for hit in res['hits']['hits']:
    print(hit['_source'])

• Une fois que vous avez créé votre requête de recherche, enregistrez-la en tant que recherche enregistrée Kibana.
• Accédez à l’interface Kibana Alerts and Actions et créez une nouvelle alerte. Choisissez la recherche enregistrée que vous avez créée à l’étape 2 comme base de l’alerte.

• Configurez l’alerte pour qu’elle se déclenche lorsqu’un certain seuil est atteint. Par exemple, vous pouvez configurer l’alerte pour qu’elle se déclenche lorsqu’il y a plus de 5 tentatives de connexion échouées dans une fenêtre de 5 minutes.
• Configurez l’alerte pour qu’elle envoie une notification, telle qu’un e-mail ou un message Slack, lorsqu’elle se déclenche.
• Testez l’alerte pour vous assurer qu’elle fonctionne comme prévu.

Une fois l’alerte configurée, elle se déclenchera automatiquement lorsqu’elle détectera un événement d’attaque par hameçonnage, tel qu’une tentative de connexion échouée. Cela peut aider les organisations à détecter et à réagir aux menaces de sécurité de manière efficace et efficace. Il est important de revoir et d’actualiser régulièrement vos alertes pour vous assurer qu’elles détectent les événements de sécurité les plus pertinents et importants.

Conclusion

L’utilisation d’ELK pour détecter les tentatives d’hameçonnage des hôtes est une approche efficace pour améliorer la posture de sécurité d’une organisation. ELK offre une combinaison puissante de collecte de journaux, de parsing, de stockage, d’analyse et de capacités d’alerte, ce qui permet aux organisations de détecter et de réagir aux tentatives d’hameçonnage des hôtes en temps réel.

En surveillant les journaux système et le trafic réseau, et en utilisant des requêtes de recherche avancées et des mécanismes d’alerte, ELK peut aider les organisations à détecter un large éventail de tentatives d’hameçonnage des hôtes, y compris les tentatives de connexion échouées, le trafic réseau suspect, les modifications du système de fichiers et l’activité de processus suspecte.

Mettre en place une stratégie robuste de détection d’attaques de piratage d’hôtes à l’aide d’ELK nécessite une planification, une configuration et des tests minutieux. Cependant, avec la bonne expertise et les outils adéquats, les organisations peuvent créer un système de surveillance de la sécurité complet qui offre une visibilité en temps réel sur leur réseau, améliore les temps de réponse aux incidents et contribue à prévenir les violations de sécurité avant qu’elles ne se produisent.