S'inscrire
section-icon

Forums

Parlez de tout ce que vous voulez!

18/03/2025 à 22h41
#17560
Admin
avatar-image

Shiloh

@shiloh

Maître des clés

    Salut !

    1. Collecte des logs
    Splunk reçoit des logs de différentes sources : pare-feu, IDS/IPS, EDR, proxy, SIEM, etc.
    Ces logs sont ingérés en temps réel via des forwarders ou en collecte directe via des API.

    2. Indexation et stockage
    Les logs sont indexés et stockés selon leur timestamp et des catégories prédéfinies (sourcetype, host, source).
    Ils sont organisés dans des indexes pour faciliter les recherches et la rétention des données.

    3. Recherche et analyse
    Les analystes SOC utilisent SPL (Search Processing Language) pour interroger les logs et identifier des comportements suspects.
    Exemple :
    index=firewall source="firewall.log" action=blocked
    On peut filtrer par adresse IP, utilisateur, type d’attaque.

    4. Détection et alertes
    Splunk ES (Enterprise Security) ajoute une couche SIEM avec des correlations searches (règles de détection avancées).
    Dès qu’un indicateur de compromission (IOC) est détecté, une alerte est générée.

    5. Dashboards et visualisation
    Les analystes créent des dashboards dynamiques pour surveiller l’état du réseau.

    Exemples :
    Taux de connexions suspectes.
    Tentatives de connexion échouées par utilisateur.
    Trafic anormal vers des IP malveillantes.

    6. Réponse à incident
    Une fois une alerte générée, le SOC analyse les logs et corrèle avec d’autres événements.
    Ils lancent une enquête avec des requêtes plus poussées pour confirmer ou infirmer une menace.
    Exemples :
    Pivot sur une IP ou un hash de fichier malveillant.
    Extraction des logs bruts pour reconstituer l’attaque.

    7. Automatisation et SOAR
    Pour les tâches répétitives, Splunk s’intègre avec un SOAR (ex: Splunk Phantom).
    Ça permet d’automatiser certaines réponses (ex: isoler un endpoint, bloquer une IP).

    👉 En résumé :
    Dans un SOC, Splunk sert à collecter, analyser, détecter et répondre aux incidents. Un bon analyste doit maîtriser SPL, comprendre les logs et leurs sources, et savoir coréler des événements pour remonter aux vrais incidents.

    Si tu veux t’entraîner, essaye Splunk Free ou des playgrounds en ligne ! 🚀