Salut !
1. Collecte des logs
Splunk reçoit des logs de différentes sources : pare-feu, IDS/IPS, EDR, proxy, SIEM, etc.
Ces logs sont ingérés en temps réel via des forwarders ou en collecte directe via des API.
2. Indexation et stockage
Les logs sont indexés et stockés selon leur timestamp et des catégories prédéfinies (sourcetype, host, source).
Ils sont organisés dans des indexes pour faciliter les recherches et la rétention des données.
3. Recherche et analyse
Les analystes SOC utilisent SPL (Search Processing Language) pour interroger les logs et identifier des comportements suspects.
Exemple :
index=firewall source="firewall.log" action=blocked
On peut filtrer par adresse IP, utilisateur, type d’attaque.
4. Détection et alertes
Splunk ES (Enterprise Security) ajoute une couche SIEM avec des correlations searches (règles de détection avancées).
Dès qu’un indicateur de compromission (IOC) est détecté, une alerte est générée.
5. Dashboards et visualisation
Les analystes créent des dashboards dynamiques pour surveiller l’état du réseau.
Exemples :
Taux de connexions suspectes.
Tentatives de connexion échouées par utilisateur.
Trafic anormal vers des IP malveillantes.
6. Réponse à incident
Une fois une alerte générée, le SOC analyse les logs et corrèle avec d’autres événements.
Ils lancent une enquête avec des requêtes plus poussées pour confirmer ou infirmer une menace.
Exemples :
Pivot sur une IP ou un hash de fichier malveillant.
Extraction des logs bruts pour reconstituer l’attaque.
7. Automatisation et SOAR
Pour les tâches répétitives, Splunk s’intègre avec un SOAR (ex: Splunk Phantom).
Ça permet d’automatiser certaines réponses (ex: isoler un endpoint, bloquer une IP).
👉 En résumé :
Dans un SOC, Splunk sert à collecter, analyser, détecter et répondre aux incidents. Un bon analyste doit maîtriser SPL, comprendre les logs et leurs sources, et savoir coréler des événements pour remonter aux vrais incidents.
Si tu veux t’entraîner, essaye Splunk Free ou des playgrounds en ligne ! 🚀
