Vous avez déjà un compte client ORSYS
Se connecter
Vous êtes nouveau chez ORSYS
Créer un compte
Vous ne souhaitez pas créer de compte
Poursuivre sans me connecter

Formation : SIEM Elasticsearch, Logstash et Kibana (ELK), Elastic SIEM

SIEM Elasticsearch, Logstash et Kibana (ELK), Elastic SIEM




Après avoir fait ses preuves dans la collecte et l’analyse de données volumineuses, la pile ELK a montré son utilité pour un usage en tant que SIEM. Cette formation vous montrera l’installation et l’usage d’ELK en tant que SIEM, mais aussi la nouvelle solution Elastic SIEM.


INTER
INTRA
SUR MESURE

Cours pratique en présentiel ou à distance
Disponible en anglais, à la demande

Réf. SII
  5j - 35
Prix : Nous contacter
Pauses-café et
déjeuners offerts

Télécharger le programme

Partager cette formation




Après avoir fait ses preuves dans la collecte et l’analyse de données volumineuses, la pile ELK a montré son utilité pour un usage en tant que SIEM. Cette formation vous montrera l’installation et l’usage d’ELK en tant que SIEM, mais aussi la nouvelle solution Elastic SIEM.


Objectifs pédagogiques
À l’issue de la formation, le participant sera en mesure de :
Comprendre les principes clés d'installation et de configuration d'ELK pour une utilisation en tant que SIEM
Savoir utiliser ELK pour indexer, chercher et visualiser des données
Superviser une architecture en centralisant les journaux en provenance des sondes et autres systèmes
Mettre en oeuvre la nouvelle solution Elastic SIEM

Public concerné
Toute personne amenée à utiliser ElasticSearch en tant que SIEM, et / ou la solution Elastic SIEM.

Prérequis
Connaissance de base de l’administration Unix ou Windows.
Vérifiez que vous avez les prérequis nécessaires pour profiter pleinement de cette formation en faisant  ce test.

Modalités d'évaluation
Le formateur évalue la progression pédagogique du participant tout au long de la formation au moyen de QCM, mises en situation, travaux pratiques…
Le participant complète également un test de positionnement en amont et en aval pour valider les compétences acquises.

Programme de la formation

1
Les principes d’un SIEM

  • Objectifs d’un SIEM.
  • Architecture et fonctionnalités.
  • Syslog et centralisation des journaux.
  • Présentation d’ELK.

2
Présentation et installation d'Elasticsearch, Logstash et Kibana

  • Présentation et histoire d'Elasticsearch, Logstash et Kibana.
  • Les prérequis d'installation. Installation type "as a Cloud".
  • La mise en oeuvre d'Elasticsearch, Logstash et Kibana.
  • La configuration d'Elasticsearch.
  • Les principes clés de l'administration d'Elasticsearch.
  • Le développement d'applications en utilisant Elasticsearch.
  • L'impact d'Elasticsearch sur l'architecture et les applications existantes.
  • Rôles de Logstash et de Kibana.
Travaux pratiques
Installation de la pile ELK

3
Fonctionnement d'Elasticsearch

  • Présentation d'Apache Lucene.
  • L'architecture et les concepts clés.
  • Le format d'échange JSON par Service Container.
  • L'API REST.
  • Le scoring et la pertinence de requêtes.
  • Le stockage de données et la recherche simple.
Travaux pratiques
Stockage de données dans Elasticsearch. Premières requêtes de recherche simples.

4
Possibilités offertes par Elasticsearch en tant que SIEM

  • L'indexation des documents et des données.
  • La recherche sur les documents et les données.
  • L'analyse de documents et de données.
  • Le calcul des listes de réponses.
  • Le filtrage et le tri des résultats.
  • Les suggestions de requêtes.
  • Le surlignage des résultats.
Travaux pratiques
Manipulation et modification de l'indexation de données avec Elasticsearch. Mise en oeuvre de requêtes, de filtrage et de tri de résultats.

5
Indexer, chercher et visualiser des données et des documents

  • Comment donner un sens aux données avec Elasticsearch et Kibana ?
  • Démarche d'amélioration de l'indexation des données.
  • Démarche d'amélioration des requêtes de recherche.
  • La pertinence géographique des recherches.
  • La percolation.
Travaux pratiques
Recherche de données avancées avec Elasticsearch.

6
La nouvelle solution : Elastic SIEM

  • Présentation d’Elastic SIEM.
  • Comparaison avec la pile ELK.
  • Version installée vs services cloud.
Travaux pratiques
Installation d’Elastic SIEM.

7
L’espace de travail Elastic SIEM

  • Catégorisation des évènements et premières investigations.
  • Collecte et stockage des preuves d’attaques.
  • Visualiser, rechercher, filtrer les données : "Kibana like".
Travaux pratiques
Prendre en main l’espace de travail.

8
Analyse des évènements de sécurité de l’hôte

  • Les outils de visualisation de la bibliothèque Kibana.
  • La vue "Hosts" de l’application SIEM.
  • Interactions avec le Timeline Event Viewer.
  • Collecte des données basée sur l'hôte, avec prise en charge de Sysmon dans Winlogbeat.
Travaux pratiques
Afficher et analyse les évènements de sécurité de l’hôte.

9
L'analyse des événements de sécurité réseau

  • La vue "Network".
  • Les tables d'événements réseau.
  • Interactions avec le Timeline Event Viewer.
Travaux pratiques
Analyser des événements de sécurité réseau.

10
L'afficheur d'événements Timeline Event Viewer

  • Présentation du Timeline Event Viewer.
  • Créer des filtres de recherche par glisser déposer.
  • Annoter des évènements, ajouter des commentaires.
Travaux pratiques
Suivre et analyser des évènements pour un objet donné.


Solutions de financement
Plusieurs solutions existent pour financer votre formation et dépendent de votre situation professionnelle.
Découvrez-les sur notre page Comment financer sa formation ou contactez votre conseiller formation.

Horaires
les cours ont lieu de 9h à 12h30 et de 14h à 17h30.
Les participants sont accueillis à partir de 8h45. Les pauses et déjeuners sont offerts.
Pour les stages pratiques de 4 ou 5 jours, quelle que soit la modalité, les sessions se terminent à 16h le dernier jour.