Les principes d’un SIEM
- Objectifs d’un SIEM.
- Architecture et fonctionnalités.
- Syslog et centralisation des journaux.
- Présentation d’ELK.
Présentation et installation d'Elasticsearch, Logstash et Kibana
- Présentation et histoire d'Elasticsearch, Logstash et Kibana.
- Les prérequis d'installation. Installation type "as a Cloud".
- La mise en oeuvre d'Elasticsearch, Logstash et Kibana.
- La configuration d'Elasticsearch.
- Les principes clés de l'administration d'Elasticsearch.
- Le développement d'applications en utilisant Elasticsearch.
- L'impact d'Elasticsearch sur l'architecture et les applications existantes.
- Rôles de Logstash et de Kibana.
Travaux pratiques
Installation de la pile ELK
Fonctionnement d'Elasticsearch
- Présentation d'Apache Lucene.
- L'architecture et les concepts clés.
- Le format d'échange JSON par Service Container.
- L'API REST.
- Le scoring et la pertinence de requêtes.
- Le stockage de données et la recherche simple.
Travaux pratiques
Stockage de données dans Elasticsearch. Premières requêtes de recherche simples.
Possibilités offertes par Elasticsearch en tant que SIEM
- L'indexation des documents et des données.
- La recherche sur les documents et les données.
- L'analyse de documents et de données.
- Le calcul des listes de réponses.
- Le filtrage et le tri des résultats.
- Les suggestions de requêtes.
- Le surlignage des résultats.
Travaux pratiques
Manipulation et modification de l'indexation de données avec Elasticsearch. Mise en oeuvre de requêtes, de filtrage et de tri de résultats.
Indexer, chercher et visualiser des données et des documents
- Comment donner un sens aux données avec Elasticsearch et Kibana ?
- Démarche d'amélioration de l'indexation des données.
- Démarche d'amélioration des requêtes de recherche.
- La pertinence géographique des recherches.
- La percolation.
Travaux pratiques
Recherche de données avancées avec Elasticsearch.
La nouvelle solution : Elastic SIEM
- Présentation d’Elastic SIEM.
- Comparaison avec la pile ELK.
- Version installée vs services cloud.
Travaux pratiques
Installation d’Elastic SIEM.
L’espace de travail Elastic SIEM
- Catégorisation des évènements et premières investigations.
- Collecte et stockage des preuves d’attaques.
- Visualiser, rechercher, filtrer les données : "Kibana like".
Travaux pratiques
Prendre en main l’espace de travail.
Analyse des évènements de sécurité de l’hôte
- Les outils de visualisation de la bibliothèque Kibana.
- La vue "Hosts" de l’application SIEM.
- Interactions avec le Timeline Event Viewer.
- Collecte des données basée sur l'hôte, avec prise en charge de Sysmon dans Winlogbeat.
Travaux pratiques
Afficher et analyse les évènements de sécurité de l’hôte.
L'analyse des événements de sécurité réseau
- La vue "Network".
- Les tables d'événements réseau.
- Interactions avec le Timeline Event Viewer.
Travaux pratiques
Analyser des événements de sécurité réseau.
L'afficheur d'événements Timeline Event Viewer
- Présentation du Timeline Event Viewer.
- Créer des filtres de recherche par glisser déposer.
- Annoter des évènements, ajouter des commentaires.
Travaux pratiques
Suivre et analyser des évènements pour un objet donné.
5j
- 35 
