Cover Image

Tips : Logger vos actions dans Trello

- Reading time: 12 minutes - | FR | Tips | Trello |

Vous allez découvrir dans cet article la collecte de logs… d’un point de vue organisationnel. En effet, nous n’allons pas aborder les aspects de sécurité dans cet article mais comment logger vos actions dans l’outil d’organisation “Trello”. C’est un outil que j’utilise au quotidien et pour avoir un suivi plus macro de tous les sujets, j’utilise un système d’enregistrement de mes actions assez basique mais qui permet par la suite de faire le point sur les actions qui ont pris le plus de temps…

Bien entendu, Trello est un outil qui dans sa version payante permet de faire ce genre d’actions et bien plus encore, mais vous allez voir ici qu’avec la version gratuite et en à peine 10 minutes de configuration, vous pourrez avoir un système d’enregistrement des actions amplement suffisant pour un début.

...

Cover Image

Développer votre première application QRadar

- Reading time: 8 minutes - | FR | Tips | QRadar |

Bonjour à tous, vous avez dû voir, au travers de tous les articles parlant de l’environnement IBM QRadar, plusieurs applications parmi lesquelles :

  • Log Source Management
  • Extension Center
  • Pulse

Toutes ces applications ont en commun qu’elles sont des additions à votre QRadar, c’est-à-dire que vous pouvez les ajouter ou non selon votre utilisation. Comme pour beaucoup de contenus additionnels sur les logiciels, la communauté est très présente et, avec l’aide d’outils mis à disposition par IBM, développe en parallèle des contenus rendant encore plus agréable l’utilisation de QRadar.

Sans rentrer dans les détails de la partie développement dans cet article, nous allons voir comment il vous est possible de commencer à mettre les mains dans cet univers pour avoir, à termes, vos propres applications.

...

Cover Image

Tips : Supervision du firewall Windows

- Reading time: 13 minutes - | FR | Tips | QRadar | Windows |

Bonjour à tous, nous allons voir dans cet article comment collecter les événements du firewall Windows sur QRadar. Ces événements vont nous permettre d’avoir une meilleure visualisation de la partie réseau sur un poste de travail ou un serveur, notamment quand les équipements réseaux ne sont pas accessibles à la collecte ou qu’il n’y en a pas.

Cette mise en place va se faire en 2 parties, dans un premier temps nous allons activer le logging sur la machine Windows, ensuite nous irons configurer la partie QRadar pour que tout fonctionne et soit compris.

Vous verrez dans la partie Mise en place côté QRadar que nous utilisons un WinCollect pour récupérer les événements de l’équipement Windows. Je ne vais pas revenir sur l’installation de ce dernier, pour cela je vous renvoie vers mon article sur les collectes de base dans QRadar : Comment surveiller vos équipements.

...

Cover Image

Tips : Supervision du firewall Linux

- Reading time: 13 minutes - | FR | Tips | QRadar | Linux |

Bonjour à tous, dans cet article nous allons voir comment superviser les logs réseaux du logiciel présent sur le distribution Linux, à savoir “iptables”. En effet, il est très important d’avoir une visibilité sur les flux réseaux qui arrivent et qui sortent de vos équipements. D’un point de vue sécurité, cela permet d’identifier des communications vers des serveurs avec une mauvaise réputation ou encore d’être en mesure de détecter une machine qui pourrait scanner votre serveur. D’un autre côté, cela peut également servir à des fins de débug.

Vous allez au travers de cet article apprendre comment mettre en place cette collecte mais également comme faire en sorte que ce qui arrive dans QRadar soit correctement compris et que cela puisse matcher avec vos règles de détection.

...

Cover Image

Collecte de logs Synology #3 : Création de règles de détection

- Reading time: 12 minutes - | FR | Series | QRadar | Synology |

Nous voici dans le dernier article de cette série sur la supervision des logs de votre NAS Synology. Nous avons vu précédemment comment mettre en place la collecte côté NAS et ensuite comment parser et mapper correctement les événements côté QRadar. Dans ce dernier article, nous allons créer une règle de détection maintenant que nous avons tout en main pour le faire.

Nous allons voir ici comment superviser les cas d’accès excessifs aux fichiers, ce sont des scenarii qu’il est très important de superviser pour détecter les exfiltrations de fichiers.

...

Cover Image

Collecte de logs Synology #2 : Création d’un DSM QRadar

- Reading time: 12 minutes - | FR | Series | QRadar | Synology |

Bonjour à tous, voici le deuxième article de la séries consacrée à la collecte des événements sur les équipements Synology. Nous avons vu dans le précédent article comment mettre en place l’envoi des logs via syslog-ng. Maintenant nous allons nous intéresser à la partie qui va permettre d’avoir des logs utilisables dans QRadar, je parle du parsing et du mapping.

Je ne vais pas rentrer dans les détails du parsing et du mapping car je l’ai déjà fait dans un article consacré à ce sujet que vous retrouverez ici.

A noter également que je vais présenter en détail la construction d’un DSM Custom uniquement pour la partie “fichier” sur les NAS. Il y a plusieurs raisons à cela :

  1. La construction de ce DSM est un bon contenu pour apprendre les bases
  2. La supervision des actions sur les fichier pour un NAS, c’est un point crucial à avoir

...