Collecte de logs Synology #1 : Configuration du syslog

- Reading time: 26 minutes - | FR | Series | Synology | QRadar |

Bonjour à tous, nous voici dans cette nouvelle série d’articles axée sur la collecte d’événements ainsi que la mise en place de scenarii pour les équipements NAS Synology.

En effet, ces équipements sont de plus en plus utilisés par les petites entreprises comme par les particuliers mais je n’ai pas trouvé de solution satisfaisante à la supervision de ce qu’il se passait sur vos NAS.

J’ai donc décidé de partir de zéro et à la suite de cette série vous serez à même de pouvoir faire pareil et ainsi superviser les création, modification ou encore suppression de fichiers mais également contrôler les connexions à votre serveur VPN hébergé sur votre NAS.

Enfin, pour conclure avant la partie technique voici comment va s’articuler la série :

  1. Comment récupérer les logs sur votre NAS
  2. Comment collecter les logs sur QRadar
  3. Créer des règles de détection

...

Cover Image

Utiliser l’Experience Center pour tester vos règles

- Reading time: 21 minutes - | FR | Tips | QRadar |

Dans le dernier article de la série autour de la création d’un mini-SOC, nous avons vu comment créer des règles de détection pour pouvoir détecter les méchantes personnes qui veulent du mal à vos pauvres machines ou sites web.

Néanmoins dans l’article, je vous présentais directement une solution fonctionnelle sans plus de tests que cela. C’est parce que j’ai préféré réserver tout un article sur la face cachée derrière le développement d’une règle de détection, les tests, les ajustements, les échecs… parce que oui parfois, ce que l’on pense être correct s’avère ne pas l’être et il faut pouvoir analyser pourquoi ?

Pour répondre à cette question, il existe plusieurs moyens et je ne vais pas tous vous les décrire pour la simple et bonne raison que je ne les ai pas tous assez éprouvés pour être en mesure de les juger. De plus, le moyen que j’ai choisi est souvent, de mon expérience, négligé par les utilisateurs de la solution QRadar.

Ce moyen n’est autre que l’extension "Experience Center". Rentrons tout de suite dans le vif du sujet avec l’installation.

...

Cover Image

Comment surveiller vos équipements #5 – Scénarios de détection

- Reading time: 16 minutes - | FR | Series | QRadar |

Dans ce dernier volet de la série axée autour de la construction d’un mini-SOC utilisant QRadar CE, nous allons voir comme détecter des attaques perpétrées sur vos équipements. Pour cela nous allons créer des règles de détection qui vont générer des alertes quand toutes les conditions définies sont réunies.

...

Cover Image

Comment surveiller vos équipements #4 – Les bases de l’AQL

- Reading time: 19 minutes - | FR | Series | QRadar |

Nous voici déjà dans ce quatrième volet de cette série autour de la collecte de logs. Nous avons dès à présent, mis la collecte sur l'ensemble des équipements de notre/votre SI, qu'ils soient classiques et standardisés mais également les plus à la marge.

Maintenant que nous avons tous ces logs, il va falloir les manipuler et les exploiter pour pouvoir en apprendre un peu plus mais également pouvoir détecter les premiers comportements suspects.

...

Cover Image

Comment surveiller vos équipements #3 – DSM personnalisé

- Reading time: 14 minutes - | FR | Series | QRadar |

Nous voici déjà dans le troisième volet de cette série autour de la collecte de logs. Après avoir établi les bases de la collecte, à savoir :

  1. Mettre en place l'outil de collecte et les premières configurations sur cet outil
  2. Mettre en place la collecte sur les équipements informatiques usuels : Windows, Linux

Nous allons voir comment il est possible de collecter des équipements non standards. Avant d'aller plus dans les détails il faut parler rapidement de ce qu'est un DSM pour "Device Support Module", c'est un bout de code qui va analyser les événements reçus pour en extraire les champs standards en fonction du type d'équipement qui envoie les logs.

Il existe un DSM pour chaque type d'équipement collecté, par exemple il en existe un pour Linux OS, un autre pour Apache2… Malheureusement, il n'existe pas de DSM pour tout, et c'est là qu'il faut se mettre au travail et en faire un personnalisé.

Nous allons, non seulement, récupérer les logs correctement (le parsing), mais également leur attribuer des événements associés en fonction de plusieurs paramètres (le mapping).

...

Cover Image

Comment surveiller vos équipements #2 – Premières collectes

- Reading time: 30 minutes - | FR | Series | QRadar | Windows | Linux |

Ça y est votre QRadar est fonctionnel, nous allons maintenant mettre en place la surveillance sur des équipements classique que sont :

  • Une machine Windows
  • Une machine Linux
  • Un serveur Apache2 (très pratique quand on a un petit blog 😏)

Pour cela vous pouvez utiliser des machines virtuelles ou des machines existantes parmi vos équipements personnels.

Dans mon cas je vais mettre en place la surveillance sur ma machine Windows personnel et mon VPS Linux hébergé dans le cloud. Et oui ! vous pouvez surveiller vos équipements en dehors de chez vous, pour cela il faudra juste vous armez de votre "Le Réseau pour les Nuls" et faire quelques configurations sur votre box internet.

...