Cover Image

Tips : Supervision du bastion Teleport

Nous allons voir aujourd’hui comment mettre en place la supervision de Teleport. Teleport est un bastion disponible en OpenSource qui permet de faire du contrôle d’accès de vos ressources.

Afin de pouvoir effectuer les différentes actions de cet article et donc les tester, il va vous falloir les prérequis suivants :

  • un serveur avec l’application Teleport installée et fonctionnelle ;
  • Un collecteur QRadar (typiquement le All-in-One QRadar CE donc je vous ai présenté l’installation ici) ;
  • Le flux TCP vers le port 514 ouvert (ou un autre port) depuis le serveur où il y a l’application Teleport vers le serveur QRadar.

...

Cover Image

Tips : Supervision d’un serveur OpenSSH Windows

Bonjour à tous, je vous présente dans cet article comment mettre en place un serveur SSH sur votre machine Windows mais également comment le superviser à l’aide d’un agent WinCollect et de l’outil d’IBM QRadar.

Pour pouvoir effectuer les différentes actions de cet article, il va vous falloir les prérequis suivants pour pouvoir tester :

  • Une machine Windows avec un agent WinCollect en mode “managed“
  • Un collecteur QRadar (typiquement le All-in-One QRadar CE donc je vous ai présenté l’installation ici)

...

Cover Image

Développer votre première application QRadar

Bonjour à tous, vous avez dû voir, au travers de tous les articles parlant de l’environnement IBM QRadar, plusieurs applications parmi lesquelles :

  • Log Source Management
  • Extension Center
  • Pulse

Toutes ces applications ont en commun qu’elles sont des additions à votre QRadar, c’est-à-dire que vous pouvez les ajouter ou non selon votre utilisation. Comme pour beaucoup de contenus additionnels sur les logiciels, la communauté est très présente et, avec l’aide d’outils mis à disposition par IBM, développe en parallèle des contenus rendant encore plus agréable l’utilisation de QRadar.

Sans rentrer dans les détails de la partie développement dans cet article, nous allons voir comment il vous est possible de commencer à mettre les mains dans cet univers pour avoir, à termes, vos propres applications.

...

Cover Image

Tips : Supervision du firewall Windows

Bonjour à tous, nous allons voir dans cet article comment collecter les événements du firewall Windows sur QRadar. Ces événements vont nous permettre d’avoir une meilleure visualisation de la partie réseau sur un poste de travail ou un serveur, notamment quand les équipements réseaux ne sont pas accessibles à la collecte ou qu’il n’y en a pas.

Cette mise en place va se faire en 2 parties, dans un premier temps nous allons activer le logging sur la machine Windows, ensuite nous irons configurer la partie QRadar pour que tout fonctionne et soit compris.

Vous verrez dans la partie Mise en place côté QRadar que nous utilisons un WinCollect pour récupérer les événements de l’équipement Windows. Je ne vais pas revenir sur l’installation de ce dernier, pour cela je vous renvoie vers mon article sur les collectes de base dans QRadar : Comment surveiller vos équipements.

...

Cover Image

Tips : Supervision du firewall Linux

Bonjour à tous, dans cet article nous allons voir comment superviser les logs réseaux du logiciel présent sur le distribution Linux, à savoir “iptables”. En effet, il est très important d’avoir une visibilité sur les flux réseaux qui arrivent et qui sortent de vos équipements. D’un point de vue sécurité, cela permet d’identifier des communications vers des serveurs avec une mauvaise réputation ou encore d’être en mesure de détecter une machine qui pourrait scanner votre serveur. D’un autre côté, cela peut également servir à des fins de débug.

Vous allez au travers de cet article apprendre comment mettre en place cette collecte mais également comme faire en sorte que ce qui arrive dans QRadar soit correctement compris et que cela puisse matcher avec vos règles de détection.

...

Cover Image

Collecte de logs Synology #3 : Création de règles de détection

Nous voici dans le dernier article de cette série sur la supervision des logs de votre NAS Synology. Nous avons vu précédemment comment mettre en place la collecte côté NAS et ensuite comment parser et mapper correctement les événements côté QRadar. Dans ce dernier article, nous allons créer une règle de détection maintenant que nous avons tout en main pour le faire.

Nous allons voir ici comment superviser les cas d’accès excessifs aux fichiers, ce sont des scenarii qu’il est très important de superviser pour détecter les exfiltrations de fichiers.

...