X·STAZE

Tips : Supervision du bastion Teleport

Nous allons voir aujourd’hui comment mettre en place la supervision de Teleport. Teleport est un bastion disponible en OpenSource qui permet de faire du contrôle d’accès de vos ressources.

Afin de pouvoir effectuer les différentes actions de cet article et donc les tester, il va vous falloir les prérequis suivants :

• un serveur avec l’application Teleport installée et fonctionnelle ;
• Un collecteur QRadar (typiquement le All-in-One QRadar CE donc je vous ai présenté l’installation ici) ;
• Le flux TCP vers le port 514 ouvert (ou un autre port) depuis le serveur où il y a l’application Teleport vers le serveur QRadar.

...

Tips : Supervision d’un serveur OpenSSH Windows

Bonjour à tous, je vous présente dans cet article comment mettre en place un serveur SSH sur votre machine Windows mais également comment le superviser à l’aide d’un agent WinCollect et de l’outil d’IBM QRadar.

Pour pouvoir effectuer les différentes actions de cet article, il va vous falloir les prérequis suivants pour pouvoir tester :

• Une machine Windows avec un agent WinCollect en mode “managed“
• Un collecteur QRadar (typiquement le All-in-One QRadar CE donc je vous ai présenté l’installation ici)

...

Tips : Logger vos actions dans Trello

Vous allez découvrir dans cet article la collecte de logs… d’un point de vue organisationnel. En effet, nous n’allons pas aborder les aspects de sécurité dans cet article mais comment logger vos actions dans l’outil d’organisation “Trello”. C’est un outil que j’utilise au quotidien et pour avoir un suivi plus macro de tous les sujets, j’utilise un système d’enregistrement de mes actions assez basique mais qui permet par la suite de faire le point sur les actions qui ont pris le plus de temps…

Bien entendu, Trello est un outil qui dans sa version payante permet de faire ce genre d’actions et bien plus encore, mais vous allez voir ici qu’avec la version gratuite et en à peine 10 minutes de configuration, vous pourrez avoir un système d’enregistrement des actions amplement suffisant pour un début.

...

Développer votre première application QRadar

Bonjour à tous, vous avez dû voir, au travers de tous les articles parlant de l’environnement IBM QRadar, plusieurs applications parmi lesquelles :

• Log Source Management
• Extension Center
• Pulse
• …

Toutes ces applications ont en commun qu’elles sont des additions à votre QRadar, c’est-à-dire que vous pouvez les ajouter ou non selon votre utilisation. Comme pour beaucoup de contenus additionnels sur les logiciels, la communauté est très présente et, avec l’aide d’outils mis à disposition par IBM, développe en parallèle des contenus rendant encore plus agréable l’utilisation de QRadar.

Sans rentrer dans les détails de la partie développement dans cet article, nous allons voir comment il vous est possible de commencer à mettre les mains dans cet univers pour avoir, à termes, vos propres applications.

...

Tips : Supervision du firewall Windows

Bonjour à tous, nous allons voir dans cet article comment collecter les événements du firewall Windows sur QRadar. Ces événements vont nous permettre d’avoir une meilleure visualisation de la partie réseau sur un poste de travail ou un serveur, notamment quand les équipements réseaux ne sont pas accessibles à la collecte ou qu’il n’y en a pas.

Cette mise en place va se faire en 2 parties, dans un premier temps nous allons activer le logging sur la machine Windows, ensuite nous irons configurer la partie QRadar pour que tout fonctionne et soit compris.

Vous verrez dans la partie Mise en place côté QRadar que nous utilisons un WinCollect pour récupérer les événements de l’équipement Windows. Je ne vais pas revenir sur l’installation de ce dernier, pour cela je vous renvoie vers mon article sur les collectes de base dans QRadar : Comment surveiller vos équipements.

...

Tips : Supervision du firewall Linux

Bonjour à tous, dans cet article nous allons voir comment superviser les logs réseaux du logiciel présent sur le distribution Linux, à savoir “iptables”. En effet, il est très important d’avoir une visibilité sur les flux réseaux qui arrivent et qui sortent de vos équipements. D’un point de vue sécurité, cela permet d’identifier des communications vers des serveurs avec une mauvaise réputation ou encore d’être en mesure de détecter une machine qui pourrait scanner votre serveur. D’un autre côté, cela peut également servir à des fins de débug.

Vous allez au travers de cet article apprendre comment mettre en place cette collecte mais également comme faire en sorte que ce qui arrive dans QRadar soit correctement compris et que cela puisse matcher avec vos règles de détection.

...