Search

Qu'est-ce que la Stack ELK ?



Introduction


Le monitoring du système d’information passe également par le monitoring des logs réseaux et la mise en place d’outils de détection, tels que des Intrusion Detection Systems (IDS) ou Intrusion Prevention System (IPS).

Ces outils détectent des anomalies, mais aussi des attaques. Une bonne gestion des logs couplée à un système de gestion d’alerte global permettra une surveillance constante et une rapide gestion des évènements de sécurité. En entreprise, tous les équipements émettent du trafic réseau, il est donc primordial de monitorer ces flux afin d’identifier, par exemple, des connexions non autorisées.

Parmi les solutions existantes permettant d'optimiser la sécurité informatique par la monitoring nous avons le Stack ELK qui fera l'objet de l'article de cette semaine.


I) Définition


ELK est une suite open source comprenant 3 composants principaux : Elasticsearch, Logstash et Kibana. Beats a ensuite été ajouté pour former la stack ELK. ELK permet l’indexation et l’analyse de données. Vous pourrez par exemple charger différents types de données, comme vos logs, et les visualiser sous forme de diagrammes personnalisés. En plus des fonctionnalités énumérées ci-dessous, il peut également faire office de SIEM pour gérer les alertes de sécurité.


II) Concepts


Source: https://www.elastic.co/fr/ - La Stack ELK


a) Remontez vos logs avec Beats


Beats est un ensemble d’outils permettant l’envoi de logs. Ces outils devront être installés sur les machines que vous souhaitez monitorer. Ils agiront comme des agents qui collectent les journaux d'événement et logs :

  • Filebeat

Filebeat est équipé de modules pour les sources de données d'observabilité et de sécurité qui simplifient la collecte, l'analyse et la visualisation des formats de logs les plus courants. Le tout, via une seule commande. Pour ce faire, ces modules associent les valeurs automatiques par défaut basées sur votre système d'exploitation avec les définitions du pipeline d'ingestion Elasticsearch Ingest Node et les tableaux de bord Kibana. De plus, des tâches de machine learning préconfigurées sont fournies avec certains modules Filebeat.

  • Packetbeat

Avec les protocoles réseau comme HTTP, vous gardez un œil sur les latences et les erreurs applicatives, les temps de réponse, la performance des SLA, les modèles et tendances associées aux accès utilisateurs, et plus encore.

Packetbeat vous permet justement d'accéder à ces données dans le but de comprendre le trafic de votre réseau. Il s'exécute de manière complètement passive, n'entraîne aucune latence et n'interfère pas avec votre infrastructure.

  • Auditbeat

Monitorez l'activité et les processus utilisateur et analysez vos événements dans la Suite Elastic sans toucher à auditd. Auditbeat communique directement avec le framework d'audit Linux, recueille les mêmes données qu'auditd, puis envoie les événements vers la Suite Elastic en temps réel. Et pour les nostalgiques d'auditd, vous pouvez aussi l'exécuter en parallèle d'Auditbeat. Il vous suffit d'utiliser vos règles d'audit existantes pour ingérer les données, sans réécrire quoi que ce soit. Qui a fait quoi et quand ? Auditbeat conserve toutes les données syscall d'origine ainsi que les chemins d'accès associés, pour vous fournir le contexte dont vous avez besoin.

  • Heartbeat

Que vous testiez un service local ou sur le web, Heartbeat vous permet de générer les données de disponibilité et de temps de réponse avec une facilité déconcertante. Créez vos visualisations dans Kibana pour assurer le suivi de la disponibilité ou passez à Elastic Uptime (propulsé par Heartbeat) pour monitorer vos services et vos applications via une solution prête à utiliser.

  • Metricbeat

Déployez Metricbeat sur toutes vos machines hôtes Linux, Windows et Mac, associez-le à Elasticsearch et le tour est joué. Metricbeat vous transfère des statistiques sur l'utilisation du processeur, la mémoire, le système de fichiers, les E/S disque et réseau – sans oublier les statistiques associées à chacun des processus exécutés sur vos systèmes.

  • Winlogbeat

Vos logs d'événements Windows peuvent vous apprendre beaucoup de choses. Besoin de garder un œil sur des événements de sécurité comme les ouvertures de session (4624) et les échecs de connexion (4625) ? De savoir quand un périphérique de stockage est connecté (4663) ou un nouveau service installé (4798) ? Vous pouvez configurer Winlogbeat pour lire n'importe quel canal de log d'événements, et ainsi accéder aux données Windows dont vous avez le plus besoin.


b) Centralisez vos données avec Elasticsearch


ElasticSearch est le moteur principal de la stack ELK : c’est lui qui va stocker les données et les rendre accessibles.

Il peut être utilisé pour plusieurs objectifs, mais sa fonctionnalité principale est l'indexation de flux de données. Dans notre cas, cette fonctionnalité permet le stockage centralisé des logs, tels que des journaux ou des paquets réseau, par exemple. Il est donc très utile pour notre monitoring de la sécurité.

Elasticsearch stocke les données au format JSON. Ces données sont contenues dans des index qui sont des bases de données.


c) Agrégez les données avec Logstash


Logstash est un moteur de collecte de données open source doté de capacités de pipelining en temps réel. Logstash peut unifier dynamiquement les données provenant de sources disparates et les normaliser dans les destinations de votre choix. Nettoyez et démocratisez toutes vos données pour divers cas d'utilisation avancés d'analyse et de visualisation en aval.

Si Logstash a été à l'origine de l'innovation dans le domaine de la collecte des journaux, ses capacités vont bien au-delà de ce cas d'utilisation. Tout type d'événement peut être enrichi et transformé grâce à un large éventail de plugins d'entrée, de filtre et de sortie, avec de nombreux codecs natifs simplifiant encore le processus d'ingestion. Logstash accélère votre compréhension en exploitant un plus grand volume et une plus grande variété de données.


d) Visualisez vos données avec Kibana


Kibana va permettre de visualiser les données d’Elasticsearch en temps réel. Cet outil vous propose des dashboards préconfigurés pour analyser les logs qui vous sont remontés. Il est également possible de visualiser et d'explorer vos données dans la section Discover. Ceci est très utile pour visualiser vos logs et comprendre ce qu'ils contiennent. Cela vous permettra de mettre en place vos règles de SIEM plus facilement.


III) Comment ça marche ?


Source: https://www.elastic.co/fr/ - Fonctionnement de la Stack ELK


Étape 1

Beats collecte des données à partir de diverses sources de données. Par exemple, Filebeat et Winlogbeat travaillent avec les journaux, et Packetbeat travaille avec le trafic réseau.


Étape 2

Beats envoie les données à Logstash pour agrégation et transformation. Si nous travaillons avec des données massives, nous pouvons ajouter une file de messages (Kafka) pour découpler les producteurs et les consommateurs de données.


Étape 3

Logstash écrit les données dans Elasticsearch pour l'indexation et le stockage.


Étape 4

Kibana s'appuie sur Elasticsearch et fournit aux utilisateurs divers outils de recherche et tableaux de bord permettant de visualiser les données.


IV) ELK SIEM


Le SIEM permet d'analyser les événements de sécurité liés à l'hôte et au réseau dans le cadre d'enquêtes sur les alertes ou de la chasse interactive aux menaces.

L'application SIEM dans Kibana fournit un espace de travail interactif aux équipes de sécurité pour trier les événements et effectuer les premières investigations. En outre, les tâches de détection des anomalies par apprentissage automatique et les règles du moteur de détection permettent de détecter automatiquement les activités suspectes sur l'ensemble de votre parc de serveurs et de postes de travail.


V) Vos données géographiques sur une carte


Avec l'application Maps de Kibana, ajoutez des couches distinctes pour visualiser différents index dans une seule vue. Toutes les couches étant affichées sur la même carte, vous pouvez aussi les interroger et les filtrer en temps réel. Monitorez les emplacements des serveurs statiques en même temps que les emplacements susceptibles de subir une attaque dynamique. Le tout via un seul et même affichage de votre SOC.


Conclusion


La stack ELK est assez pratique pour le dépannage et la surveillance. Elle est devenue populaire en fournissant une suite simple et robuste dans le domaine de l'analyse des journaux.


About us


Headquarter: 9 rue des colonnes 75002 Paris

Phone: +33134908672

Email: contact@bluepinksecurity.com