De Elastic Stack à Wazuh
J’ai toujours joué avec le duo gagnant Fail2ban et PSAD pour protéger les serveurs internets de mes clients. Deux HIPS (Host Intrusion Protection System) qui travaillent de concert avec iptables et se contentent de bien faire ce qu’on leur demande ! Le seul problème étant de faire remonter les informations… De quoi saturer votre boite mail que vous vous empresserez de vider chaque matin sans même consulter les alertes…
Et c’est là qu’intervient le SIEM (Security Information and Event Management) et donc d’Elastic Stack (anciennement ELK) la plateforme de référence dont la mission est d’ingérer simultanément des données provenant de multiples sources, puis de les transformer et les envoyer vers Elasticsearch, un moteur de recherche (nosql) et d’analyse, pour permettre aux utilisateurs de visualiser des données avec des tableaux et des graphes dans Kibana, son outil de visualisation.
On se sert (entre autres solutions possibles) de beats, qui sont des petits agents que l’on met sur les serveurs dont on veut analyser les logs… Et notamment de filebeat, qui est un agent avec de nombreux modules pour apache, nginx, suricata… Mais pas pour fail2ban ou psad !
Continuer la lecture de « IDS/IPS, SIEM et XDR/EDR »