ELK, un SIEM à prendre au sérieux

ELK, acronyme issu des trois composants principaux de la suite (Elasticsearch, Logstash, Kibana) est depuis longtemps maintenant une référence dans la collecte des logs et leur analyse. Les derniers ajouts sur la suite Elastic et notamment sur le Machine Learning posent une question : ELK ne serait-il pas en passe de devenir un SIEM incontournable ?

Au sommaire de l’article

1 Présentation de la suite ELK

1.1 Elasticsearch

1.2 Logstash

1.3 Kibana

1.4 Divers : beats, X-Pack et licences

2. Cas pratique : exploitation de logs

2.1 Installation des outils

2.2 Récupération des logs de Cowrie

2.2.1 Utilisation directe de Logstash

2.2.2 Utilisation d’un Filebeat

2.3 Récupération des logs Windows

2.4 Récupération des logs de Tomcat

2.5 Exploration avec Kibana

2.5.1 Requêtes

2.5.2 Visualisations

2.5.3 Tableaux de bord

3 Graph & Machine Learning : le SIEM en puissance ?

3.1 Graph

3.2 Machine Learning

Conclusion

Remerciements

Références 

Erik Lenoir

 > Lire l’intégralité de cet article sur notre plateforme de lecture en ligne Connect  

Retrouvez cet article (et bien d’autres) dans MISC n°94, disponible sur la boutique et sur Connect !