Ce livre blanc vous explique comment développer un premier SOC (Security Operation Centre, ou Centre de sécurité opérationnel), grâce aux outils Elastic Detector & Elastic Stack.
"Le but de ce document est d'expliquer comment construire un premier SOC (Security Operation Center) en utilisant Elastic Detector et Elastic Stack open source (Elasticsearch, Kibana, Logstash, Beats).
De nos jours, les organisations ont un NOC (Network Operation Center) afin de surveiller leur réseaux et assurer la disponibilité des services. Ces CNO sont généralement construits par-dessus des outils ou des solutions de surveillance (pour le réseau, le système, les performances des applications et le site web) tels que Nagios, Icinga, Centreon, Zabbix, ...
Une fois que vous surveillez votre réseau, vos serveurs et vos applications, l'étape suivante consiste à surveiller la sécurité. Pour ce faire, la toute première chose est de connaître la posture de sécurité de votre informatique.
La plupart des organisations optent pour des évaluations de vulnérabilité, des pentests et des audits de sécurité en une seule fois. Parce qu'il y avait en moyenne en 2015 plus de 18 nouvelles vulnérabilités quotidiennes et que les attaques sont répandues, les meilleures pratiques sont asujetties à une évaluation continue de la vulnérabilité et à l'analyse continue des logs.
Un moyen simple et efficace pour atteindre cet objectif est de créer un premier SOC qui pourrait vous donner une vue d'ensemble de votre statut de sécurité et centraliser les logs rassemblés à travers votre IT. Votre premier SOC comprendra les deux outils suivants:
● Un scanner d'évaluation de la vulnérabilité continue
● A SIEM (Informations système et gestion des événements)"
Texte d'origine :
"The goal of this document is to explain how to build a first SOC (Security Operation Center) using Elastic Detector and the open source Elastic Stack (Elasticsearch, Kibana, Logstash, Beats).
Nowadays, organisations have a NOC (Network Operation Center) in order to monitor its network and to ensure the availability of the services. These NOCs are usually built on top of monitoring tools or solutions (for network, system, application performance and website) such as Nagios, Icinga, Centreon, Zabbix, ...
Once you monitor your network, servers and applications, the next step is to monitor security. In order to do so, the very first thing is to know the security posture of your IT.
Most part of organizations opt for vulnerability assessments, pentests and security audits done one-shot. Because there were in average during 2015 more than 18 new vulnerabilities everyday and attacks are widespread, best practices prone for continuous vulnerability assessment and continuous log analysis.
A simple and efficient way to achieve this goal is to create a first SOC that could give you the overview of your security status and centralize the logs gathered across your IT. Your first SOC will comprise the two following tools: