SAE5.Cyber.03 - Assurer la sécurisation et la supervision avancées d'un SI
Objectif : La SAE5.Cyber.03, associée à la ressource Cyber 11 « Supervision de la sécurité », a pour objectif de maîtriser l'installation et l'utilisation de la suite Elastic, de mettre en place la supervision de divers équipements et services, ainsi que d'analyser les logs pour en extraire des informations pertinentes en matière de sécurité.
Vécu de la SAE : La SAE Elastic a été une expérience enrichissante mais parfois technique, surtout au début. L’installation de la suite Elastic (Elasticsearch, Kibana, Logstash et Filebeat) a nécessité une bonne compréhension des configurations réseau et des fichiers YAML. L’un des premiers défis a été la gestion du proxy de l’IUT, indispensable pour récupérer les paquets nécessaires.
Par la suite, la liaison entre Filebeat et les différents services supervisés (Ubuntu, Apache, PostgreSQL) a parfois posé des problèmes de compatibilité de formats ou de permissions. Générer des logs exploitables pour valider la supervision (comme des tentatives SSH échouées ou des erreurs HTTP) a aussi demandé un certain effort de mise en situation. Enfin, comprendre et exploiter efficacement les dashboards de Kibana a nécessité plusieurs essais avant d'obtenir des visualisations pertinentes.
La seconde partie de la SAE s’est concentrée sur l’analyse de logs provenant de divers environnements (Linux, Windows, serveurs web) et l’investigation de comportements suspects. L’approche était plus analytique et nécessitait une bonne capacité à interpréter des données brutes, souvent massives. Les principales difficultés rencontrées ont été la compréhension de certains formats de logs complexes, l’importation correcte dans la suite Elastic, et la construction de visualisations pertinentes dans Kibana. Il a également été parfois délicat d’identifier des activités malveillantes dissimulées parmi des logs apparemment normaux, comme des attaques Shellshock ou des exfiltrations via .bashrc. Enfin, certains aspects techniques (conversion JSON/NDJSON, scripts Python) ont exigé rigueur et précision.
✅ Compétences développées (partie Elasticsearch) :
- Installation et configuration d’une solution de supervision complète
- Analyse de logs système et applicatifs
- Manipulation et filtrage de données dans Kibana
- Utilisation de Filebeat modules pour des cas spécifiques (SSH, Apache, PostgreSQL)
- Résolution de problèmes techniques liés aux services Linux et aux configurations YAML
- Mise en place de supervision proactive dans un environnement virtualisé
🛠️ Outils (partie elasctic) :
- Suite Elastic Stack : Elasticsearch, Kibana, Logstash, Filebeat
- Services supervisés : Ubuntu systemd, Apache2, PostgreSQL
- Outils Linux : curl, apt, nano, services systemctl
✅ Compétences développées (partie log) :
- Investigation de logs (HTTP, SSH, systemd, Windows Sysmon)
- Détection de comportements malveillants (Shellshock, brute force, injection, exfiltration)
- Utilisation avancée de Kibana pour visualiser, filtrer et analyser des données
- Écriture de scripts Python pour l’analyse automatisée et la transformation de logs
- Compréhension des traces système (commandes exécutées, processus, connexions réseau)
- Analyse chronologique et par typologie d'événements
🛠️ Outils (partie log) :
- Kibana (Dashboard, Discover, Index Pattern)
- Elasticsearch (import de logs, création d’index)
- Python (scripts d’analyse et de conversion de logs)
- Commandes Linux (grep, cut, wc, etc.)
- Sysmon, fichiers .csv, .json, .ndjson
- Kibana (Dashboard, Discover, Index Pattern)
- Elasticsearch (import de logs, création d’index)
- Python (scripts d’analyse et de conversion de logs)
- Commandes Linux (grep, cut, wc, etc.)
- Sysmon, fichiers .csv, .json, .ndjson