Accueil Publications taguées siem

siem

No Limit Secu – Les dix commandements du SIEM

Posté le de Aucun commentaire ↓
No Limit Sécu

Bonjour à tous, alors pour commencer, je suis désolé je n’en ai toujours pas terminé avec mon gros projet. Ça pique, c’est long et ça me consomme un temps de dingue. En conséquence, le rythme normal des publications sur le site ne reprendra surement pas avant 2022. Pour autant, je ne chôme pas et pour vous faire patienter on vous a concocté avec l’équipe de NoLimitSécu un petit épisode sur les dix commandements du SIEM cet été.

Comme la dernière fois, c’est une super expérience avec Johanne, Hervé, Nicolas et Marc Frédéric et vous pouvez nous écouter ici :

https://www.nolimitsecu.fr/les-dix-commandements-du-siem/
(ou sur toutes les bonnes plateforme de musique comme Spotify, deezer, etc.)

Voilà donc, écoutez-nous ? j’espère que cet épisode sur les dix commandements du SIEM vous intéressera, il y en a certains d’entre vous que je n’ai pas revu depuis un certain temps, ça vous rappellera ma douce voix suave dans vos cages à miel :-p ? A minima j’espère que ça remettra quelques idées en place à certains, parce que la plupart des exemples dans ce n°334 du podcast ressemblent fortement à des personnages réels et ce n’est pas une coïncidence ! ^^

Et … Lire la suite

Rsyslog en duplication de log (sur Redhat)

Posté le de Aucun commentaire ↓
Rsyslog en duplication de log

Bonjour à tous, aujourd’hui je vais vous montrer comment configurer un serveur Rsyslog en duplication de log, c’est une configuration qui est très très utile quand on bosse sur un SIEM. En effet, parfois les solutions (au hasard Broadcom SEP…) qui émettent du syslog ne permettent pas toujours d’envoyer les logs à plusieurs destinations. C’est gênant car en cas d’étude ou tout simplement changement de SIEM, on ne peut pas dupliquer les logs vers le nouveau système. Si c’est mal géré cela peut obliger à des bascules en mode big bang dans ce genre de situation, ce qui n’est pas pas idéal pour des reprises en douceur.

Mais ce problème peut être simplement adressé avec un petit serveur rsyslog devant le SIEM. En effet ce service possède nativement la fonctionnalité de reforwardé des logs. Du coup, un petit passage dans la doc de rsyslog et un nouveau serveur plus tard et pouf on a la procédure suivante :

Installer et configurer Rsyslog en duplication de log

yum install rsyslog

Puis configurer en éditant le fichier /etc/rsyslog.conf. Notez que vous avez un générateur de configuration automatique fourni directement sur le site du projet. Il faut admettre que la syntaxe n’est … Lire la suite