Sekoia

Description

Le SIEM de Sekoia a été intégré à la plate-forme M&NTIS.

Ce système reçoit des logs des collecteurs de logs configurés dans le lab, et peut déclencher des alertes en fonction d'un catalogue de règles de détection.

Configuration

Actuellement, l'intégration se fait par l'intermédiaire d'un agrégateur de logs logstash lancé dans les labs de M&NTIS. La configuration de logstash est automatiquement déployée et ne nécessite, comme entrée utilisateur, qu'une clé API Sekoia.

Pour activer le SIEM de Sekoia dans votre lab, vous devez obtenir une clé d'API de Sekoia et la fournir en tant qu'entrée lors de la configuration d'un lab.

Utilisation

Après avoir lancé un lab, vous devez vous connecter à la page principale de Sekoia Sekoia afin de consulter les journaux et les alertes.

L'intégration de Sekoia par M&NTIS sépare les labs en entités distinctes. Pour vérifier qu'une nouvelle entité a été correctement créée pour un nouveau lab de M&NTIS, sélectionnez l'onglet Entities dans le panneau de gauche.

Ensuite, vous pouvez voir que de nouvelles entrées ont été créées pour chaque source de données. Par exemple, dans le scénario Venopie M&NTIS, deux entrées ont été créées, pour les sources de données Linux et Windows.

Vous pouvez vérifier quels nœuds du lab sont découverts par le SIEM de Sekoia en tant qu'actifs. Pour ce faire, cliquez sur la section Assets. Certains nœuds supplémentaires peuvent être déduits par le moteur de Sekoia.

Vous pouvez vérifier les événements dans l'onglet Events du volet gauche.

Dans la page il se peut que vous deviez ajuster l'intervalle de temps pour les données. Par défaut, l'option Last 5 minutes est sélectionnée, mais nous recommandons de choisir l'option Last hour afin d'avoir une vue d'ensemble des journaux produits pendant la période d'exécution du scénario.

De la même manière, vous pouvez consulter les alertes en sélectionnant Alerts dans le volet de gauche, afin d'analyser les alertes produites pendant l'exécution du scénario.