Objectifs de la formation
- Comprendre l’écosystème Elastic et ses composants clés.
- Identifier les éléments d’une architecture SIEM basée sur Elastic.
- Rechercher et explorer les logs avec KQL, Lucene et ESQL.
- Concevoir des visualisations et tableaux de bord utiles à la supervision sécurité.
- Intégrer de nouvelles sources de logs via Elastic Agent et Fleet.
- Préparer les données pour une utilisation optimale dans le SIEM.
- Maîtriser les mécanismes d’enrichissement, d’indexation et de conservation.
- Comprendre les fonctionnalités clés du module Elastic Security.
- Créer différents types de règles de détection adaptées à des besoins spécifiques.
- Utiliser efficacement l’EDR d’Elastic pour la détection et la réponse.
- Appliquer plusieurs stratégies d’analyse d’alertes dans un contexte SOC.
- Superviser le bon fonctionnement de la stack Elastic.
- Identifier les principales sources de logs à intégrer.
- Détecter et analyser une attaque à plusieurs étapes via le SIEM.
- Reconstituer le déroulement d’une compromission à partir des données de sécurité disponibles.
Programme de la formation
Introduction à l’écosystème Elastic
- Composants principaux de la stack Elastic
- Elasticsearch
- Kibana
- Beats et Logstash (ingestion)
- Elastic Agent (Fleet)
- Concepts fondamentaux
- Index, documents, mappings
- Sharding, clusters, et haute disponibilité
- Licensing Elastic : Basic, Gold, Platinum, Enterprise
- Fonctions disponibles par licence (Security, ML, SOAR, intégrations…)
- Impacts sur les déploiements
Architecture SIEM avec Elastic
- Les principes d’un SIEM
- Objectifs d’un SIEM
- Architecture et fonctionnalités
- Cas d’usage typiques d’un SOC avec Elastic
- Architecture typique d’un SIEM basé sur Elastic
- Source de logs (firewall, endpoints, AD, etc.)
- Ingestion via Beats / Elastic Agent / Logstash
- Indexation dans Elasticsearch
- Analyse et visualisation dans Kibana
- Présentation du module Elastic Security
Démonstration : vue d’ensemble des modules Elastic (Observability, Security, etc.)
Premiers pas dans Kibana
- Navigation dans l’interface Kibana
- Discover, Dashboard, Visualize, Dev Tools, Management
- Structure des données : champs, types, timestamps
- Bonnes pratiques pour s’orienter dans un grand volume de données
Travaux pratiques
Exploration des logs système via Discover, Utilisation des filtres simples, Sauvegarde de requêtes
Recherche de données – KQL, Lucene, et ESQL
- Syntaxe et différences :
- KQL : facile à lire, filtrage riche (autocomplétion)
- Lucene : plus bas niveau, puissant mais moins lisible
- Introduction à ESQL (Elastic Search Query Language)
- Syntaxe tabulaire (pipe-based)
- Concepts : from, eval, where, sort, limit, stats
- Cas d’usages courants :
- Rechercher un IP spécifique
- Trouver tous les échecs d’authentification
- Agréger des logs par utilisateur
Travaux pratiques
Manipulation de KQL et Lucene dans Discover, Premiers pas avec ESQL
Création de visualisations dans Kibana
- Types de visualisations :
- Graphiques à barres, circulaires, time series, metrics
- Lens vs Visual Builder
- Bonnes pratiques de visualisation pour un usage SIEM
- Temporalité, alertes, agrégats
- Mise en valeur des indicateurs de sécurité (IPs suspectes, users, etc.)
- Création de Dashboards interactifs
Travaux pratiques
Création d’un dashboard (Histogramme des tentatives de connexion, Top 10 des adresses IP source, Heatmap des événements par heure…)
Ingestion et parsing des logs
- Vue d’ensemble du cheminement d’un log
- Endpoint ➝ Elastic Agent ➝ Fleet ➝ Logstash ➝ Elasticsearch
- Fleet et Elastic Agent
- Création et déploiement d’une politique Fleet
- Intégration de modules (ex. system, Windows, auditd)
- Monitoring des agents
- Logstash
- Architecture des pipelines : input, filter, output
- Enrichissement et pars
- Filtrage conditionnel
Travaux pratiques
Création d’une politique Fleet et connexion d’un agent, Ajout d’un module “systemlogs”, Exemple de parsing avec Logstash : extraire l’utilisateur et l’IP d’une tentative de connexion SSH
Traitement et contrôle des données dans le SIEM
- Indexing et Mapping
- Champ @timestamp, champs keyword vs text
- Contrôle du mapping via templates
- Ingest Pipelines
- Création de pipelines avec processors : grok, geoip, set, rename, drop
- Différence entre Logstash et pipelines intégrés
- Index Lifecycle Management (ILM)
- Phases hot, warm, cold, delete
- Rétention adaptée aux données de sécurité
- Snapshots
- Sauvegarde manuelle vs automatique
- Stockage sur S3/NAS/local
Travaux pratiques
Création d’un ingest pipeline simple avec grok et geoip, Application d’un ILM avec suppression après X jours, Déclenchement d’un snapshot manuel
Elastic Security
- Interface “Security” dans Kibana
- Principaux composants :
- Detections, Timelines, Hosts, Network
- Processus de détection :
- Source ➝ Parsing ➝ Corrélation ➝ Déclenchement ➝ Investigation
- Différence entre détection “pré-packagée” et personnalisée
Démonstration
Vue d’ensemble des indicateurs d’un hôte, Recherches manuelles de menaces dans Timelines
Création de règles de détection dans Elastic Security
- Types de règles :
- Custom query (KQL/Lucene)
- Threshold (seuils)
- ESQL-based detection rules
- Event Correlation (multi-event) — pour chaînes d’événements
- Composants d’une règle :
- Index ciblé, filtre, fréquence d’exécution, seuils, enrichissements
- Actions post-détection : alertes, enrichissements, investigation
Travaux pratiques
Détection de tentatives de connexion SSH infructueuses (3 échecs en 5 minutes depuis une même IP), Création d’une règle ESQL pour agréger les IPs par utilisateur, Exemple de corrélation entre événement de login et changement de mot de passe.
Découverte d’Elastic EDR (Endpoint Detection and Response)
- Fonctionnalités principales
- intégré dans Elastic Agent
- Collecte d’événements du système, processus, réseau
- Détection comportementale en temps réel
- Intégration à la plateforme Elastic Security
- Positionnement face à d’autres EDR (Crowdstrike, SentinelOne…)
Démonstration
Visualisation de l’activité d’un endpoint dans la vue “Hosts”, Analyse d’un exemple de détection sur un processus malveillant, Navigation dans la “Process Tree” et enrichissement automatique.
Analyse des alertes de sécurité
- Cycle de vie d’une alerte dans Elastic Security
- Stratégies d’analyse :
- Investigation manuelle via Timelines
- Enrichissement via Threat Intelligence
- Tri par criticité, corrélation multi-événement
- Recherche pivotée (user/IP/processus)
- Évaluation des forces et limites de chaque stratégie
- Méthodologie de qualification SOC
Démonstration
Analyse d’une alerte sur activité Powershell suspecte - Enchaînement : vérification du contexte ➝ corrélation ➝ hypothèse ➝ réponse - Utilisation des timelines, des documents enrichis et des visualisations.
Supervision de la Stack Elastic
- Utilisation du module Stack Monitoring dans Kibana
- Suivi :
- Santé des nœuds Elasticsearch
- Consommation des ressources
- Flux de données
- Intégrité des index
- Bonnes pratiques d’administration
- Alerting infrastructurel (watchers / rules techniques)
Démonstration
Visualisation de l’état d’un nœud et des index, Identification d’un souci de surcharge ou de shard déséquilibré
Panorama des sources de logs
- Revue des principales sources de logs pour la sécurité :
- Systèmes : Windows, Linux
- Réseaux : firewall, proxy, VPN, DNS
- Cloud : Azure, AWS, GCP
- Applications critiques (AD, O365, M365 Defender…)
- Qualité et pertinence des logs par type de source
- Bonnes pratiques d’audit et d’enrichissement
- Centralisation et normalisation
Réflexion collective
Choix d’un scénario d’attaque, Proposition de log sources à intégrer, Plan d’intégration et proposition de règle Elastic Security associée