Collecte des données des journaux dans un logiciel SIEM

Une fois les données des journaux de Compliance Reporter collectées, elles peuvent être envoyées vers le logiciel SIEM (informations de sécurité et gestion d’événements) configuré. Grâce à ce logiciel SIEM, vous pouvez effectuer des recherches sur les données et ainsi créer des rapports pertinents pour votre organisation. Voici un exemple expliquant comment créer une recherche dans Splunk en utilisant les données collectées par Compliance Reporter :

(index="compliancereporter") parent_process="*" NOT subject.terminal_id.ip_address=0.0.0.0 
| eval Destination=coalesce(app,'path.1','subject.process_name')
| stats values(Destination), values(exec_chain.thread_uuid), values(host_info.host_name) count by parent_process
| rename values(Destination) as Application, parent_process as "Originating App",values(exec_chain.thread_uuid) as "Thread UUIDs", values(host_info.host_name) as Hosts
| table count, Hosts, "Originating App" "Thread UUIDs", Application
| sort count
Cet exemple de recherche utilise les champs de recherche suivants :

  • Subject.terminal_id.ip_address correspond à l’adresse IP de l’ordinateur impliqué dans le contrôle à distance. Toutes les actions effectuées dans une session SSH mentionneront l’adresse IP à distance. Toutes les actions locales auront pour valeur « 0.0.0.0 ».

  • host_info.host_name ou host_uuid filtre ou trie les événements en fonction de l’hôte sur lequel ils se sont produits.

  • Exec_chain.thread_uuid suit une arborescence d’exécution des processus associée à une valeur thread_uuid unique. Ici, l’objectif est de connaître les actions que les scripts exécutés ont menées sur un ordinateur.