Qu'est-ce qu'un SIEM ?
Un SIEM (Security Information and Event Management) centralise et analyse les logs de sécurité de votre infrastructure.
Pourquoi Splunk ?
Splunk est l'un des SIEM les plus utilisés en entreprise :
- Interface intuitive
- Langage de requête puissant (SPL)
- Écosystème riche d'applications
Installation de Splunk Free
# Téléchargez Splunk depuis splunk.com
wget -O splunk.tgz 'https://download.splunk.com/...'
tar xvzf splunk.tgz
cd splunk/bin
./splunk start --accept-licenseVos premières requêtes SPL
Recherche simple
index=main sourcetype=syslogFiltrer par mot-clé
index=main sourcetype=syslog "failed password"Statistiques
index=main sourcetype=syslog "failed password"
| stats count by src_ipCréer une alerte
- Exécutez votre recherche
- Cliquez sur "Save As" > "Alert"
- Configurez les conditions de déclenchement
- Définissez les actions (email, webhook, etc.)
Pour aller plus loin
Pratiquez sur nos labs virtuels avec des scénarios réalistes de détection d'intrusion.