 | | |  | Tutoriel gestion de la journalisation |  |
Lieu et date
Date : 26 novembre 2003, au CNIT La Défense (Paris)
Cadre : Tutoriel organisé dans le cadre du salon de la sécurité informatique
Organisateur et inscription
Courriel : securite@reedexpo.fr
Tél : +33 (0) 141 904 702
Fax : +33 (0) 141 904 769
Inscription en ligne
Pour ce tutoriel, il faut utiliser le n° d'enregistrement de Reed et pas celui d'HSC. Reed Expositions est enregistré comme centre de formation auprès du préfet de région d'Ile de France sous le n°11920539592
Objectifs et public visé
Ce tutoriel a pour objectif de sensibiliser à l'importance de la gestion
des journaux,des bénéfices qui peuvent en être tirés et de ses limites.
La détection d'intrusion ayant montré ses limites, il apparaît
important de revenir à un aspect trop souvent négligé : la gestion des
journaux. A travers des exemples pratiques et concret issus de
l'expérience d'HSC dans de nombreux secteurs d'activités (banques,
fournisseurs de services Internet, opérateurs téléphoniques, grand
comptes et PME), cette journée doit permettre de mettre en place et
d'exploiter les journaux dans une optique d'administration efficace
et de sécurité.
Ce tutoriel s'adresse à des administrateurs de plates-formes hétérogènes,
membres d'équipes de sécurité et Directeurs et Responsables de services
informatiques.
Durée
Intervenants
- Yann Berthier
- Frédéric Lavécot
- Jean-Baptiste Marchand
Programme
Ce tutoriel dure une journée ; il est dispensé en langue française.
Matin
- Les enjeux de la journalisation
- Détection
- d'anomalies de fonctionnement système et réseau
- d'incidents
- d'intrusions
- Conservation
- de traces d'intrusions ou de tentatives
- analyse post-intrusion
- obligations légales
- Exploitation
- statistiques
- recherche d'informations
- Les différentes catégories de journaux
- Journaux système / applicatifs / filtrage / autres
- Types (texte / binaire)
- Exploitation
- Etat actuel de la recherche
- Etat actuel du marché (éditeurs, produits libres)
- Problématiques et contraintes
- Synchronisation / Rotation / Sauvegarde /
Centralisation
- Transport (authentification / chiffrement /
fiabilité)
- API
- Agrégation
- Formats de journaux
- Syslog
- Windows
- Formats propriétaires
- Le futur (RFC, XML...)
- Intégration de la journalisation dans l'architecture
- Architecture à étages
- DMZ / réseau d'administration dédié (pour et
contre)
- A savoir / A ne pas faire
- Cadre légal
- Evolution récente de la législation
- Loi informatique et liberté
- Enquêtes après piratage / dossier de plainte
Après-midi
- Surveiller ses machines et ses applications
- Tripwire/Aide
- SNMP
- Différencier le bruit des attaques réelles
- Identifier une intrusion réussie
- Surveiller son réseau
- Agrégation et corrélation
- Drafts et RFC
- Outils
- Ce qui est (im)possible
- Détection d'intrusion
- Plan de réponse aux incidents
- Conclusion et rappel des points primordiaux
|
