Annexe 04 : Mise en place d'un SOC - artafak/ESD_Ressources GitHub Wiki

Partage Google Drive

Vous pouvez retrouver certaines ressources, et des VM déjà configurées pour servir d'exemple, sur le dossier Google Drive Partagé

Liens vers des références utiles

https://www.manager-go.com/gestion-de-projet/dossiers-methodes/matrice-raci
https://attack.mitre.org/groups/G0073 https://attack.mitre.org/groups/G1003
https://www.crowdstrike.com/blog/who-is-ember-bear
https://www.mandiant.com/resources/insights/apt-groups
https://clusif.fr/wp-content/uploads/2017/03/clusif-2017-deploiement-soc_vf.pdf
https://www.enisa.europa.eu/publications/how-to-set-up-csirt-and-soc
https://www.soc-cmm.com/

Problème de démarrage de l'infrastructure

Une fois la VM d'Elastic démarrée, vérifier que les services elasticsearch et kibana sont démarrés et fonctionnels (sudo systemctl status elasticsearch.service et sudo systemctl status kibana.service)
Si une erreur est présente, vérifier le contenu des fichiers suivants :
pour Elasticsearch => /etc/elasticsearch/elasticsearch.yml ligne network.host:192.168.11.30
pour kibana => /etc/kibana/kibana.yml lignes server.host: et elasticsearch.hosts
Les IP doivent correspondre à l'IP de votre VM Elastic (sudo ip a)

Utilisez netstat -ntaulp | grep [kibana/elastic/other] pour vérifier les ports ouverts. Par défaut :
Elasticsearch Port [http] 9200 (affiche les aggrégations de nodes reçues par ELK)
Elasticsearch Port 9300 (utilisé pour l'échange entre les nodes et Elastic)
Kibana Port 5601
logstash Port 5044 (listener pour Beats)
APM Port 8200

Pour aller plus loin ...

- ELK Understand the default configuration
Si Netstat n'est pas installé -Debian Facile - Netstat diagnostic réseau