Jump to content
teddy97

Remonté alertes AlienVault / ELK

Recommended Posts

Bonjour,

 

Je vous contacte car j'ai un projet école à faire mais j'ai un peu de mal à comprendre.

 

L'objectif est d'avoir une remonté d'alerte en cas de suspicion d'attaque par exemple une montée en charge sur un serveur c'est possible que cela soit une attaque DDOS. Ou bien une personne qui essaye de modifier le mot de passe "root".

 

Toutes nos machines sont virtuelles sous Citrix XenServer, nous avons un pfSense, un AlienVault, un ELK ElastickSearch et d'autres machines clientes Windows.

 

Ce que je ne comprends pas c'est le fonctionnement des différents outils outils, je pense qu'il faut rajouter Snort et/ou Syslog pour atteindre notre objectif de base mais je ne sais pas sur quelle  machine il faut l'installer précisément et leur but ?

 

Si vous pouvez m'éclairer cela me serait d'une grande aide car je suis un peu perdu actuellement avec tout ses outils.

 

Je vous met en pièce jointe notre architecture.

 

Merci d'avance et bonne journée.

Capture.PNG

Share this post


Link to post
Share on other sites

Salut,

 

De ce que je comprend tu installe ton alienvault sur 1 debian,  ton ELK sur l'autre. Ensuite, tu fait tes remonter de logs sur ton ELK genre les auth.log et les events windows et les logs PFsense.

 

Après tu interface ton ELK avec ton alientvault.

Share this post


Link to post
Share on other sites

×
×
  • Create New...