Threat hunting using an ELK-based SIEM system

Abstract

Log management is an essential part of the life cycle of information security. This approach consists in deĄning a set of technical and organizational measures to cope with the various threats to the information heritage of an organization. In this perspective, the SIEM solution makes it possible to examine and centralize the large number of event logs generated by the different units of the SI. These logs are a wealth of information essential for safety. They provide information about access to the system by users, network anomalies, outages, compliance with regulations and security policy, intrusions and data theft, etc.***

La gestion des journaux est une partie essentielle du cycle de vie de la sécurité de lŠinformation. Cette approche consiste à déĄnir un ensemble de mesures techniques et organisationnelles pour faire face aux différentes menaces pesant sur le patrimoine informationnel dŠune organisation. Dans cette perspective, la solution SIEM permet dŠexaminer et de centraliser le grand nombre de journaux dŠévénements générés par les différentes unités du SI. Ces journaux sont une mine dŠinformations essentielles pour la sécurité. Ils renseignent sur lŠaccès au système par les utilisateurs, les anomalies du réseau, les pannes, le respect de la réglementation et de la politique de sécurité, les intrusions et vols de données, etc.