6 outils open source pour répondre aux incidents de sécurité
Analyse de logs et d’images mémoire, reverse engineering… Voici quelques outils ouverts exploitables en phase de réponse à incident.
StreamAlert
On doit ce framework à Airbnb, qui l'a publié en 2017 (licence Apache 2.0).
StreamAlert collecte et traite les logs pour faciliter leur analyse ultérieure.
Il met à contribution divers composants AWS gérés avec Terraform. En particulier, des fonctions Lambda assurant :
- Ingestion et classification des journaux, puis mise en file d'attente SQS
- Exécution de règles et écriture d'éventuelles alertes dans une table DynamoDB
- Analyse de cette table et éventuelle fusion d'alertes
- Envoi de ces alertes vers un bucket par l'intermédiaire de Firehose
Les règles s'écrivent en Python.
Photo de une © sbahlin – Adobe Stock
