SPLUNK Version 2023

Résumé

​

Splunk permet à de très nombreuses équipes opérationnelles, SOC, CSIRT de réaliser efficacement leurs investigations numériques, détection d'attaques ou chasse, en facilitant les opérations de recherche & manipulation des journaux quelques soient le volume de données.

Cette formation vous permettra d'apprendre à utiliser Splunk pour les cas d'usage de la sécurité informatique, elle complète bien les formations SECUBLUE et SECUSOC en vous fournissant les clés pour exploiter au mieux cet outil puissant.

Cette formation n'est pas une présentation exhaustive des capacités de Splunk, elle a été construite pour pouvoir être efficace et pertinente dans l'utilisation de Splunk.
 

​

Contenu du cours

​

Introduction à Splunk

• Produits de la marque Splunk

• Fonctions de Splunk Enterprise

• Architecture

• Flux de données

​

Ajouter des données

• Processus d'indexation

• Téléversement à travers l'interface graphique

• Organisation de la donnée dans les indexes

• Envoi à travers un Universal Forwarder

• Envoi à travers un collecteur syslog

• Supervision de modifications dans des fichiers

• Envoi par API

• Extraction de champs

• Normalisation des champs

​

Requêter

• Accès aux données indexées

• Filtre temporel

• Paramètres des tâches de recherche

• Exploration des résultats

• Modes de recherche

• Différences entre les événements et les statistiques

• Commandes

  • Search

  • Fieldsummary

  • Where

  • fields

  • rename

  • rex

  • eval

    • Fonctions d'évaluation

  • dedup

  • sort

  • head

  • tail

  • fillnull

  • table

• Calculs statistiques

  • Commande stats

  • Fonctions d'agrégations

  • Agrégats multiples

  • Combinaison des fonctions d'agrégation et des fonctions d'évaluation

• Manipulation des JSON

• Enrichissement de données

  • Types de lookups

  • Manipulation des lookups

  • Recoupement des données

  • Utilisation des lookups pour faire une chasse de marqueurs

    • Jointures

  • Macros de recherche

  • Sous-recherches

​

Configurer

• Fichiers de configuration

• Précédence des configurations

• Périmètres et gestion des droits

• Objets de connaissance

• Partage d'objets

• Installation d'une application

​

Tableaux de bords

• Utilisation des tableaux de bord Studio

• Forces et limitations du moteur

• Sélecteurs et filtres

• Commande timechart

• Requêtes chaînées

• Utilisation des tokens

• Interactivité des tableaux de bord

​

Requêtes avancées

• Commandes bin et transaction

• Requêtes pour l'investigation numérique

• Requêtes pour la détection

• Détection par seuil

• Création d'alertes pour un SOC

 

Conclusion

• Ressources pertinentes pour l'apprentissage continu

​

 

Certification

A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h00 et a lieu durant la dernière après-midi de formation. La réussite à l'examen donne droit à la certification Splunk.

​

Profil formateur 

Instructeur certifié Splunk

​

Délai d’accès 

Se référer aux dates figurant au planning

​

Sanction de la formation 

Une attestation mentionnant les objectifs, la nature et la durée de l’action et les résultats de l’évaluation des acquis de la formation sera remise au(x) stagiaire(s) à l’issue de la formation 

​​

​

​

* Formation distanciel possible :

• de votre entreprise

• de chez vous

• de nos locaux à Sophia Antipolis (équipement Cisco Webex Board)​

​

Nos formations sont accessibles aux personnes en situation de handicap.

Un questionnaire envoyé en amont de la formation invite les participants à nous contacter s’ils ont besoins d’aménagements spécifiques en lien avec leur situation de handicap. Nous nous employons à rechercher, avec les personnes concernées, les moyens de compensation qui leur seront adaptés.

Pour en valider l'accès merci de nous contacter contact@formation-IT.org