Collecter, stocker, exploiter des données : SIEM Elasticsearch, Logstash et Kibana (ELK)
Lot 3 – Cyberdéfense – Surveillance & Détection – Référence 3-068
Formation créée le 11/12/2024. Dernière mise à jour le 27/10/2025.Version du programme : 1
Type de formation
PrésentielDurée de formation
30 heures (5 jours)Collecter, stocker, exploiter des données : SIEM Elasticsearch, Logstash et Kibana (ELK)
Lot 3 – Cyberdéfense – Surveillance & Détection – Référence 3-068
Objectif de la formation : Acquérir les compétences nécessaires pour installer, configurer et exploiter la suite ELK (Elasticsearch, Logstash, Kibana) en tant que solution SIEM, dans le but de collecter, analyser et visualiser les données des systèmes d’information pour assurer leur sécurité.
Objectifs de la formation
- Installer et configurer les composants de la suite ELK (Elasticsearch, Logstash, Kibana) dans un environnement SIEM.
- Utiliser ELK pour indexer, rechercher et visualiser des données collectées.
- Mettre en place une architecture centralisée pour la collecte des logs en provenance des systèmes et des sondes.
- Superviser et analyser les données en utilisant la nouvelle solution Elastic SIEM.
Profil des bénéficiaires
Pour qui
- Administrateurs systèmes et réseaux, responsables sécurité informatique, analystes SOC, ingénieurs DevOps et toute personne souhaitant mettre en œuvre une solution SIEM avec ELK.
Prérequis
- Connaissances de base sur les systèmes de gestion des logs et des outils de sécurité.
- Expérience en administration système et réseau.
Contenu de la formation
Présentation d'ELK et ses composants (2h)
- Introduction à Elasticsearch, Logstash, Kibana et leurs rôles dans un SIEM.
- Avantages de l’utilisation d’ELK pour la gestion des logs et la cybersécurité.
- Architecture d’ELK et ses applications dans un SIEM.
Installation d’Elasticsearch et de Logstash (4h)
- Préparation de l’environnement d’installation.
- Installation d’Elasticsearch et de Logstash sur des serveurs dédiés.
- Configuration des paramètres de base d’Elasticsearch et Logstash.
- Travaux pratiques : Installer et configurer Elasticsearch et Logstash dans un environnement de test.
Configurer Logstash pour la collecte des logs (3h)
- Introduction à Logstash et ses rôles dans la collecte et l’enrichissement des données.
- Configuration des pipelines de traitement des logs.
- Collecte des logs depuis différentes sources : sondes, fichiers journaux, bases de données, etc.
- Travaux pratiques : Configurer Logstash pour la collecte et l’enrichissement des logs provenant de différentes sources.
Indexation et recherche avec Elasticsearch (3h)
- Introduction à l’indexation dans Elasticsearch.
- Paramétrage des indices, analyseurs et mappages dans Elasticsearch.
- Travaux pratiques : Créer des indices dans Elasticsearch et effectuer des recherches sur les données collectées.
Introduction à Kibana et à la visualisation des données (2h)
- Introduction à Kibana et son interface de visualisation.
- Création de dashboards et de visualisations pour analyser les données collectées.
- Travaux pratiques : Créer des visualisations et des dashboards Kibana à partir des données collectées via Elasticsearch.
Configurer des alertes et des notifications dans Kibana (4h)
- Configuration des alertes dans Kibana pour détecter des anomalies ou des événements de sécurité.
- Intégration des notifications via différentes méthodes (email, webhook, etc.).
- Travaux pratiques : Créer des alertes et définir des règles de détection d’événements.
Configuration d’un SIEM avec Elastic SIEM (3h)
- Introduction à Elastic SIEM et ses fonctionnalités.
- Installation et configuration de Elastic SIEM dans un environnement ELK existant.
- Travaux pratiques : Mettre en œuvre Elastic SIEM pour la gestion des logs et la détection des événements de sécurité.
Analyse des données et gestion des incidents (3h)
- Analyse des données collectées et des événements de sécurité dans Elastic SIEM.
- Identification des incidents et gestion des alertes.
- Travaux pratiques : Analyser les données collectées et gérer des incidents à l’aide de l’interface Elastic SIEM.
Optimisation des performances d’ELK (3h)
- Gestion des ressources et optimisation des performances de l’architecture ELK.
- Paramétrage avancé pour gérer de grandes quantités de données.
- Travaux pratiques : Mettre en œuvre des stratégies d’optimisation pour gérer efficacement les performances.
Déploiement en production et bonnes pratiques de sécurité (3h)
- Mettre en œuvre un déploiement ELK en environnement de production.
- Meilleures pratiques pour sécuriser l’instance ELK.
- Travaux pratiques : Déployer une solution ELK complète en production avec une configuration sécurisée.
Équipe pédagogique
Professionnel expert technique et pédagogique.