Abdoulaye Toure
Projet SIEM
ELK + Beats
SOC-ready

Dashboard SIEM

Conception d'une plateforme de supervision et de détection basée sur ELK (Elasticsearch, Logstash, Kibana), alimentée par Filebeat & Winlogbeat, avec enrichissements GeoIP / User-Agent, dashboards dédiés et alertes opérationnelles.

Voir le repo GitHub Lire le mémoire (PDF)
  • Supervision centralisée ELK
  • Sources: Windows, Linux, App (Docker)
  • Enrichissements: GeoIP + User-Agent
  • Règles d'alerte personnalisées
Vue d'architecture
ELK ServerWindows (Winlogbeat)Linux (Filebeat)App (Docker)

Pipeline: Beats → Logstash (enrichissements) → Elasticsearch → Kibana.

3+
Sources de logs
Winlogbeat, Filebeat, App Docker
15+
Règles d'alerte
Brute force, erreurs 5xx, privilèges
4
Dashboards
Windows, Linux, App, Vue globale
2
Enrichissements
GeoIP, User-Agent
Logons & événements critiques
  • Event IDs (4624/4625), top utilisateurs en échec
  • Heatmap des horaires anormaux
  • Détection des pics d'authentification
Privilèges & intégrité
  • Créations/ajouts au groupe administrateurs
  • Services critiques & crashs
  • Escalades suspectes détectées

Extraits de configuration

Copies rapides pour reproduire l'environnement local (adapter hôtes & certificats).

filebeat.yml (extrait)
filebeat.inputs:
  - type: log
    paths: [/var/log/syslog, /var/log/auth.log]
processors:
  - add_fields:
      target: project
      fields:
        name: siem-dashboard
output.logstash:
  hosts: ["localhost:5044"]
winlogbeat.yml (extrait)
winlogbeat.event_logs:
  - name: Security
  - name: System
  - name: Application
output.logstash:
  hosts: ["localhost:5044"]
logstash.conf (pipeline enrichi)
input { beats { port => 5044 } }
filter {
  geoip { source => "[source][ip]" }
  useragent { source => "user_agent.original" }
}
output { elasticsearch { hosts => ["http://localhost:9200"] index => "siem-%{+YYYY.MM.dd}" } }
Tendances marché & évolutivité
  • Convergence SIEM/XDR (Elastic Agent + Fleet)
  • Automatisation SOAR & playbooks de réponse
  • Corrélations multi-sources alignées MITRE ATT&CK
  • Hybridation Cloud (Elastic Cloud, Azure/GCP/AWS)
  • Détection par anomalies (ML)
Résultats & portée
  • Collecte unifiée Windows / Linux / App et visualisation temps réel
  • Détection SSH brute-force validée lors de tests contrôlés
  • Dashboards clairs pour investigation et support aux audits
Ouvrir sur GitHub Voir tous les projets