Expertise CRBO
Nous couvrons l'intégralité du cycle de vie d'un SIEM Splunk : architecture, ingestion des sources de logs, parsing, création de règles de corrélation, dashboards et alerting. Nous avons déployé et opéré Splunk en production dans des environnements enterprise — finance et industrie. 100% à distance, sans frais de déplacement.
Collecte et normalisation des logs depuis vos sources : Windows Event Logs, Syslog Linux, équipements réseau (Cisco, Fortigate, Palo Alto), Office 365, applications métier.
Écriture de règles de corrélation et d'alertes SPL adaptées à votre environnement. Détection de brute force, mouvements latéraux, exfiltrations et anomalies comportementales.
Tableaux de bord opérationnels pour les équipes IT et rapports de sécurité mensuels pour le management. Suivi des indicateurs clés et tendances dans le temps.
Event Logs (Security, System, Application), Sysmon, PowerShell logging, ADFS audit logs — parsing et normalisation vers les CIM Splunk.
Syslog Linux, logs pare-feu (Fortigate, Cisco ASA, Palo Alto), flux DHCP/DNS, logs VPN. Mise en place de Universal Forwarders et Heavy Forwarders.
Maîtrise du Search Processing Language Splunk. Écriture de recherches complexes, lookups, macros et use cases de sécurité alignés sur MITRE ATT&CK.
Dimensionnement d'une instance Splunk selon le volume de données, architecture standalone ou distribuée (indexers, search heads), gestion des licences et rétention.
