# TD SIEM : Suricata, Filebeat, Elasticsearch et Kibana

## Objectifs du TD

Ce TD vous permettra de :
- Configurer Suricata (syst√®me de d√©tection d'intrusion)
- Utiliser Filebeat pour collecter et envoyer les logs vers Elasticsearch
- Explorer et analyser les donn√©es dans Elasticsearch
- Cr√©er des visualisations dans Kibana
- Configurer des alertes pour la d√©tection de menaces
- Utiliser la d√©tection d'anomalies avec Machine Learning

## Architecture SIEM

```
Suricata ‚Üí Filebeat ‚Üí Elasticsearch ‚Üí Kibana
   (IDS)    (Collecteur)   (Stockage)   (Visualisation/Alerting)
```

## Pr√©requis

### 1. Installation des d√©pendances

Assurez-vous d'avoir install√© les d√©pendances du projet :
```bash
uv sync
```

### 2. D√©marrage de la stack compl√®te SIEM

Le fichier `docker-compose-siem.yml` inclut toute la stack n√©cessaire pour ce TD :
- Cluster Elasticsearch (3 n≈ìuds)
- Kibana
- Suricata (IDS/IPS)
- Filebeat (collecteur de logs)

**D√©marrage de la stack compl√®te :**
```bash
docker-compose -f docker-compose-siem.yml up -d
```

**V√©rification :**
- Elasticsearch : `https://localhost:9200` (ou le port configur√© dans `.env`)
- Kibana : `http://localhost:5601` (ou le port configur√© dans `.env`)

**Note :** Si vous utilisez un cluster avec s√©curit√© activ√©e, vous devrez utiliser les identifiants d√©finis dans le fichier `.env` (ELASTIC_PASSWORD).

### 3. Pr√©paration des r√©pertoires

Avant de d√©marrer la stack, cr√©ez les r√©pertoires n√©cessaires pour Suricata :

```bash
mkdir -p suricata/{logs,config,rules}
mkdir -p suricata_logs
```

**Note :** Tous les services (Elasticsearch, Kibana, Suricata, Filebeat) sont d√©j√† configur√©s dans le fichier `docker-compose.yml` et seront d√©marr√©s ensemble.

### 4. V√©rification de la stack

La cellule suivante v√©rifie que tous les services sont correctement d√©marr√©s.

In [1]:
# V√©rification de la stack Docker
import subprocess
import os

def check_docker_container(container_name):
    """V√©rifie si un conteneur Docker est en cours d'ex√©cution"""
    try:
        result = subprocess.run(
            ['docker', 'ps', '--filter', f'name={container_name}', '--format', '{{.Names}}'],
            capture_output=True,
            text=True,
            timeout=5
        )
        return container_name in result.stdout
    except Exception:
        return False

def check_docker_compose():
    """V√©rifie si docker-compose est disponible"""
    try:
        subprocess.run(['docker', 'compose', 'version'], capture_output=True, check=True, timeout=5)
        return True
    except:
        try:
            subprocess.run(['docker-compose', 'version'], capture_output=True, check=True, timeout=5)
            return True
        except:
            return False

# V√©rifier Docker
try:
    subprocess.run(['docker', '--version'], capture_output=True, check=True, timeout=5)
    print("‚úÖ Docker est install√©")
except (FileNotFoundError, subprocess.CalledProcessError):
    print("‚ùå Docker n'est pas install√©")
    print("   Installez Docker: https://docs.docker.com/get-docker/")
    exit(1)

# V√©rifier docker-compose
if check_docker_compose():
    print("‚úÖ Docker Compose est disponible")
else:
    print("‚ùå Docker Compose n'est pas disponible")

# V√©rifier les conteneurs
services = ['es01', 'es02', 'es03', 'kibana', 'suricata', 'filebeat']
print("\nüì¶ Statut des services:")
for service in services:
    if check_docker_container(service):
        print(f"   ‚úÖ {service}: en cours d'ex√©cution")
    else:
        print(f"   ‚ö†Ô∏è  {service}: arr√™t√©")

print("\nüìù Pour d√©marrer la stack compl√®te:")
print("   docker-compose up -d")
print("\nüìù Pour arr√™ter:")
print("   docker-compose down")

‚úÖ Docker est install√©
‚úÖ Docker Compose est disponible

üì¶ Statut des services:
   ‚úÖ es01: en cours d'ex√©cution


   ‚úÖ es02: en cours d'ex√©cution
   ‚úÖ es03: en cours d'ex√©cution
   ‚úÖ kibana: en cours d'ex√©cution
   ‚úÖ suricata: en cours d'ex√©cution


   ‚ö†Ô∏è  filebeat: arr√™t√©

üìù Pour d√©marrer la stack compl√®te:
   docker-compose up -d

üìù Pour arr√™ter:
   docker-compose down


In [2]:
# Import des librairies n√©cessaires
from elasticsearch import Elasticsearch
from pprint import pprint
import json
import time
from datetime import datetime, timedelta

# Configuration de la connexion Elasticsearch
# Adaptez selon votre configuration (avec ou sans s√©curit√©)
ES_HOST = "https://localhost:9200"
ES_USER = "elastic"  # Modifiez si n√©cessaire
ES_PASSWORD = "changeme"  # D√©finissez votre mot de passe si s√©curit√© activ√©e

# Connexion au cluster Elasticsearch
if ES_PASSWORD:
    es = Elasticsearch(
        [ES_HOST],
        basic_auth=(ES_USER, ES_PASSWORD),
        verify_certs=False  # D√©sactiver la v√©rification SSL pour le d√©veloppement
    )
else:
    # Pour un cluster sans s√©curit√© (d√©veloppement uniquement)
    es = Elasticsearch("http://localhost:9200")

# V√©rification de la connexion
try:
    health = es.cluster.health()
    print("‚úÖ Connexion √©tablie avec Elasticsearch")
    print(f"   Statut du cluster: {health['status']}")
    print(f"   Nombre de n≈ìuds: {health['number_of_nodes']}")
except Exception as e:
    print(f"‚ùå Erreur de connexion: {e}")
    print("   V√©rifiez que votre cluster Elasticsearch est d√©marr√©")

‚úÖ Connexion √©tablie avec Elasticsearch
   Statut du cluster: green
   Nombre de n≈ìuds: 3


  _transport = transport_class(


## Partie 1 : Configuration de Suricata

### 1.1 V√©rification de l'installation de Suricata

In [3]:
# Cr√©ation des r√©pertoires n√©cessaires pour Suricata
import os

# Cr√©er les r√©pertoires si n√©cessaire
directories = [
    './suricata/logs',
    './suricata/config',
    './suricata/rules',
    './suricata_logs'
]

for directory in directories:
    os.makedirs(directory, exist_ok=True)
    print(f"‚úÖ R√©pertoire cr√©√©/v√©rifi√©: {directory}")

print("\nüìù Les r√©pertoires sont pr√™ts pour Suricata")

‚úÖ R√©pertoire cr√©√©/v√©rifi√©: ./suricata/logs
‚úÖ R√©pertoire cr√©√©/v√©rifi√©: ./suricata/config
‚úÖ R√©pertoire cr√©√©/v√©rifi√©: ./suricata/rules
‚úÖ R√©pertoire cr√©√©/v√©rifi√©: ./suricata_logs

üìù Les r√©pertoires sont pr√™ts pour Suricata


### 1.2 Configuration de Suricata pour g√©n√©rer des logs JSON

Suricata g√©n√®re des logs dans diff√©rents formats. Pour ce TD, nous allons configurer Suricata pour g√©n√©rer des logs au format JSON (EVE logs) qui sont plus faciles √† parser.

**Avec Docker :** La configuration se trouve dans `./suricata/config/suricata.yaml` (mont√© dans le conteneur)

**Fichier de configuration :** `./suricata/config/suricata.yaml` (dans le r√©pertoire du projet)

**Configuration recommand√©e :**
```yaml
# Activer les logs EVE (JSON)
- eve-log:
    enabled: yes
    filetype: regular
    filename: eve.json
    types:
      - alert
      - http
      - dns
      - tls
      - files
      - ssh
      - stats
      - flow
      - netflow
    # Format JSON pour faciliter le parsing
    json: yes
```

**Note :** 
- Pour ce TD, nous allons cr√©er des logs de test qui seront utilis√©s m√™me si Suricata Docker n'est pas configur√©
- Les logs seront g√©n√©r√©s dans `./suricata/logs/eve.json` (mont√© dans le conteneur)
- Pour une utilisation r√©elle, vous devrez configurer l'interface r√©seau dans `suricata.yaml`

In [4]:
# Cr√©ation de logs Suricata de test (format EVE JSON)
# Ces logs simulent des alertes Suricata typiques

import os
import builtins

# Cr√©er un r√©pertoire pour les logs si n√©cessaire (utiliser un r√©pertoire accessible)
log_dir = "./suricata_logs"
try:
    os.makedirs(log_dir, exist_ok=True, mode=0o755)
    # Essayer de cr√©er un fichier test pour v√©rifier les permissions
    test_file = os.path.join(log_dir, ".test_write")
    with builtins.open(test_file, 'w') as f:
        f.write("test")
    os.remove(test_file)
except (PermissionError, OSError) as e:
    # Si on ne peut pas √©crire dans suricata_logs, utiliser un autre r√©pertoire
    log_dir = "./suricata_logs_local"
    os.makedirs(log_dir, exist_ok=True, mode=0o755)
    print(f"‚ö†Ô∏è  Utilisation du r√©pertoire alternatif: {log_dir}")

# Exemple de logs Suricata au format EVE JSON
sample_logs = [
    {
        "timestamp": datetime.now().isoformat(),
        "event_type": "alert",
        "src_ip": "192.168.1.100",
        "src_port": 54321,
        "dest_ip": "10.0.0.50",
        "dest_port": 80,
        "proto": "TCP",
        "alert": {
            "action": "allowed",
            "gid": 1,
            "signature_id": 2012896,
            "rev": 1,
            "signature": "ET POLICY Suspicious inbound to mySQL port 3306",
            "category": "Potentially Bad Traffic",
            "severity": 2
        },
        "flow_id": 1234567890,
        "in_iface": "eth0"
    },
    {
        "timestamp": (datetime.now() - timedelta(minutes=5)).isoformat(),
        "event_type": "alert",
        "src_ip": "203.0.113.45",
        "src_port": 44321,
        "dest_ip": "10.0.0.50",
        "dest_port": 22,
        "proto": "TCP",
        "alert": {
            "action": "allowed",
            "gid": 1,
            "signature_id": 2012897,
            "rev": 1,
            "signature": "ET SCAN Potential SSH Scan",
            "category": "Attempted Information Leak",
            "severity": 2
        },
        "flow_id": 1234567891,
        "in_iface": "eth0"
    },
    {
        "timestamp": (datetime.now() - timedelta(minutes=10)).isoformat(),
        "event_type": "http",
        "src_ip": "192.168.1.100",
        "src_port": 54322,
        "dest_ip": "10.0.0.50",
        "dest_port": 80,
        "proto": "TCP",
        "http": {
            "hostname": "example.com",
            "url": "/admin/login.php",
            "http_user_agent": "Mozilla/5.0",
            "http_method": "POST",
            "status": 200
        },
        "flow_id": 1234567892
    },
    {
        "timestamp": (datetime.now() - timedelta(minutes=15)).isoformat(),
        "event_type": "dns",
        "src_ip": "192.168.1.100",
        "src_port": 54323,
        "dest_ip": "8.8.8.8",
        "dest_port": 53,
        "proto": "UDP",
        "dns": {
            "type": "query",
            "id": 12345,
            "rrname": "malicious-domain.com",
            "rrtype": "A"
        },
        "flow_id": 1234567893
    },
    {
        "timestamp": (datetime.now() - timedelta(minutes=20)).isoformat(),
        "event_type": "alert",
        "src_ip": "198.51.100.10",
        "src_port": 44324,
        "dest_ip": "10.0.0.50",
        "dest_port": 443,
        "proto": "TCP",
        "alert": {
            "action": "allowed",
            "gid": 1,
            "signature_id": 2012898,
            "rev": 1,
            "signature": "ET MALWARE Known Malware IP",
            "category": "A Network Trojan was detected",
            "severity": 1
        },
        "flow_id": 1234567894,
        "in_iface": "eth0"
    }
]

# √âcrire les logs dans un fichier (utiliser builtins.open pour √©viter le probl√®me IPython)
log_file = os.path.join(log_dir, "eve.json")
with builtins.open(log_file, 'w') as f:
    for log in sample_logs:
        f.write(json.dumps(log) + '\n')

print(f"‚úÖ Logs de test cr√©√©s dans {log_file}")
print(f"   Nombre de logs: {len(sample_logs)}")

‚ö†Ô∏è  Utilisation du r√©pertoire alternatif: ./suricata_logs_local
‚úÖ Logs de test cr√©√©s dans ./suricata_logs_local/eve.json
   Nombre de logs: 5


In [5]:
# Note: Les permissions ont √©t√© g√©r√©es dans la cellule pr√©c√©dente
# Si vous avez besoin de modifier les permissions, utilisez:
# chmod -R 755 ./suricata_logs/
# (sans sudo si vous √™tes propri√©taire du r√©pertoire)

In [6]:
# Cr√©ation de la configuration Filebeat pour Suricata
# Cette configuration utilise HTTPS et l'authentification pour se connecter √† Elasticsearch
filebeat_config = {
    "filebeat.inputs": [
        {
            "type": "log",
            "enabled": True,
            "paths": [
                "/var/log/suricata/eve.json"
            ],
            "json.keys_under_root": True,
            "json.add_error_key": True,
            "json.message_key": "message",
            "fields": {
                "log_type": "suricata"
            },
            "fields_under_root": False
        }
    ],
    "output.elasticsearch": {
        "hosts": ["https://es01:9200"],
        "index": "suricata-%{+yyyy.MM.dd}",
        "username": "elastic",
        "password": "${ELASTICSEARCH_PASSWORD}",
        "ssl": {
            "certificate_authorities": ["/usr/share/filebeat/config/certs/ca/ca.crt"],
            "verification_mode": "certificate"
        }
    },
    "setup.template.name": "suricata",
    "setup.template.pattern": "suricata-*",
    "setup.template.settings": {
        "index.number_of_shards": 1,
        "index.codec": "best_compression"
    },
    "processors": [
        {
            "timestamp": {
                "field": "timestamp",
                "layouts": [
                    "2006-01-02T15:04:05.000000-0700",
                    "2006-01-02T15:04:05.000000Z",
                    "2006-01-02T15:04:05Z"
                ],
                "test": [
                    "2024-01-15T10:30:45.123456Z"
                ]
            }
        }
    ]
}

# Sauvegarder la configuration
import builtins
config_file = "filebeat_suricata.yml"
# V√©rifier si c'est un r√©pertoire et le supprimer si n√©cessaire
if os.path.exists(config_file) and os.path.isdir(config_file):
    import shutil
    shutil.rmtree(config_file)
    print(f"‚ö†Ô∏è  Suppression du r√©pertoire {config_file} (sera remplac√© par un fichier)")
with builtins.open(config_file, 'w') as f:
    import yaml
    try:
        yaml.dump(filebeat_config, f, default_flow_style=False, sort_keys=False, allow_unicode=True)
    except ImportError:
        # Si PyYAML n'est pas install√©, sauvegarder en JSON
        json.dump(filebeat_config, f, indent=2)
        print("‚ö†Ô∏è  PyYAML non install√©, configuration sauvegard√©e en JSON")
        print("   Pour installer PyYAML: pip install pyyaml")

print(f"‚úÖ Configuration Filebeat cr√©√©e: {config_file}")
print("\nüìù Note: Cette configuration sera utilis√©e automatiquement par le service Filebeat")
print("   dans docker-compose.yml. Le mot de passe sera inject√© via la variable")
print("   d'environnement ELASTICSEARCH_PASSWORD.")

‚ö†Ô∏è  Suppression du r√©pertoire filebeat_suricata.yml (sera remplac√© par un fichier)
‚úÖ Configuration Filebeat cr√©√©e: filebeat_suricata.yml

üìù Note: Cette configuration sera utilis√©e automatiquement par le service Filebeat
   dans docker-compose.yml. Le mot de passe sera inject√© via la variable
   d'environnement ELASTICSEARCH_PASSWORD.


### 2.2 Indexation manuelle des logs dans Elasticsearch

Pour ce TD, nous allons indexer directement les logs dans Elasticsearch via l'API Python, ce qui √©vite d'avoir √† installer et configurer Filebeat.

In [7]:
# Indexation des logs Suricata dans Elasticsearch
import os

# Lire les logs depuis le fichier (chercher dans les deux r√©pertoires possibles)
log_file = "./suricata_logs/eve.json"
if not os.path.exists(log_file):
    log_file = "./suricata_logs_local/eve.json"
index_name = "suricata-logs"

# Cr√©er un index avec mapping appropri√© pour les logs Suricata
mapping = {
    "mappings": {
        "properties": {
            "timestamp": {"type": "date"},
            "event_type": {"type": "keyword"},
            "src_ip": {"type": "ip"},
            "src_port": {"type": "integer"},
            "dest_ip": {"type": "ip"},
            "dest_port": {"type": "integer"},
            "proto": {"type": "keyword"},
            "alert": {
                "properties": {
                    "action": {"type": "keyword"},
                    "gid": {"type": "integer"},
                    "signature_id": {"type": "integer"},
                    "signature": {"type": "text", "fields": {"keyword": {"type": "keyword"}}},
                    "category": {"type": "keyword"},
                    "severity": {"type": "integer"}
                }
            },
            "http": {
                "properties": {
                    "hostname": {"type": "keyword"},
                    "url": {"type": "text"},
                    "http_method": {"type": "keyword"},
                    "status": {"type": "integer"}
                }
            },
            "dns": {
                "properties": {
                    "type": {"type": "keyword"},
                    "rrname": {"type": "keyword"},
                    "rrtype": {"type": "keyword"}
                }
            },
            "flow_id": {"type": "long"},
            "in_iface": {"type": "keyword"}
        }
    }
}

# Supprimer l'index s'il existe
if es.indices.exists(index=index_name):
    es.indices.delete(index=index_name)
    print(f"üóëÔ∏è  Index '{index_name}' supprim√©")

# Cr√©er l'index avec le mapping
es.indices.create(index=index_name, body=mapping)
print(f"‚úÖ Index '{index_name}' cr√©√© avec mapping")

# Indexer les logs
if os.path.exists(log_file):
    with open(log_file, 'r') as f:
        logs = [json.loads(line) for line in f if line.strip()]
    
    # Indexer chaque log
    for i, log in enumerate(logs):
        # Convertir le timestamp en format date si n√©cessaire
        if 'timestamp' in log:
            try:
                # Essayer de parser le timestamp
                log['@timestamp'] = log['timestamp']
            except:
                pass
        
        es.index(index=index_name, document=log, id=i+1)
    
    # Rafra√Æchir l'index pour que les donn√©es soient disponibles
    es.indices.refresh(index=index_name)
    
    print(f"‚úÖ {len(logs)} logs index√©s dans '{index_name}'")
    
    # V√©rifier le nombre de documents
    count = es.count(index=index_name)
    print(f"   Nombre total de documents: {count['count']}")
else:
    print(f"‚ö†Ô∏è  Fichier {log_file} non trouv√©")



‚úÖ Index 'suricata-logs' cr√©√© avec mapping






‚úÖ 5 logs index√©s dans 'suricata-logs'
   Nombre total de documents: 5




## Partie 3 : Exploration des donn√©es dans Elasticsearch

### 3.1 Recherche de base dans les logs Suricata

In [8]:
# Recherche de tous les logs
query_all = {
    "match_all": {}
}

result = es.search(index=index_name, query=query_all, size=10)
print(f"üìä Total de documents: {result['hits']['total']['value']}")
print(f"   Documents retourn√©s: {len(result['hits']['hits'])}\n")

for hit in result['hits']['hits']:
    source = hit['_source']
    print(f"üìÑ Document {hit['_id']}:")
    print(f"   Type: {source.get('event_type', 'N/A')}")
    if 'alert' in source:
        print(f"   Alerte: {source['alert'].get('signature', 'N/A')}")
    print(f"   Source IP: {source.get('src_ip', 'N/A')} ‚Üí Dest IP: {source.get('dest_ip', 'N/A')}")
    print()

üìä Total de documents: 5
   Documents retourn√©s: 5

üìÑ Document 1:
   Type: alert
   Alerte: ET POLICY Suspicious inbound to mySQL port 3306
   Source IP: 192.168.1.100 ‚Üí Dest IP: 10.0.0.50

üìÑ Document 2:
   Type: alert
   Alerte: ET SCAN Potential SSH Scan
   Source IP: 203.0.113.45 ‚Üí Dest IP: 10.0.0.50

üìÑ Document 3:
   Type: http
   Source IP: 192.168.1.100 ‚Üí Dest IP: 10.0.0.50

üìÑ Document 4:
   Type: dns
   Source IP: 192.168.1.100 ‚Üí Dest IP: 8.8.8.8

üìÑ Document 5:
   Type: alert
   Alerte: ET MALWARE Known Malware IP
   Source IP: 198.51.100.10 ‚Üí Dest IP: 10.0.0.50





### 3.2 Recherche d'alertes sp√©cifiques

In [9]:
# Rechercher toutes les alertes (event_type = "alert")
query_alerts = {
    "bool": {
        "must": [
            {"term": {"event_type": "alert"}}
        ]
    }
}

result = es.search(index=index_name, query=query_alerts, size=100)
print(f"üö® Nombre d'alertes trouv√©es: {result['hits']['total']['value']}\n")

for hit in result['hits']['hits']:
    source = hit['_source']
    alert = source.get('alert', {})
    print(f"‚ö†Ô∏è  Alerte ID: {alert.get('signature_id', 'N/A')}")
    print(f"   Signature: {alert.get('signature', 'N/A')}")
    print(f"   Cat√©gorie: {alert.get('category', 'N/A')}")
    print(f"   S√©v√©rit√©: {alert.get('severity', 'N/A')}")
    print(f"   Source: {source.get('src_ip', 'N/A')}:{source.get('src_port', 'N/A')}")
    print(f"   Destination: {source.get('dest_ip', 'N/A')}:{source.get('dest_port', 'N/A')}")
    print()

üö® Nombre d'alertes trouv√©es: 3

‚ö†Ô∏è  Alerte ID: 2012896
   Signature: ET POLICY Suspicious inbound to mySQL port 3306
   Cat√©gorie: Potentially Bad Traffic
   S√©v√©rit√©: 2
   Source: 192.168.1.100:54321
   Destination: 10.0.0.50:80

‚ö†Ô∏è  Alerte ID: 2012897
   Signature: ET SCAN Potential SSH Scan
   Cat√©gorie: Attempted Information Leak
   S√©v√©rit√©: 2
   Source: 203.0.113.45:44321
   Destination: 10.0.0.50:22

‚ö†Ô∏è  Alerte ID: 2012898
   Signature: ET MALWARE Known Malware IP
   Cat√©gorie: A Network Trojan was detected
   S√©v√©rit√©: 1
   Source: 198.51.100.10:44324
   Destination: 10.0.0.50:443





### 3.3 Recherche d'alertes de haute s√©v√©rit√©

In [10]:
# Rechercher les alertes de haute s√©v√©rit√© (severity <= 1)
query_high_severity = {
    "bool": {
        "must": [
            {"term": {"event_type": "alert"}},
            {"range": {"alert.severity": {"lte": 1}}}
        ]
    }
}

result = es.search(index=index_name, query=query_high_severity, size=100)
print(f"üî¥ Alertes de haute s√©v√©rit√© (‚â§1): {result['hits']['total']['value']}\n")

for hit in result['hits']['hits']:
    source = hit['_source']
    alert = source.get('alert', {})
    print(f"üî¥ CRITIQUE - S√©v√©rit√© {alert.get('severity', 'N/A')}")
    print(f"   {alert.get('signature', 'N/A')}")
    print(f"   Source IP suspecte: {source.get('src_ip', 'N/A')}")
    print()

üî¥ Alertes de haute s√©v√©rit√© (‚â§1): 1

üî¥ CRITIQUE - S√©v√©rit√© 1
   ET MALWARE Known Malware IP
   Source IP suspecte: 198.51.100.10





### 3.4 Agr√©gations : Statistiques sur les alertes

In [11]:
# Agr√©gations pour analyser les donn√©es
aggs_query = {
    "size": 0,
    "aggs": {
        "alertes_par_categorie": {
            "terms": {
                "field": "alert.category",
                "size": 10
            }
        },
        "alertes_par_severite": {
            "terms": {
                "field": "alert.severity",
                "size": 5
            }
        },
        "top_source_ips": {
            "terms": {
                "field": "src_ip",
                "size": 10
            }
        },
        "top_dest_ips": {
            "terms": {
                "field": "dest_ip",
                "size": 10
            }
        },
        "top_signatures": {
            "terms": {
                "field": "alert.signature.keyword",
                "size": 10
            }
        }
    }
}

result = es.search(index=index_name, body=aggs_query)

print("üìä Statistiques sur les alertes\n")
print("=" * 50)

# Alertes par cat√©gorie
if 'alertes_par_categorie' in result['aggregations']:
    print("\nüìÅ Alertes par cat√©gorie:")
    for bucket in result['aggregations']['alertes_par_categorie']['buckets']:
        print(f"   {bucket['key']}: {bucket['doc_count']}")

# Alertes par s√©v√©rit√©
if 'alertes_par_severite' in result['aggregations']:
    print("\n‚ö†Ô∏è  Alertes par s√©v√©rit√©:")
    for bucket in result['aggregations']['alertes_par_severite']['buckets']:
        print(f"   S√©v√©rit√© {bucket['key']}: {bucket['doc_count']}")

# Top IPs sources
if 'top_source_ips' in result['aggregations']:
    print("\nüåê Top 10 IPs sources:")
    for bucket in result['aggregations']['top_source_ips']['buckets']:
        print(f"   {bucket['key']}: {bucket['doc_count']} √©v√©nements")

# Top signatures
if 'top_signatures' in result['aggregations']:
    print("\nüîç Top 10 signatures:")
    for bucket in result['aggregations']['top_signatures']['buckets']:
        print(f"   {bucket['key']}: {bucket['doc_count']}")



üìä Statistiques sur les alertes


üìÅ Alertes par cat√©gorie:
   A Network Trojan was detected: 1
   Attempted Information Leak: 1
   Potentially Bad Traffic: 1

‚ö†Ô∏è  Alertes par s√©v√©rit√©:
   S√©v√©rit√© 2: 2
   S√©v√©rit√© 1: 1

üåê Top 10 IPs sources:
   192.168.1.100: 3 √©v√©nements
   198.51.100.10: 1 √©v√©nements
   203.0.113.45: 1 √©v√©nements

üîç Top 10 signatures:
   ET MALWARE Known Malware IP: 1
   ET POLICY Suspicious inbound to mySQL port 3306: 1
   ET SCAN Potential SSH Scan: 1


## Partie 4 : Visualisation dans Kibana

### 4.1 Acc√®s √† Kibana

1. Ouvrez votre navigateur et allez sur `http://localhost:5601`
2. Connectez-vous avec les identifiants d√©finis dans votre fichier `.env` (si s√©curit√© activ√©e)
3. Si c'est la premi√®re fois, vous devrez peut-√™tre accepter les termes de licence

### 4.2 Cr√©ation d'un index pattern

Pour visualiser les donn√©es dans Kibana, vous devez cr√©er un **index pattern** :

1. Allez dans **Management** ‚Üí **Stack Management** ‚Üí **Index Patterns**
2. Cliquez sur **Create index pattern**
3. Entrez le pattern : `suricata-logs` ou `suricata-*` (si vous utilisez des dates)
4. S√©lectionnez le champ de temps : `@timestamp` ou `timestamp`
5. Cliquez sur **Create index pattern**

### 4.3 Cr√©ation de visualisations

Dans Kibana, cr√©ez les visualisations suivantes :

#### Visualisation 1 : Timeline des alertes
- **Type** : Line chart ou Area chart
- **M√©trique** : Count
- **Buckets** : Date Histogram sur `@timestamp`
- **Filtre** : `event_type: alert`

#### Visualisation 2 : Top 10 signatures d'alertes
- **Type** : Horizontal Bar chart
- **M√©trique** : Count
- **Buckets** : Terms sur `alert.signature.keyword` (Top 10)

#### Visualisation 3 : R√©partition par s√©v√©rit√©
- **Type** : Pie chart
- **M√©trique** : Count
- **Buckets** : Terms sur `alert.severity`

#### Visualisation 4 : Carte des IPs sources
- **Type** : Coordinate Map ou Tile Map
- **M√©trique** : Count
- **Buckets** : Geohash sur `src_ip` (si g√©olocalisation activ√©e)

### 4.4 Cr√©ation d'un Dashboard

1. Allez dans **Dashboard** ‚Üí **Create dashboard**
2. Ajoutez les visualisations cr√©√©es pr√©c√©demment
3. Configurez les filtres temporels
4. Sauvegardez le dashboard

**Note :** Pour ce TD, nous allons √©galement cr√©er des visualisations programmatiquement via l'API.

In [12]:
# V√©rification de l'acc√®s √† Kibana (via l'API REST)
import requests
import urllib3

# D√©sactiver les avertissements SSL pour le d√©veloppement
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

KIBANA_URL = "http://localhost:5601"
KIBANA_USER = "elastic"  # Modifiez si n√©cessaire
KIBANA_PASSWORD = None  # D√©finissez votre mot de passe si s√©curit√© activ√©e

# Test de connexion √† Kibana
try:
    if KIBANA_PASSWORD:
        response = requests.get(
            f"{KIBANA_URL}/api/status",
            auth=(KIBANA_USER, KIBANA_PASSWORD),
            verify=False,
            timeout=5
        )
    else:
        response = requests.get(f"{KIBANA_URL}/api/status", timeout=5)
    
    if response.status_code == 200:
        print("‚úÖ Kibana est accessible")
        status = response.json()
        print(f"   Version: {status.get('version', {}).get('number', 'N/A')}")
    else:
        print(f"‚ö†Ô∏è  Kibana r√©pond mais avec le code: {response.status_code}")
except requests.exceptions.ConnectionError:
    print("‚ùå Impossible de se connecter √† Kibana")
    print("   V√©rifiez que Kibana est d√©marr√© sur http://localhost:5601")
except Exception as e:
    print(f"‚ö†Ô∏è  Erreur: {e}")

‚úÖ Kibana est accessible
   Version: N/A


## Partie 5 : Alerting dans Kibana

### 5.1 Cr√©ation de r√®gles d'alerte

Kibana permet de cr√©er des r√®gles d'alerte bas√©es sur des requ√™tes Elasticsearch. Voici quelques exemples de r√®gles utiles pour un SIEM :

#### R√®gle 1 : Alerte sur haute s√©v√©rit√©
- **Condition** : Nombre d'alertes avec `severity <= 1` > 0
- **Action** : Envoyer une notification (email, Slack, etc.)

#### R√®gle 2 : Alerte sur scan de ports
- **Condition** : Plus de 10 alertes de type "SCAN" en 5 minutes
- **Action** : Notification imm√©diate

#### R√®gle 3 : Alerte sur IP suspecte
- **Condition** : Plus de 5 alertes depuis la m√™me IP source en 10 minutes
- **Action** : Bloquer l'IP (si int√©gration avec firewall)

### 5.2 Configuration des alertes via l'API

Pour cr√©er des alertes programmatiquement, utilisez l'API Kibana Alerting.

In [13]:
# Exemple de cr√©ation d'une r√®gle d'alerte Kibana
# Note: Cette fonctionnalit√© n√©cessite Kibana avec les fonctionnalit√©s d'alerting activ√©es

def create_alert_rule(rule_name, query, threshold, time_window="5m"):
    """
    Cr√©e une r√®gle d'alerte Kibana
    
    Args:
        rule_name: Nom de la r√®gle
        query: Requ√™te Elasticsearch (dict)
        threshold: Seuil d'alerte
        time_window: Fen√™tre temporelle (ex: "5m", "1h")
    """
    alert_rule = {
        "name": rule_name,
        "consumer": "alerts",
        "enabled": True,
        "rule_type_id": ".es-query",
        "schedule": {
            "interval": "1m"
        },
        "actions": [
            {
                "group": "query matched",
                "id": "my-connector-id",  # √Ä remplacer par un ID de connecteur r√©el
                "params": {
                    "message": f"Alerte: {rule_name} - Seuil d√©pass√©!"
                }
            }
        ],
        "params": {
            "index": [index_name],
            "query": query,
            "size": 100,
            "timeField": "@timestamp",
            "timeWindowSize": time_window,
            "threshold": [
                {
                    "field": "count",
                    "value": threshold,
                    "comparator": ">"
                }
            ]
        }
    }
    
    return alert_rule

# Exemple: R√®gle d'alerte pour haute s√©v√©rit√©
high_severity_query = {
    "bool": {
        "must": [
            {"term": {"event_type": "alert"}},
            {"range": {"alert.severity": {"lte": 1}}}
        ]
    }
}

alert_rule = create_alert_rule(
    rule_name="Alerte haute s√©v√©rit√© Suricata",
    query=high_severity_query,
    threshold=0,
    time_window="5m"
)

print("üìã Exemple de r√®gle d'alerte cr√©√©e:")
print(json.dumps(alert_rule, indent=2))

print("\nüí° Pour cr√©er cette r√®gle dans Kibana:")
print("   1. Allez dans Stack Management ‚Üí Rules and Connectors")
print("   2. Cr√©ez un connecteur (email, Slack, etc.)")
print("   3. Cr√©ez une nouvelle r√®gle avec les param√®tres ci-dessus")

üìã Exemple de r√®gle d'alerte cr√©√©e:
{
  "name": "Alerte haute s\u00e9v\u00e9rit\u00e9 Suricata",
  "consumer": "alerts",
  "enabled": true,
  "rule_type_id": ".es-query",
  "schedule": {
    "interval": "1m"
  },
  "actions": [
    {
      "group": "query matched",
      "id": "my-connector-id",
      "params": {
        "message": "Alerte: Alerte haute s\u00e9v\u00e9rit\u00e9 Suricata - Seuil d\u00e9pass\u00e9!"
      }
    }
  ],
  "params": {
    "index": [
      "suricata-logs"
    ],
    "query": {
      "bool": {
        "must": [
          {
            "term": {
              "event_type": "alert"
            }
          },
          {
            "range": {
              "alert.severity": {
                "lte": 1
              }
            }
          }
        ]
      }
    },
    "size": 100,
    "timeField": "@timestamp",
    "timeWindowSize": "5m",
    "threshold": [
      {
        "field": "count",
        "value": 0,
        "comparator": ">"
      }
    ]
  }
}

In [14]:
# D√©tection de patterns suspects

# 1. D√©tection d'IP source avec beaucoup d'alertes (possible scan/attaque)
def detect_suspicious_source_ips(min_alerts=3):
    """D√©tecte les IPs sources avec un nombre √©lev√© d'alertes"""
    query = {
        "size": 0,
        "query": {
            "term": {"event_type": "alert"}
        },
        "aggs": {
            "suspicious_ips": {
                "terms": {
                    "field": "src_ip",
                    "size": 20,
                    "min_doc_count": min_alerts
                },
                "aggs": {
                    "alert_details": {
                        "top_hits": {
                            "size": 5,
                            "_source": {
                                "includes": ["alert.signature", "alert.severity", "dest_ip", "dest_port"]
                            }
                        }
                    }
                }
            }
        }
    }
    
    result = es.search(index=index_name, body=query)
    
    print(f"üîç IPs sources suspectes (‚â•{min_alerts} alertes):\n")
    for bucket in result['aggregations']['suspicious_ips']['buckets']:
        ip = bucket['key']
        count = bucket['doc_count']
        print(f"‚ö†Ô∏è  {ip}: {count} alertes")
        
        # Afficher les d√©tails des alertes
        for hit in bucket['alert_details']['hits']['hits']:
            source = hit['_source']
            alert = source.get('alert', {})
            print(f"   - {alert.get('signature', 'N/A')} (S√©v√©rit√©: {alert.get('severity', 'N/A')})")
        print()
    
    return result

# 2. D√©tection d'alertes r√©centes (derni√®res 30 minutes)
def detect_recent_alerts(minutes=30):
    """D√©tecte les alertes r√©centes"""
    time_threshold = datetime.now() - timedelta(minutes=minutes)
    
    query = {
        "bool": {
            "must": [
                {"term": {"event_type": "alert"}}
            ],
            "filter": [
                {
                    "range": {
                        "@timestamp": {
                            "gte": time_threshold.isoformat()
                        }
                    }
                }
            ]
        }
    }
    
    result = es.search(index=index_name, query=query, size=100, sort=[{"@timestamp": {"order": "desc"}}])
    
    print(f"üïê Alertes des derni√®res {minutes} minutes: {result['hits']['total']['value']}\n")
    
    for hit in result['hits']['hits']:
        source = hit['_source']
        alert = source.get('alert', {})
        timestamp = source.get('@timestamp', source.get('timestamp', 'N/A'))
        print(f"‚è∞ {timestamp}")
        print(f"   {alert.get('signature', 'N/A')}")
        print(f"   {source.get('src_ip', 'N/A')} ‚Üí {source.get('dest_ip', 'N/A')}")
        print()
    
    return result

# Ex√©cuter les d√©tections
print("=" * 60)
detect_suspicious_source_ips(min_alerts=1)
print("\n" + "=" * 60)
detect_recent_alerts(minutes=60)



üîç IPs sources suspectes (‚â•1 alertes):

‚ö†Ô∏è  192.168.1.100: 1 alertes
   - ET POLICY Suspicious inbound to mySQL port 3306 (S√©v√©rit√©: 2)

‚ö†Ô∏è  198.51.100.10: 1 alertes
   - ET MALWARE Known Malware IP (S√©v√©rit√©: 1)

‚ö†Ô∏è  203.0.113.45: 1 alertes
   - ET SCAN Potential SSH Scan (S√©v√©rit√©: 2)


üïê Alertes des derni√®res 60 minutes: 3

‚è∞ 2026-01-17T15:32:40.125407
   ET POLICY Suspicious inbound to mySQL port 3306
   192.168.1.100 ‚Üí 10.0.0.50

‚è∞ 2026-01-17T15:27:40.125427
   ET SCAN Potential SSH Scan
   203.0.113.45 ‚Üí 10.0.0.50

‚è∞ 2026-01-17T15:12:40.125446
   ET MALWARE Known Malware IP
   198.51.100.10 ‚Üí 10.0.0.50



ObjectApiResponse({'took': 10, 'timed_out': False, '_shards': {'total': 1, 'successful': 1, 'skipped': 0, 'failed': 0}, 'hits': {'total': {'value': 3, 'relation': 'eq'}, 'max_score': None, 'hits': [{'_index': 'suricata-logs', '_id': '1', '_score': None, '_source': {'timestamp': '2026-01-17T15:32:40.125407', 'event_type': 'alert', 'src_ip': '192.168.1.100', 'src_port': 54321, 'dest_ip': '10.0.0.50', 'dest_port': 80, 'proto': 'TCP', 'alert': {'action': 'allowed', 'gid': 1, 'signature_id': 2012896, 'rev': 1, 'signature': 'ET POLICY Suspicious inbound to mySQL port 3306', 'category': 'Potentially Bad Traffic', 'severity': 2}, 'flow_id': 1234567890, 'in_iface': 'eth0', '@timestamp': '2026-01-17T15:32:40.125407'}, 'sort': [1768663960125]}, {'_index': 'suricata-logs', '_id': '2', '_score': None, '_source': {'timestamp': '2026-01-17T15:27:40.125427', 'event_type': 'alert', 'src_ip': '203.0.113.45', 'src_port': 44321, 'dest_ip': '10.0.0.50', 'dest_port': 22, 'proto': 'TCP', 'alert': {'action': 

In [15]:
# Exemple de requ√™te pour analyser les patterns temporels (utile pour ML)
# Cette requ√™te peut √™tre utilis√©e comme base pour un job ML

def analyze_temporal_patterns():
    """Analyse les patterns temporels dans les alertes"""
    
    # Agr√©gation par heure de la journ√©e
    query = {
        "size": 0,
        "query": {
            "term": {"event_type": "alert"}
        },
        "aggs": {
            "alerts_by_hour": {
                "date_histogram": {
                    "field": "@timestamp",
                    "calendar_interval": "hour",
                    "min_doc_count": 1
                },
                "aggs": {
                    "by_severity": {
                        "terms": {
                            "field": "alert.severity",
                            "size": 5
                        }
                    },
                    "unique_ips": {
                        "cardinality": {
                            "field": "src_ip"
                        }
                    }
                }
            },
            "alerts_by_day": {
                "date_histogram": {
                    "field": "@timestamp",
                    "calendar_interval": "day",
                    "min_doc_count": 1
                }
            }
        }
    }
    
    result = es.search(index=index_name, body=query)
    
    print("üìà Analyse des patterns temporels\n")
    
    # Afficher les alertes par heure
    if 'alerts_by_hour' in result['aggregations']:
        print("üïê Distribution des alertes par heure:")
        for bucket in result['aggregations']['alerts_by_hour']['buckets']:
            time_str = bucket['key_as_string']
            count = bucket['doc_count']
            unique_ips = bucket['unique_ips']['value']
            print(f"   {time_str}: {count} alertes ({unique_ips} IPs uniques)")
    
    print(f"\nüìä Total d'alertes analys√©es: {result['hits']['total']['value']}")
    
    return result

# Ex√©cuter l'analyse
try:
    analyze_temporal_patterns()
except Exception as e:
    print(f"‚ö†Ô∏è  Erreur lors de l'analyse: {e}")
    print("   Assurez-vous que les donn√©es contiennent des timestamps valides")

üìà Analyse des patterns temporels

üïê Distribution des alertes par heure:
   2026-01-17T15:00:00.000Z: 3 alertes (3 IPs uniques)

üìä Total d'alertes analys√©es: 3


### 6.4 D√©tection d'anomalies basique (sans ML)

M√™me sans activer ML, nous pouvons cr√©er des r√®gles de d√©tection d'anomalies basiques.

In [16]:
# D√©tection d'anomalies basique : identifier les comportements inhabituels

def detect_anomalies():
    """D√©tecte des anomalies basiques dans les logs"""
    
    anomalies = []
    
    # 1. IP source avec trop d'alertes diff√©rentes (possible botnet/scan)
    query1 = {
        "size": 0,
        "query": {"term": {"event_type": "alert"}},
        "aggs": {
            "ips_with_many_alerts": {
                "terms": {
                    "field": "src_ip",
                    "size": 10
                },
                "aggs": {
                    "unique_signatures": {
                        "cardinality": {
                            "field": "alert.signature_id"
                        }
                    },
                    "unique_dest_ips": {
                        "cardinality": {
                            "field": "dest_ip"
                        }
                    }
                }
            }
        }
    }
    
    result1 = es.search(index=index_name, body=query1)
    
    print("üîç D√©tection d'anomalies basiques\n")
    print("=" * 60)
    
    # Analyser les r√©sultats
    for bucket in result1['aggregations']['ips_with_many_alerts']['buckets']:
        ip = bucket['key']
        total_alerts = bucket['doc_count']
        unique_signatures = bucket['unique_signatures']['value']
        unique_dest_ips = bucket['unique_dest_ips']['value']
        
        # Crit√®res d'anomalie
        if unique_signatures > 3 or unique_dest_ips > 5:
            anomaly = {
                "type": "Suspicious scanning activity",
                "ip": ip,
                "total_alerts": total_alerts,
                "unique_signatures": unique_signatures,
                "unique_dest_ips": unique_dest_ips
            }
            anomalies.append(anomaly)
            
            print(f"üö® ANOMALIE D√âTECT√âE:")
            print(f"   IP: {ip}")
            print(f"   Type: Activit√© de scan suspecte")
            print(f"   Raison: {unique_signatures} signatures diff√©rentes, {unique_dest_ips} IPs de destination diff√©rentes")
            print(f"   Total alertes: {total_alerts}")
            print()
    
    # 2. Alertes de haute s√©v√©rit√© r√©centes
    query2 = {
        "bool": {
            "must": [
                {"term": {"event_type": "alert"}},
                {"range": {"alert.severity": {"lte": 1}}}
            ],
            "filter": [
                {
                    "range": {
                        "@timestamp": {
                            "gte": (datetime.now() - timedelta(hours=1)).isoformat()
                        }
                    }
                }
            ]
        }
    }
    
    result2 = es.search(index=index_name, query=query2, size=100)
    
    if result2['hits']['total']['value'] > 0:
        print("üö® ALERTES CRITIQUES R√âCENTES:")
        for hit in result2['hits']['hits']:
            source = hit['_source']
            alert = source.get('alert', {})
            print(f"   - {alert.get('signature', 'N/A')}")
            print(f"     Source: {source.get('src_ip', 'N/A')}")
            print(f"     S√©v√©rit√©: {alert.get('severity', 'N/A')}")
        print()
    
    return anomalies

# Ex√©cuter la d√©tection
anomalies = detect_anomalies()

if not anomalies:
    print("‚úÖ Aucune anomalie majeure d√©tect√©e avec les crit√®res actuels")

üîç D√©tection d'anomalies basiques



üö® ALERTES CRITIQUES R√âCENTES:
   - ET MALWARE Known Malware IP
     Source: 198.51.100.10
     S√©v√©rit√©: 1

‚úÖ Aucune anomalie majeure d√©tect√©e avec les crit√®res actuels


## Partie 7 : Exercices pratiques

### Exercice 1 : Recherche d'IPs malveillantes

Cr√©ez une requ√™te pour trouver toutes les alertes provenant d'une IP sp√©cifique et analysez les signatures d√©clench√©es.

### Exercice 2 : Analyse de trafic HTTP

Recherchez tous les √©v√©nements HTTP et identifiez les requ√™tes suspectes (ex: tentatives d'acc√®s √† `/admin`, `/wp-admin`, etc.).

### Exercice 3 : Dashboard personnalis√©

Cr√©ez un dashboard Kibana avec :
- Timeline des alertes
- Top 10 des signatures
- Carte des IPs sources
- Graphique de s√©v√©rit√©

### Exercice 4 : R√®gle d'alerte personnalis√©e

Cr√©ez une r√®gle d'alerte qui se d√©clenche lorsqu'une IP g√©n√®re plus de 5 alertes en 10 minutes.

### Exercice 5 : D√©tection de patterns

√âcrivez une requ√™te pour d√©tecter les scans de ports (plusieurs tentatives de connexion sur diff√©rents ports depuis la m√™me IP).

In [17]:
# EXERCICE 1 : Recherche d'IPs malveillantes
# Compl√©tez cette fonction pour rechercher toutes les alertes d'une IP sp√©cifique

def search_alerts_by_ip(ip_address):
    """
    Recherche toutes les alertes pour une IP source donn√©e
    
    Args:
        ip_address: Adresse IP √† rechercher (ex: "192.168.1.100")
    
    Returns:
        R√©sultats de la recherche
    """
    # TODO: Cr√©er la requ√™te Elasticsearch
    query = {
        "bool": {
            "must": [
                {"term": {"event_type": "alert"}},
                {"term": {"src_ip": ip_address}}
            ]
        }
    }
    
    result = es.search(index=index_name, query=query, size=100)
    
    print(f"üîç Alertes pour l'IP {ip_address}: {result['hits']['total']['value']}\n")
    
    signatures = {}
    for hit in result['hits']['hits']:
        source = hit['_source']
        alert = source.get('alert', {})
        sig_id = alert.get('signature_id', 'N/A')
        sig_name = alert.get('signature', 'N/A')
        
        if sig_id not in signatures:
            signatures[sig_id] = {
                "name": sig_name,
                "count": 0,
                "severity": alert.get('severity', 'N/A')
            }
        signatures[sig_id]["count"] += 1
    
    print("üìã Signatures d√©clench√©es:")
    for sig_id, info in signatures.items():
        print(f"   [{sig_id}] {info['name']}: {info['count']} fois (S√©v√©rit√©: {info['severity']})")
    
    return result

# Test avec une IP de test
# R√©cup√©rer d'abord quelques alertes pour obtenir une IP de test
test_query = {
    "bool": {
        "must": [
            {"term": {"event_type": "alert"}}
        ]
    }
}
test_result = es.search(index=index_name, query=test_query, size=1)

if test_result['hits']['total']['value'] > 0:
    test_ip = test_result['hits']['hits'][0]['_source'].get('src_ip')
    if test_ip:
        print(f"\nüß™ Test avec l'IP: {test_ip}\n")
        search_alerts_by_ip(test_ip)
    else:
        print("‚ö†Ô∏è  Aucune IP source trouv√©e dans les alertes")
else:
    print("‚ö†Ô∏è  Aucune alerte trouv√©e pour le test")


üß™ Test avec l'IP: 192.168.1.100

üîç Alertes pour l'IP 192.168.1.100: 1

üìã Signatures d√©clench√©es:
   [2012896] ET POLICY Suspicious inbound to mySQL port 3306: 1 fois (S√©v√©rit√©: 2)


In [18]:
# EXERCICE 2 : Analyse de trafic HTTP suspect
# Recherchez les requ√™tes HTTP suspectes

def find_suspicious_http_requests():
    """Recherche les requ√™tes HTTP suspectes"""
    
    # URLs suspectes communes
    suspicious_paths = ["/admin", "/wp-admin", "/phpmyadmin", "/.env", "/config.php"]
    
    query = {
        "bool": {
            "must": [
                {"term": {"event_type": "http"}}
            ],
            "should": [
                {"wildcard": {"http.url": f"*{path}*"}} for path in suspicious_paths
            ],
            "minimum_should_match": 1
        }
    }
    
    result = es.search(index=index_name, query=query, size=100)
    
    print(f"üö® Requ√™tes HTTP suspectes trouv√©es: {result['hits']['total']['value']}\n")
    
    for hit in result['hits']['hits']:
        source = hit['_source']
        http = source.get('http', {})
        print(f"‚ö†Ô∏è  {source.get('src_ip', 'N/A')} ‚Üí {http.get('hostname', 'N/A')}{http.get('url', 'N/A')}")
        print(f"   M√©thode: {http.get('http_method', 'N/A')}, Status: {http.get('status', 'N/A')}")
        print()
    
    return result

# Ex√©cuter la recherche
try:
    find_suspicious_http_requests()
except Exception as e:
    print(f"‚ö†Ô∏è  Erreur: {e}")
    print("   V√©rifiez que vous avez des √©v√©nements HTTP dans vos logs")

üö® Requ√™tes HTTP suspectes trouv√©es: 0



## Partie 8 : R√©sum√© et bonnes pratiques

### Bonnes pratiques pour un SIEM

1. **Indexation optimale**
   - Utilisez des index avec rotation temporelle (ex: `suricata-YYYY.MM.DD`)
   - Configurez des index templates pour automatiser la cr√©ation
   - D√©finissez des politiques de r√©tention (ILM - Index Lifecycle Management)

2. **Mapping des champs**
   - D√©finissez correctement les types de champs (IP, date, keyword, text)
   - Utilisez des champs `keyword` pour les agr√©gations
   - Utilisez des champs `text` pour la recherche full-text

3. **S√©curit√©**
   - Activez la s√©curit√© Elasticsearch en production
   - Utilisez des certificats SSL/TLS
   - Configurez des r√¥les et permissions appropri√©s

4. **Performance**
   - Monitorer la sant√© du cluster
   - Ajuster le nombre de shards selon le volume de donn√©es
   - Utiliser des alias pour les index

5. **Alerting**
   - Cr√©ez des r√®gles d'alerte pertinentes (pas trop, pas trop peu)
   - Testez r√©guli√®rement les alertes
   - Documentez les proc√©dures de r√©ponse aux incidents

6. **Maintenance**
   - Surveillez les logs Elasticsearch et Kibana
   - Effectuez des sauvegardes r√©guli√®res
   - Mettez √† jour r√©guli√®rement les r√®gles Suricata

### Ressources suppl√©mentaires

- **Documentation Suricata** : https://suricata.readthedocs.io/
- **Documentation Filebeat** : https://www.elastic.co/guide/en/beats/filebeat/current/index.html
- **Documentation Elasticsearch** : https://www.elastic.co/guide/en/elasticsearch/reference/current/index.html
- **Documentation Kibana** : https://www.elastic.co/guide/en/kibana/current/index.html
- **Elastic Security** : https://www.elastic.co/security

### Prochaines √©tapes

1. Int√©grer d'autres sources de logs (Apache, Nginx, Windows Event Logs, etc.)
2. Configurer des enrichissements (g√©olocalisation IP, threat intelligence)
3. Cr√©er des playbooks de r√©ponse aux incidents
4. Mettre en place une stack compl√®te avec Logstash si n√©cessaire
5. Explorer Elastic Security (anciennement SIEM) pour des fonctionnalit√©s avanc√©es

In [19]:
# Fonction utilitaire : Nettoyage des ressources
def cleanup():
    """Supprime l'index de test (optionnel)"""
    response = input("Voulez-vous supprimer l'index 'suricata-logs'? (oui/non): ")
    if response.lower() in ['oui', 'o', 'yes', 'y']:
        if es.indices.exists(index=index_name):
            es.indices.delete(index=index_name)
            print(f"‚úÖ Index '{index_name}' supprim√©")
        else:
            print(f"‚ÑπÔ∏è  L'index '{index_name}' n'existe pas")
    else:
        print("‚ÑπÔ∏è  Index conserv√©")

# D√©commenter pour nettoyer
# cleanup()

print("\n" + "=" * 60)
print("‚úÖ TD termin√©!")
print("=" * 60)
print("\nüìö N'oubliez pas de:")
print("   1. Explorer Kibana pour cr√©er vos visualisations")
print("   2. Configurer des alertes dans Kibana")
print("   3. Tester avec de vrais logs Suricata")
print("   4. Documenter vos r√®gles et proc√©dures")
print("\nüéì Bonne continuation avec votre SIEM!")


‚úÖ TD termin√©!

üìö N'oubliez pas de:
   1. Explorer Kibana pour cr√©er vos visualisations
   2. Configurer des alertes dans Kibana
   3. Tester avec de vrais logs Suricata
   4. Documenter vos r√®gles et proc√©dures

üéì Bonne continuation avec votre SIEM!
