Scribd Logo
Importer

Bienvenue sur Scribd !

  • Réflexion Sur La Mise en Oeuvre D'un Projet de Corrélation Séminaire Du 9 Mai 2006

    Transféré par

    api-15302036
    18 vues15 pages

    Titre original

    null

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    18 vues15 pages

    Réflexion Sur La Mise en Oeuvre D'un Projet de Corrélation Séminaire Du 9 Mai 2006

    Transféré par

    api-15302036

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 15

    e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

    Réflexion sur la mise en oeuvre d’un projet de corrélation

    Séminaire du 9 mai 2006

    Sylvain Maret

    4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
    4 Réflexion sur la mise en oeuvre d’un projet de corrélation

    f Comment aborder un projet de


    corrélation?

    f Quelles sont les sources à


    collecter?

    f Faut il donner des priorités aux


    informations?

    f Que faire des informations du


    périmètre de sécurité?
    4 Solutions à la clef
    4 Fonctions principales d’une solution de corrélation

    f Collecter les informations là ou elles sont (A)

    f Corréler ces informations hétérogènes

    f Présenter en temps réel les alertes fiabilisées (B)

    f Donne les moyens de réagir aux alertes (C)

    f Générer des tableaux de bord

    f Archiver les logs


    4 Solutions à la clef
    4 L’approche d’un projet SIM

    (B)
    alertes fiabilisées
    (A)
    (C)
    là ou elles sont
    réagir aux alertes

    solution de corrélation

    4 Solutions à la clef
    4 Inventaire du système d’information (SI)

    f Classification des biens du SI Exemple

    f Confidentialité (C) C I D
    f Intégrité (I)
    f Disponibilité (D) A

    B
    f Niveau A (Elevé)
    f Niveau B (Moyen) C
    f Niveau C (Bas)

    4 Solutions à la clef
    4 Exemple avec la société « Acme.com »

    C I D
    GESTIA (Application GED)
    COCKPIT (ERP)
    E-Connect (Extranet Web)
    Prod4 (App. de production robotisé)
    Messagerie (App. Lotus Notes)
    Connectra (Système pour la vente)
    Etc.

    4 Solutions à la clef
    4 Une approche pragmatique

    f Voir le projet SIM comme un


    processus à long terme.

    f Définition des priorités


    f Surveillance des points chauds
    f Biens niveau A

    4 Solutions à la clef
    4 L’approche d’un projet SIM

    (A)

    la ou elles sont

    4 Solutions à la clef
    4 Décomposition d’un bien informatique

    ERP « COCKPIT »

    Evénements directs

    End Point Network System Application

    Internal External
    Security Security

    Evénements avoisinants Evénements éloignés

    4 Solutions à la clef
    4 Collecte d’événements pour « Cockpit »

    Zone Description Poids

    APP Tomcat, Apache 2.x, Oracle 10

    System Linux Red Hat, SSH, PAM 8

    System Solaris 2.8, SSH, PAM, Tripwire (FIA) 8


    Collecte
    Internal Nagios, Sonde IDS, firewall, Ace Server 5
    Security
    External Firewall, IDS 2
    Security

    4 Solutions à la clef
    4 L’approche d’un projet SIM

    (B)
    alertes fiabilisées

    solution de corrélation

    4 Solutions à la clef
    4 Réflexion sur les alertes ?

    f Pour les biens que l’on désire surveiller!

    f Définir les événements à « Remonter »


    f Utilisateurs inexistants
    f Brute force attaque
    f Brusque changement de trafique
    f Changement d’intégrité (FIA)
    f Nouvelle MAC adresse sur le réseau
    f Attaque sur une zone interne
    f Etc.
    4 Solutions à la clef
    4 L’approche d’un projet SIM

    (C)
    réagir aux alertes

    4 Solutions à la clef
    4 Des informations par rôle

    Management
    Responsable de l’entreprise
    Gestion des risques

    Securité
    Responsable sécurité
    Gestion global de la sécurité (gestion des risques)

    Opérationnel
    Intégration et exploitation
    Gestion des systèmes et infrastructure

    4 Solutions à la clef
    4 Conclusion

    f Un projet SIM est un processus à long terme

    f L’analyse des biens est très importante


    f Que surveiller?

    f Donner la priorité aux événements proches des biens


    (Cœur du métier)

    f Ne pas négliger la partie organisationnelle


    4 Solutions à la clef

    Vous aimerez peut-être aussi