Académique Documents
Professionnel Documents
Culture Documents
Michal BLANC
EFREI M2 - SI1
1
Enjeux : Exemples OSSIM
Le 6 Dcembre 2007 :
3
Composants OSSIM
Composants d'OSSIM :
P0f, dtection et l'analyse des changement des OS
Arpwatch, dtection des anomalies (adresse MAC)
Ntop, base de donnes de comportement
Pads, dtection des anomalies de service
Nessus, valuation de la vulnrabilit
Snort, dtection d'intrusion (IDS)
Osiris, dtection d'intrusion (HIDS)
Tcptrack, corrlation des donnes de session
Spade, statistiques de dtection des anomalies
Nagios, surveillance de la disponibilit des services
Moteur de corrlation et rgles squentielles
4
Les alertes OSSIM
5
Reporting OSSIM
Exemple de reporting
6
Reporting OSSIM
Exemple de reporting
7
Exemple : SFR OSSIM
Problmatique :
Cartographie de la malveillance
Qualification des impacts potentiels ou avrs
Infrastructure complexe (20 000 quipements)
Taille des fichiers de journalisation
Rsultats :
10 000 000 d'venement -> 10 alertes traiter
Corrlations multiples avec des rgles squentielles
Repporting et amlioration du tableau de bord
Evolutions :
Logs d'antivirus
Logs de logiciels de filtrage
Autre moteur de correlation (Data mining)
Source : 01 Rseaux
8
OSSIM