Académique Documents
Professionnel Documents
Culture Documents
Page 1
Directeur du TFM:
Marco Antonio Lozano Merino
Maître de conférences en charge du sujet:
Victor Garcia Police
Juin 2018
https://translate.googleusercontent.com/translate_f 1/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
je
Page 2
https://translate.googleusercontent.com/translate_f 2/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
ii
Page 3
Master en sécurité de
Titre: Technologies de l'information et
Télécommunications
https://translate.googleusercontent.com/translate_f 3/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
iii
Page 4
iv
https://translate.googleusercontent.com/translate_f 4/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
Page 5
Indice
https://translate.googleusercontent.com/translate_f 5/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
Page 6
vu
https://translate.googleusercontent.com/translate_f 6/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
Page 7
vii
Page 8
https://translate.googleusercontent.com/translate_f 7/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
1. Introduction
1.1 Contexte et justification des travaux
Dans ce travail, la partie la plus dédiée sera celle du développement, car c'est la
qui a plus de complexité et nécessite plus d'efforts.
Objectifs Generals:
1. Capacité d'analyse et de synthèse de la sécurité d'un système.
2. Connaissance des outils et des tendances technologiques du marché pour
sécurité informatique.
3. Capacité à sélectionner, appliquer et intégrer les connaissances techniques
et des scientifiques aptes à résoudre des problèmes dans de nouveaux contextes.
4. Capacité à communiquer des informations à des publics spécialisés et
non spécialisé de manière claire et sans ambiguïté.
5. Capacité à rédiger de la documentation scientifique.
6. Capacité d'apprentissage autonome en consultant les informations.
7. Aptitude à jouer, présenter et défendre devant les tribunaux
université un exercice réalisé individuellement consistant en un
projet global pour la sécurité des technologies de l'information et
communications à caractère professionnel.
Page 9
https://translate.googleusercontent.com/translate_f 8/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
Objectifs spécifiques:
1. Connaissance du concept SIEM, de ses capacités et fonctionnalités.
2. Connaissance des différents outils et tendances technologiques
du marché des systèmes de sécurité autour d'un SIEM.
3. Aptitude à utiliser des techniques de sécurité de base et des contre-mesures pour
prévenir les attaques.
4. Capacité à identifier, évaluer et gérer les principaux risques
système dans l'environnement où le SIEM est installé.
5. Capacité d'identifier les vulnérabilités de la vie privée
systèmes et capacité à les protéger.
6. Connaissance et utilisation des outils d'administration et
protection du réseau et gestion des alertes de sécurité.
7. Aptitude à concevoir, déployer, organiser et gérer des réseaux de
communications résidentielles, commerciales ou
institutions, assumant la responsabilité de la sécurité du système et
protection des données des utilisateurs.
8. Aptitude à concevoir des solutions globales appropriées dans les scénarios
complexes qui combinent des techniques et des contre-mesures connues pour
prévention, détection et dissuasion des attaques.
9. Connaissance des méthodes d'acquisition et d'analyse des preuves
d'un incident de sécurité. Capacité à utiliser SIEM pour la gestion
et la résolution des incidents.
10. Connaissance des problèmes de sécurité et de certains de leurs
des solutions possibles.
Page 10
• Tests.
https://translate.googleusercontent.com/translate_f 9/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
• Rapports.
Tous ces points seront réalisés de manière pratique dans un environnement de laboratoire
virtuel. Ce sera le laboratoire d'essais.
Enfin, un manuel sera préparé (il peut s'agir d'un document texte ou
vidéotutoriel, etc.) de son fonctionnement.
Page 11
https://translate.googleusercontent.com/translate_f 10/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
Page 12
Les systèmes SIEM sont nés de l'intégration de deux technologies différentes, qui
ont été intégrés ces dernières années:
https://translate.googleusercontent.com/translate_f 11/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
alertes de sécurité en temps réel générées par un pare-feu ou
IDS / IPS.
• SIM. Il a effectué les mêmes opérations que SEM à la différence que
la gestion n'était pas en temps réel, étant en mesure de collecter des informations passées et
générer des rapports basés sur celui-ci.
1.6 Ressources
Page 13
2. Fondements théoriques
Il devient de plus en plus difficile de faire face aux attaques qui se produisent
réseaux informatiques, les systèmes SIEM aident les administrateurs réseau à
automatiser ce travail pour permettre la gestion de la sécurité du réseau
plus efficace.
Certains des incidents de sécurité sont clairs et votre identification pourrait être
simples, mais une grande partie des incidents de sécurité, bien qu'ils puissent être
https://translate.googleusercontent.com/translate_f 12/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
évidents, ils selecachent
produits dans derrière
réseau d'une le grand nombre
organisation, et qued'événements
sans système par seconde
SIEM, ils seraient
complètement inaperçu. Les systèmes SIEM sont utilisés pour surveiller,
identifier, documenter et même répondre aux incidents de sécurité. [1-
Introduction]
L'une des grandes propriétés d'un système SIEM est la réduction des faux
alertes, fréquemment produites, par exemple, via des systèmes de surveillance
détection d'intrusion (IDS). Réduire les fausses alertes va de pair
du filtrage et de la corrélation des événements de sécurité produits par le SIEM,
discriminer avec précision les situations que les capteurs classifient
d'incidents de sécurité sans en être un. [1. Introduction]
Page 14
étant collectés sous forme de journaux, ils peuvent être analysés sous des filtres et des règles
pour auditer et valider le respect des exigences imposées par
l'organisation dans sa politique de sécurité et répondre à ces exigences
les exigences de sécurité et celles associées à la réglementation en vigueur.
• Capacité médico-légale. Possibilité d'analyser les données et les alertes pour
déterminer l'origine des incidents de sécurité et traiter
se.
• Agrégation et corrélation des événements de sécurité en temps réel. SIEM
établit des relations entre différents événements, en étudiant la fréquence
des événements, leur calendrier, etc., pour établir le
la véracité de l'incident (éliminer les faux positifs) et être capable d'unir tous ces
événements et considérez-les comme un seul incident, ce qui facilite votre traitement.
Le moteur de corrélation peut prendre en compte des événements autres que
recherché pour fournir une photographie plus complète du
véritable cause du problème.
• Capacité de réponse. Actions réactives. Une fois que le SIEM est
capable d'identifier l'incident de sécurité après avoir collecté et adapté les
les journaux et les corréler pour être sûr que l'incident est vrai,
certains SIEM ont la capacité de réagir automatiquement
face à de tels incidents en essayant d'atténuer le problème. Par exemple,
Une fois la cause du problème confirmée, nous pourrions éteindre l'embouchure du
basculer d'où le problème est généré, si possible et approprié, ou
filtrer l'accès à cette adresse IP particulière d'où provient l'incident,
etc.
sept
Page 15
• Sécurité sur les ordinateurs clients. Les systèmes SIEM ont la capacité
pour surveiller la santé et l'état d'une équipe finale. Par exemple, ils peuvent
surveiller l'état des ressources système d'un serveur, d'un bureau
ou d'autres, les processus en cours d'exécution, analysent leur
vulnérabilités, surveillez l'état de votre antivirus, etc.
• Surveillance et alertes de sécurité. Les systèmes SIEM ont la
capacité de visualiser, surveiller et gérer tous les événements de
Sécurité. Ils sont capables d'analyser automatiquement tous les événements et
notifier uniquement ceux qui sont vraiment les plus pertinents. je sais
vous devez être conscient de la grande quantité de données fournies par
capteurs au système SIEM et celui-ci doit pouvoir alerter uniquement
ceux qui sont vraiment significatifs, il s'agit vraiment
"Trouvez l'aiguille dans la botte de foin"
• Présentation des rapports de sécurité. Capacité de présentation de
rapports exécutifs et techniques.
Un SIEM représente une machine complexe avec plusieurs pièces qui peuvent être
caractériser à la fois d'un point de vue logique et physique [1-78].
https://translate.googleusercontent.com/translate_f 14/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
Récolte
surveillance
et rétention Tableaux de bord
zation
de journaux
Corrélation
D'événements
SIEM Rapports
Conformité
Alertes dans Une analyse
aux politiques
Temps réel légal
Sécurité
SIEM peut être vu du point de vue d'un système de gestion des journaux, auquel
des capacités sont ajoutées dans le domaine de la sécurité de l'information.
Page 16
Capteurs
Alertes de règles
Filtré et Magasins-
Commutateurs Les équipes Récolte
Normaliser- mensonge de
Les routeurs Terminaux de journaux
tion de journaux Journaux
Corrélation
Scanners
NAC
Vulnera.
Une analyse Moniteur- Une analyse
temps réel tion légal
https://translate.googleusercontent.com/translate_f 15/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
qui a à voir avec la sécurité et est capable de générer des journaux
(logs), il devrait pouvoir être connecté au SIEM.
• Collecte de journaux [1-81]: Il s'agit de la procédure de transfert du
enregistre dans SIEM, et il existe essentiellement deux méthodes selon
qui est en charge de la tâche de récolte: le capteur «méthode push» ou
la "méthode pull" SIEM. Dans la méthode "push", le capteur envoie les enregistrements
vers SIEM au moyen d'une méthode (syslog, beats, nxlog, etc.) avec
indépendance totale du SIEM, au lieu de cela dans la méthode "pull" il est nécessaire
le SIEM pour initier la connexion afin de collecter les enregistrements générés
sur le capteur. Par exemple, dans la méthode «push», le SIEM pourrait lire le
le capteur enregistre si nécessaire.
• Filtrage et normalisation des journaux [1-83]: les enregistrements de
différents capteurs et bien sûr de nature différente, adoptez un
format qui dépend du même capteur et ce format est généralement
très différent pour chaque type de capteur. SIEM devrait normaliser tous
les différents formats sont arrivés des différents capteurs pour faciliter leur
lire et autoriser les formats standard pour la corrélation ultérieure de
événements. Le formulaire unifié au format journal facilite la création
règles de corrélation.
• Règles de corrélation d'alertes [1-85]: le SIEM doit avoir la capacité de
générer des alertes via la visualisation, la messagerie, etc. de tous ceux
Page 17
Sa mission principale est de parvenir à une meilleure détection des incidents de sécurité,
enquêter sur tout ce qui se passe dans notre réseau au niveau de la sécurité et répondre
les faiblesses et les incidents qui existent ou surviennent dans une organisation. De plus, un
SOC envoie des rapports à l'organisation pour laquelle il gère la sécurité informatique
dix
Page 18
Les grands SOC utilisent souvent un système à trois niveaux pour gérer
alertes de sécurité générées par un système SIEM. Dans le grand
organisations ces niveaux sont occupés par des personnes différentes,
Dans les petites organisations, le personnel du SOC peut appartenir à divers
https://translate.googleusercontent.com/translate_f 17/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
niveaux en même temps. Les niveaux d'un SOC sont agissent comme suit
façon:
Onze
Page 19
Analystes Niveau 1
Pare-feu IDS / IPS
Incident
Scanners Enquête
NAC
Vulnera.
Analystes de niveau 2
Menace BBBD
Externe
Le choix d'un système SIEM est assez compliqué, cela dépend fondamentalement
des caractéristiques à contrôler, les cas d'utilisation
nécessaire.
Les organisations acquièrent souvent des SIEM surchargés, avec tous les
caractéristiques et fonctionnalités possibles, souvent annoncées avec
"Chants et sirènes" par les vendeurs et non conformes à la
besoins de l’organisation. En fait, toutes ces fonctionnalités ajoutent
complexité à un produit qui, de par sa nature, est déjà assez complexe en
ses modèles les plus basiques.
12
Page 20
Il existe une variété de systèmes SIEM sur le marché, les plus populaires sont
pratiquement en paiement intégral, seuls quelques-uns sont ouverts
source et avec des fonctionnalités limitées.
Pour effectuer la comparaison des systèmes SIEM, nous utiliserons les systèmes
le plus populaire [4], et la première chose que nous allons vous montrer est le Magic Quadrant de
Gatner pour les systèmes SIEM, publié le 4 décembre 2017. [2]
https://translate.googleusercontent.com/translate_f 19/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
Dans le quadrant précédent, on peut voir que les principaux systèmes SIEM sont
QRadar (IBM), Splunk, LogRhythm et McAfee ESM, qui sont également les plus
populaire associé à AlientVault, ArcSight et RSA.
Dans la comparaison suivante, un nouveau produit Open Source sera ajouté en tant que
est ELK qui, bien que ce ne soit pas en soi un SIEM, l'ajout de plugins et
configurations, il peut avoir des caractéristiques similaires. [2] [3] [4].
13
Page 21
QRadar
QRadar est un SIEM de la société IBM, avec des composants supplémentaires tels que
gestion des journaux, surveillance du réseau, gestion et gestion des vulnérabilités
risque.
avantage Désavantages
Il s'adapte aux moyennes et grandes organisations. N'intègre pas la surveillance du client final (OS)
(points de terminaison), vous avez besoin de plugins tiers.
Architecture flexible qui prend en charge divers environnements. Bon moteur de recherche, bien que concurrents
Solution disponible en version physique ou virtuelle, comme Splunk et LogRhythm l'améliorent.
centralisé ou distribué, il peut aussi être «sur
cloud »ou cogéré avec des partenaires IBM
QRadar.
Possibilité de se connecter à la sécurité SIEM de L'outil de réponse aux incidents (IBM
des tiers. Résilient) n'est pas natif et doit être connecté via
à partir de l'outil de connexion tiers.
Bon système de surveillance en temps réel et L'octroi de licences est déroutant et complexe.
historique.
Cran
avantage Désavantages
SIEM avec l'addition (UBA) présente un Prix de licence élevé.
superbe moteur de recherche. Ça pourrait être le meilleur
avec LogRhythm.
C'est un produit apprécié des clients. Splunk ne propose pas de version Appliance, vous devez
installer sur du matériel pris en charge.
Grand parc d'entreprises associées qui facilite
mise en œuvre dans les organisations.
Il peut coexister avec d'autres systèmes, en utilisant
d'autres cas d'utilisation, ouvrant la voie à
équipes de sécurité souhaitant ajouter un
Solution SIEM à votre environnement où
infrastructure centrale et sources d'enregistrement
les événements sont déjà en cours.
LogRhythm
https://translate.googleusercontent.com/translate_f 20/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
avantage Désavantages
C'est une plateforme solide et évolutive à partir d'un seul Intégration difficile avec des solutions tierces. Apis
périphérique jusqu'aux architectures n-tier. moins ouverts aux tiers que leurs concurrents.
Interface utilisateur puissante qui fournit un Difficulté de mise à l'échelle pour prendre en charge des volumes de
solide expérience de surveillance du temps événements très élevés.
réel.
Intègre les activités de réponse automatique et
manuel contre les incidents de sécurité
Bien adapté aux environnements ICS / SCADA
Bon modèle d'implémentation et de support grâce à
depuis le service de déploiement central.
14
Page 22
ESM est le SIEM de McAfee, avec une interface utilisateur Web, des analyses
base de données d'événements, capacités de rapport et
gérer de manière centralisée les autres composants complémentaires
à la solution.
avantage Désavantages
Licence simplifiée pour les différents Pire capacité d'analyse avancée, en
options, à la fois physiques et virtuelles. comparaison avec d'autres concurrents.
Ils sont nativement intégrés à d'autres produits Moins de capacité d'automatisation et d'actions
McAffe. réponse que vos concurrents.
Convient aux environnements ICS / SCADA. Faibles offres de formation sur le produit.
Inquiétude de la part des clients.
Amélioration progressive de la satisfaction client,
concernant le produit.
AlientVault
AlienVault est introduit sur le marché avec deux offres différentes, Unified Security
Management (USM) est une appliance (physique ou virtuelle) et USM Anywhere
qui est une solution SaaS dans le cloud.
avantage Désavantages
Ils incluent des capacités de sécurité intégrées, Différences importantes entre les capacités de
tels que la détection d'actifs, IDS, scanners de sécurité les deux produits proposés (appliance et cloud).
vulnérabilités, etc.
Prix du produit inférieur par rapport à leur Flux de travail basé sur les rôles, intégration
concurrents. de tickets, prise en charge de plusieurs
renseignements et capacités sur les menaces
analyses avancées, à la traîne par rapport aux autres
concurrents
Type de licence simple, flexible et facile à utiliser Orienté vers les petites et moyennes organisations.
comprendre.
Il dispose d'un produit Open Source (OSSIM), avec
capacités limitées.
ArcSight
avantage Désavantages
Largement utilisé dans les SOC de grande taille et complexes. Moment critique pour le produit après avoir été
https://translate.googleusercontent.com/translate_f 21/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
acheté par Micro Focus. possibilité de
arrêt ou modifications majeures
le même.
Personnalisation du connecteur qui permet Problèmes avec la complexité et les coûts de votre
normalisation d'un large éventail de sources décharge.
journaux de sécurité.
Très flexible pour l'admission de différents cas Des changements se produisent avec l'introduction
d'utilisation et très orienté vers l'accomplissement de de nouveaux modules qui peuvent donner comme
politiques et réglementations de sécurité en vigueur. résultat de la duplication des données.
L'API permet des intégrations étendues dans
Environnements SOC.
quinze
Page 23
RSA
avantage Désavantages
Architecture flexible qui s'étend d'un seul Interface utilisateur de base par rapport à leur
périphérique aux implémentations complexes. concurrents. RSA indique que cet aspect est
il s'améliorera avec la prochaine version.
Solution adéquate pour la mise en œuvre d'un Faible capacité de gestion des incidents.
SOC. Les clients doivent souvent acheter un module complémentaire.
Solution unique pour la détection des menaces et Capacités d'automatisation et d'orchestration
surveillance, enquête et réponse limité.
événements de sécurité
Pile élastique
avantage Désavantages
La plupart de ses composants sont open source. Dans sa forme de base, ce n'est pas un SIEM.
Il est modulaire, les composants sont installés Un composant intéressant n'est pas encore ouvert
avoir besoin. source, comme X-pack. Sa libération est annoncée en
bref.
Il dispose d'un puissant moteur de recherche (Elastic Rien n'est automatisé, vous devez le faire un
Chercher). même.
Il a des agents qui peuvent être installés dans Il n'est pas pris en charge, sauf si le
serveurs ou postes de travail. produit sous licence par une entreprise telle que
logz.io
Plusieurs produits tiers peuvent être connectés.
Gartner le présente comme une alternative choisie
par un ensemble d'organisations en raison de
les prix élevés d'acquisition d'un SIEM et le
complexité de tirer la performance de l'ensemble
des fonctionnalités pour lesquelles il a été payé
https://translate.googleusercontent.com/translate_f 22/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
16
Page 24
Certains produits comme AlientVault ne sont pas recommandés pour les organisations
très grands.
Une maxime dans la plupart de ces produits est leur coût, et la plupart
les entreprises optent moins pour le plus adapté à leur organisation mais
pour le plus approprié au prix que vous êtes prêt à payer. Il faut que
signifie que l'achat d'un système SIEM n'a pas de retour direct sur le
l'investissement et l'amortissement ne sont évalués que négativement. Autrement dit, quand il existe
un incident et le fait de ne pas avoir acquis l'un de ces systèmes suppose
pertes économiques considérables dans l'entreprise.
Enfin, nous pouvons déterminer que chaque organisation doit mener à bien ses
propre évaluation, en tenant compte non seulement des forces et des faiblesses
présentés dans cet ouvrage ou ailleurs, sinon tous les autres aspects de la
SIEM qui peut être important pour l'organisation. Parce que chacun
L'implémentation SIEM doit adresser un seul ensemble de sources de journal et
doit prendre en charge différentes combinaisons d'exigences de déclaration
conformité, entre autres variantes, le meilleur système SIEM pour une
l'organisation peut ne pas convenir à une autre organisation.
Après avoir évalué certains des systèmes SIEM les plus populaires existants
notre marché, le plus simple et en même temps le plus compliqué en raison de sa
prix, serait d'opter pour l'un des produits mentionnés ci-dessus.
Parce que le système Elastic Stack est open source dans la plupart de ses
composants et, en raison de leur modularité, les composants qui ne sont pas
l'open source peut être remplacé par d'autres avec les mêmes fonctionnalités
qu'ils sont. De plus, la transformation d'un gestionnaire de journaux, comme Elastic
Stack, un système SIEM peut aider lors de la mise en œuvre ou
évaluer simplement la mise en œuvre de la même chose à d'autres organisations, j'ai
a choisi de choisir le système Elastic Stack comme système SIEM à implémenter dans
mon travail.
Au départ, seuls les logiciels open source seront utilisés pour atteindre le
emploi. Donc, tous ces composants Elastic Stack qui ne sont pas ouverts
la source sera supprimée et remplacée par d'autres. En ce moment
seul le package Elastic Stack X-pack n'est pas open source, donc
il doit être remplacé par un autre ou d'autres offrant les mêmes fonctionnalités,
spécifiquement Sentinl.
https://translate.googleusercontent.com/translate_f 23/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
Parce qu'Elastic Search est un gestionnaire de journaux puissant avec des
surveillance de l'alimentation via Kibana, vous devez ajouter un paquet de
des tiers pour couvrir certains des besoins importants d'un SIEM, tels que
par exemple des alertes, des rapports, des corrélations, etc.
17
Page 25
18
Piste 26
L'INTERNET
.1
0,254
0,254
FW
.5 .dix
Le serveur SIEM se compose d'Elastic Stack avec quelques plugins (Safe search) et le
IDS / IPS Wazuh qui est un fork de OSSEC HIDS, et s'intègre parfaitement avec
Pile élastique.
https://translate.googleusercontent.com/translate_f 25/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
19
Page 27
Tout d'abord, nous installons le référentiel Elastic Stack pour CentOS 7 comme
comme le montre la figure.
https://translate.googleusercontent.com/translate_f 26/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
Il est également
Accès possible
via le protocole qu'elasticsearch
"http" fonctionne correctement,
sur le port "9200".
vingt
Page 28
Une fois elasticsearch installé, il est nécessaire d'apporter des modifications à votre
configuration dans le fichier "/etc/elasticsearch/elasticsearch.yml"
Illustration 10.-Introduction de l'adresse IP du serveur afin qu'elasticsearch puisse être appelé depuis d'autres emplacements.
Ensuite, vous pouvez voir que vous pouvez appeler elasticsearch via
de l'adresse IP du serveur, comme illustré dans la figure suivante.
https://translate.googleusercontent.com/translate_f 27/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
vingt et un
Page 29
Comme nous avons déjà configuré le référentiel Elastic Stack pour installer
elasticsearch, kibana est installé directement sur le serveur via le
outil "miam".
Et nous allons définir l'adresse 192.168.1.50 comme IP d'appel vers kibana, afin de
être accessible à partir d'autres endroits.
Il est obligatoire d'autoriser l'accès, depuis le pare-feu SIEM, pour pouvoir accéder
à kibana de n'importe quel endroit. Le service Kibana écoute sur le port 5601
https://translate.googleusercontent.com/translate_f 28/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
22
Piste 30
Dans le répertoire "/ usr / share / elasticsearch / bin" se trouve le binaire à installer
les plugins "elasticsearch-plugin"
https://translate.googleusercontent.com/translate_f 29/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
2. 3
Piste 31
Pour installer le plugin Search Guard pour Kibana, nous devons télécharger le
version correct de la Suivant adresse:
https://search.maven.org/#search%7Cgav%7C1%7Cg%3A%22com.floragunn%22%20AND%20a
% 3A% 22search-guard-kibana-plugin% 22
Et choisissez la bonne version comme dans elasticsearch, dans ce cas 6.2.3 comme
indiqué précédemment.
De là, avec l'outil, nous générons les certificats en nous appuyant sur
le fichier d'exemple "config / example.yml".
24
https://translate.googleusercontent.com/translate_f 30/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
Piste 32
La version communautaire du plugin étant installée, elle doit également être ajoutée
dans le fichier de configuration elasticsearch la ligne suivante:
Vous devrez modifier le fichier et ajouter les utilisateurs avec les rôles
correspondant. Dans ce travail, nous n'avons modifié que l'utilisateur admin,
changer le mot de passe (générer le hachage avec l'outil de hachage qui est
trouvé dans le répertoire "plugin / tool" et lui donnant le rôle d'administrateur.
25
https://translate.googleusercontent.com/translate_f 31/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
Piste 33
Dans la commande, il sera obligatoire d'indiquer l'AC, le certificat et la clé de l'un des
utilisateurs existants dans la configuration elasticsearch, avec leur mot de passe. La
le mot de passe de l'utilisateur ljasomar se trouve dans le dossier où ils se trouvent tous
les certificats. Plus précisément dans le fichier "client-certificates.readme".
Illustration 21.- Commande pour générer des utilisateurs et des rôles dans Search Guard.
26
Piste 34
https://translate.googleusercontent.com/translate_f 32/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
Illustration 24.-Privilèges de l'utilisateur admin dans Elasticsearch après la saisie des informations d'identification.
La figure suivante montre que l'accès à Kibana n'est plus gratuit, il vous faut
entrez des informations d'identification valides .
Si on le désire,
peut changer le
logo et textes du
page de connexion qui
Chercher Garde
fournit pour
Kibana. Dans le fichier
configuration de
Elasticsearch je sais
peut ajouter des lignes
comme la Quoi
montrer l'illustration
27.
27
Piste 35
https://translate.googleusercontent.com/translate_f 33/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
Dans l'illustration
27 est observé
comme l'accès à
Kibana à travers
Search Guard a
été personnalisé
placement il
nom du
l'universitè et
placement la
indication de
Présenter la
informations d'identification dans
Castillan .
Enfin, il est essentiel de paramétrer le serveur SIEM à l'heure, afin que les logs
sont appropriés au temps réel.
Pour installer le Wazuh IDS / IPS, le référentiel wazuh doit être créé,
comme le montre la figure suivante.
28
Piste 36
https://translate.googleusercontent.com/translate_f 34/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
Une fois le référentiel créé, nous installons wazuh et vérifions que son service
fonctionne correctement.
Il est nécessaire d'installer NodeJS pour utiliser l'API Wazuh et pour cela
configurera le référentiel et le package sera installé.
Une fois que nous savons que Python est installé, nous procédons à l'installation de l'API wazuh.
29
Piste 37
https://translate.googleusercontent.com/translate_f 35/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
Dans la URL
https://raw.githubusercontent.com/wazuh/wazuh/3.2/extensions/logstash/01-
wazuh-local.conf nous avons une configuration de base de logstash, nous copions
le fichier dans "/etc/logstash/conf.d/01-wazuh.conf " et éditez-le
commodément.
Il est nécessaire d'ajouter l'utilisateur "logstash" au groupe "ossec", afin que l'utilisateur
"Logstash" dispose des privilèges appropriés.
30
Piste 38
https://translate.googleusercontent.com/translate_f 36/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
Le démarrage du serveur SIEM et le service Logstash démarre.
En accédant à Kibana, nous avons désormais le contrôle et le reporting intégrés dans SIEM
Wazuh IDS, comme illustré dans la figure suivante. Pour pouvoir être
utilisé, il est essentiel de configurer l'API Wazuh, comme indiqué sur la figure. le
les informations d'identification sont celles de l'administrateur, fournies dans les sections avant la recherche
Garde. Le port doit être 55000.
31
Piste 39
https://translate.googleusercontent.com/translate_f 37/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
L'IDS / IPS est prêt à être utilisé, nous devons maintenant installer les agents dans
les machines que nous allons contrôler.
Comme les machines sont externes au SIEM, il peut donc recevoir des alertes
d'entre eux, il est obligatoire d'ouvrir le port 1514 / udp pour la communication entre
les agents des machines et du SIEM.
Les agents des machines (Capteurs) pour wazuh sont installés de la même manière,
avec lequel dans ce travail nous montrerons l'installation de l'un d'eux. L'agent
où l'installation est affichée sera dans le pare-feu «fw.uoc.edu».
32
Piste 40
https://translate.googleusercontent.com/translate_f 38/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
Ensuite, la machine doit être enregistrée dans le SIEM, via le
L'outil "manage_agents" fourni par wazuh, comme indiqué dans le
figure suivante.
Nous choisissons d'ajouter un agent (A) et nous fournissons les données du pare-feu.
33
Piste 41
https://translate.googleusercontent.com/translate_f 39/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
Illustration 38.- Extraction du mot de passe, en SIEM, de la machine «fw.ouc.edu» pour pouvoir y être transféré.
3. 4
Piste 42
https://translate.googleusercontent.com/translate_f 40/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
Les autres clients (serveur Web, Radius, Endpoint W10 et Endpoint Linux) sont
enregistrera de la même manière.
Après l'installation des agents dans le SIEM, nous avons déjà tous les
machines contrôlées par l'IDS.
35
Piste 43
Pour le moment, IDS est déjà installé avec tous ses agents dans le
machines clientes à inspecter. La figure suivante montre la vue
main, avec un résumé de ce qui se passe sur tous les ordinateurs
inspecté.
https://translate.googleusercontent.com/translate_f 41/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
Illustration 44.- Vue principale des événements de sécurité dans l'ensemble des machines inspectées.
36
Piste 44
Une fois Filebeat installé, il est nécessaire de le configurer pour collecter le journal qui
invité et soumis avec succès à elasticsearch. Le fichier de configuration
Filebeat, il se trouve dans «/etc/filebeat/filebeat.yml». Il suffit de réaliser
quelques changements dans le "prospecteur", indiquant que le journal collectera les données
et faire correspondre la sortie Filebeat à elasticsearch (la connexion est SSL).
Il suffira d'activer la section journal et d'indiquer le fichier à partir duquel le fichier bat
enverra les journaux à elasticsearch. La figure suivante montre les modifications, collectant
événements d'un fichier de rayon appelé "linelog", où tous les
authentifications.
https://translate.googleusercontent.com/translate_f 42/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
Après cette modification, la section "Sortie Elasticsearch" doit être modifiée pour
indiquez à Filebeat comment se connecter à Elastic Search. Comme elasticsearch seul
prend en charge les connexions SSL, auparavant il est nécessaire d'apporter le certificat CA
Elasticsearch pour référence. Dans le présent travail, ce certificat a été
copié dans le dossier «/ etc / pki / out / root-ca-pem» .
Enfin, le service Filebeat sera levé et le journal de rayon sera envoyé dans
temps réel pour elasticsearch.
37
Piste 45
Pour surveiller ces journaux dans le SIEM, cela se fera via Kibana. Pour
cela est nécessaire pour créer l'index dans Kibana et les journaux peuvent être surveillés.
Illustration 48.- Depuis Kibana Management, vous pouvez accéder aux modèles d'index.
https://translate.googleusercontent.com/translate_f 43/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
À partir des modèles d'index, nous allons créer un nouvel index comme indiqué ci-dessous
figure.
38
Piste 46
https://translate.googleusercontent.com/translate_f 44/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
39
Piste 47
https://translate.googleusercontent.com/translate_f 45/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
Illustration 54.- Configuration pour charger les tableaux de bord dans Kibana.
La sortie Metricbeat doit être configurée pour se connecter via SSL avec
elasticsearch.
40
Piste 48
Avec la commande " Metricbeat setup –dashboards " nous allons charger les tableaux de bord dans
Kibana.
Illustration 57. Commande de chargement des tableaux de bord metricbeat dans Kibana.
Une fois les tableaux de bord installés par metricbeat, la figure suivante montre
ceux qui ont été laissés en raison de leur importance (Apache, MySQL et System). Il a
a quitté le tableau de bord Windows, pour surveiller EndPoint par Metricbeat
W10.
https://translate.googleusercontent.com/translate_f 46/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
Son installation est similaire à toutes les installations du plugin Elastic Stack.
Une fois qu'il se trouve dans le répertoire où ils sont exécutés
les plugins Kibana, nous exécutons l'ordre de téléchargement et
installation.
41
Piste 49
https://translate.googleusercontent.com/translate_f 47/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
Illustration 60.- Sentinl intégré à Kibana.
42
Piste 50
De plus, il présente des tableaux avec l'évolution des alertes, le numéro d'alerte
par agent, leur statut et enfin un résumé des alertes
indiquant le niveau de gravité et les heures de déclenchement, et un résumé
groupes d'alerte. Tout cela est montré dans la figure suivante (illustration
62).
Vous pouvez voir l'aperçu de tous les agents ou vous pouvez également
voir cette vue récapitulative, pour chacun des agents individuellement. En réalité,
toutes les vues wazuh peuvent référencer tous les agents globalement
ou nous pouvons cibler chaque agent individuellement comme le montre l'illustration
63.
https://translate.googleusercontent.com/translate_f 48/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
43
Piste 51
https://translate.googleusercontent.com/translate_f 49/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
3.7.1.2-FIM. Surveillance de l'intégrité des fichiers
Wazhu dispose d'un scanner (syscheck) qui vérifie périodiquement si le
les fichiers, de certains répertoires choisis dans la configuration, ont été
créés, supprimés ou modifiés. Ces répertoires peuvent être analysés tous les
certaine heure, avec une périodicité ajustée par l'administrateur ou vérifiée
temps réel.
Il y a une application dans wazuh, avec laquelle, via une "api", vous pouvez connecter le FIM avec
l'application dans le cloud "Virustotal", qui en plus de suivre l'évolution de
44
Piste 52
Dans la figure suivante, on peut voir que plusieurs serveurs ne sont pas conformes
les exigences du CIS et indiquer à quelle section ils ne se conforment pas. Par exemple,
notez que l'outil de sécurité n'est pas activé sur le serveur Web
SELinux et que plus de 4 erreurs d'accès sont autorisées sur plusieurs serveurs
via SSH, etc.
https://translate.googleusercontent.com/translate_f 50/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
Quatre cinq
Piste 53
Illustration 66.- Graphique des violations de la politique de sécurité dans les machines surveillées.
https://translate.googleusercontent.com/translate_f 51/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
46
Piste 54
https://translate.googleusercontent.com/translate_f 52/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
Illustration 69.- Répertoire à analyser dans la zone syscheck du fichier SIEM «ossec.conf».
Illustration 70.- Surveillance des virus, vers, chevaux de Troie, etc. via VirusTotal.
47
Piste 55
Illustration 71.- Résultat de l'analyse du fichier eicar.com.txt, détecté par wazuh et analysé par
VirusTotal.
3.7.2 Temps
3.7.2.1-Intégration des logs du serveur avec Elastic Stack. Filebeat
Grâce à Filebeat, nous avons déplacé le journal d'authentification de radius vers Kibana et
nous pouvons surveiller les accès au rayon. La figure ci-dessous montre le
afficher de Les
accès aux terminaux
Fenêtres contre rayon.
À travers l'outil
tandis que RadTest nous réalisons
les authentifications contre
le rayon.
https://translate.googleusercontent.com/translate_f 53/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
"Radius.uoc.edu", offrant-
Illustration 72.- RadTest. Programme d'authentification par rapport au rayon.
donner très d'informations
valeur dont l'utilisateur est connecté n'a pas pu se connecter, le MAC de son
équipement, son IP, etc. Un contrôle exhaustif d'un utilisateur ou de son
machine, etc.
48
Piste 56
Elastic Stack vous permet de filtrer la visualisation par tous les champs affichés dans
surveillance, fenêtre de temps, IP source, IP de destination, port, protocole,
trafic autorisé ou non, etc. La figure suivante montre ces informations.
https://translate.googleusercontent.com/translate_f 54/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
49
Psaumes 57
La figure 75 montre
l'état général du
serveur La toile,
surveillance de l'utilisation
CPU, mémoire
RAM, charge
serveur, etc.
Si ce serveur
a subi une attaque
Illustration 75.- État du système serveur Web. sûrement certains
de ces paramètres
je sais verrait fortement
modifié et rapidement
aurait la preuve d'un
problème.
L'illustration 76 montre
plus en détail le statut de la
système de serveur Web,
montrant les processus
(prestations de service)
Quoi je sais
courent et
votre équilibre de charge.
cinquante
Psaumes 58
Les alertes doivent être générées via le plugin Sentinl doté d'un assistant
cela nous aide à les réaliser. Tout d'abord, vous définissez la fréquence à laquelle
la
existence de l'alerte
et son nom selon
montrer ce qui suit
figure. Dans ce cas
c'est une alerte appelée
test et je sais
examinera tous les 5
minutes.
Illustration 78.-Génération de l'alerte.
Puis un
requête où le
index à examiner, filtrage par
l'un des champs ou l'heure en
qui devrait concentrer l'alerte.
Graphique 79.
https://translate.googleusercontent.com/translate_f 56/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
51
Piste 59
https://translate.googleusercontent.com/translate_f 57/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
52
Piste 60
4. Conclusions
Les systèmes SIEM sont de plus en plus utilisés dans les environnements de sécurité
Les informations, cependant, ne sont pas exemptes de complexité de traitement et de coûts
des prix économiques élevés, fondamentalement à leur prix sur le marché et
la formation humaine ou l'embauche du personnel nécessaire pour
conduite.
L'idée de ce TFM était de réaliser une solution SIEM open source et de fournir
quelques compétences minimales et nécessaires pour commencer à en profiter. De cette
forme, les coûts de mise en œuvre du système sont réduits en étant open source
et c'est une première impulsion dans sa gestion.
En raison du paragraphe précédent, je ne pourrais pas dire que le produit développé atteint
la catégorie SIEM pleinement, mais si elle offre une solution utilisable qui va
bien au-delà d'un simple gestionnaire de journaux et cela, sûrement, avec un
quelques intégrations supplémentaires atteindraient complètement la catégorie SIEM.
Ce travail peut parfaitement être le début d'un autre travail où vous mesurez les dimensions à
la portée est beaucoup plus élevée, mettant en œuvre un bon système d'alerte,
établir des règles corrélant différentes sources, même faire un manuel de
cas d'utilisation et bonnes pratiques, plus développés que ceux contenus dans le
travail présent.
https://translate.googleusercontent.com/translate_f 58/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
cela a dû être corrigé et parce que la mise en œuvre des travaux
la pratique avait vraiment besoin de plus d'heures que prévu. Malgré ces
les inconvénients ont été très proches de se conformer pleinement à ce qui était prévu.
Enfin, vérifiez que les 8 Go de RAM utilisés dans la machine sur laquelle
le laboratoire mis en place était insuffisant pour héberger 6 machines virtuelles
fonctionnant simultanément et il était nécessaire d'augmenter cette valeur à 16 Go.
53
Piste 61
5. Glossaire
API. Interface de programmation d'applications. L'interface de programmation d'application,
est un ensemble de sous - programmes , de fonctions et de procédures qui offre
certaine bibliothèque à utiliser par d'autres logiciels comme couche d'abstraction.
Menace. Les événements pouvant déclencher un incident dans l'organisation,
produisant des dommages matériels ou des pertes immatérielles sur ses actifs.
Audit. Processus systématique, indépendant et documenté pour obtenir le
les éléments probants et l'évaluer objectivement afin de déterminer le degré
dans lequel les critères définis sont satisfaits.
BD . Base de données.
CA . Autorité de certification.
CIS . Centre de sécurité Internet. Organisation pour la sécurité Internet.
Corréler . Processus de comparaison de différentes sources d'informations, en obtenant
manière significative à des événements qui, analysés séparément, ne l'auraient pas ou
inaperçu.
CSRF / XSRF . Falsification de demandes intersites. Falsification de pétitions intersites.
DMZ . Zone démilitarisée. Zone démilitarisée.
DNS . Service de noms de domaine (ou système). Service de nom de domaine.
Scanner de vulnérabilité . Programme qui analyse un système à la recherche
vulnérabilités.
Événement de sécurité . Occurrence détectée dans l'état d'un système, service ou réseau
indiquant une possible violation de la politique de sécurité de l'information, un échec
des contrôles ou une situation inconnue à ce jour et qui peut être
pertinents pour la sécurité. [UNE-ISO / CEI 27000: 2014].
FIM . Surveillance de l'intégration des fichiers.
Pare-feu (FW) . Pare-feu.
Ver / Ver. Programme conçu pour se copier et se propager
à travers des mécanismes de réseau. Ils n'infectent pas d'autres programmes ou fichiers.
HIDS . Système de détection d'intrusion dans un hôte.
HTML . Langage Signalétique Hyper Text.
HTTP. Protocole de transfert hypertexte. Protocole de transfert hypertexte, utilisé
généralement dans la navigation Web.
HTTPS. Protocole de transfert sécurisé Hyper Text.
ICS / SCADA . Systèmes de contrôle industriel et supervision de l'acquisition de vos données.
IDS . Système de détection d'intrusion. Système de détection d'intrusion. Système dont
Le but est de détecter les intrusions qui ont été faites ou sont en cours.
Injection SQL. Type d'attaque sur les sites Web basés sur des bases de données, passant
code non autorisé.
https://translate.googleusercontent.com/translate_f 59/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
IPS . Système de prévention des intrusions. Système de prévention des intrusions. Sa fonction est
prévenir les incidents avant qu'ils ne surviennent.
JSON . Notation d'objets de script Java. Format de texte léger pour l'échange de données .
Malware . Logiciel malveillant dont l'objectif principal est d'endommager ou d'infiltrer
un système.
NAC . Contrôlez le réseau d'accès. Système qui contrôle l'accès au réseau.
NAT . Traduction d'adresses réseau. Conversion d'une adresse IP source et / ou
54
Piste 62
Destination.
Journal . Un journal est un enregistrement des événements qui se produisent dans les systèmes et les réseaux
d'une organisation. [NIST].
OWASP . Ouvrez le projet de sécurité des applications Web.
Politique de sécurité. Ensemble de lignes directrices incorporées dans un document écrit, qui
régir la manière dont une organisation gère et protège les informations et les services
que vous considérez comme critique. [CNN-CERT].
Rootkit . C'est un outil utilisé pour cacher les activités illégitimes sur un système.
RPM . Gestionnaire de packages Red Hat. Outil de gestion des colis pour
GNU / Linux.
SIEM . Informations de sécurité et gestion des événements. Système qui permet de stocker le
journaux de différentes sources en toute sécurité et les corréler en extrayant
informations qui pourraient passer inaperçues si les différentes sources de
informations séparément.
SMTP . Protocole de transfert de courrier simple. Protocole de transfert de courrier simple,
utilisé pour envoyer des e-mails.
SNMP . Protocole de gestion de réseau unique. Protocole de gestion de réseau standard.
SOC . Centre des opérations de sécurité. Centre des opérations de sécurité.
SPAM . Courrier poubelle. Informations non sollicitées, généralement de nature publicitaire,
qui peuvent être reçus par différents moyens tels que le courrier électronique, les forums, etc.
SQL . Langage de requêtes structurées.
SSL . Secure Sockets Layer. Protocole de chiffrement qui permet l'échange sécurisé de
informations entre deux extrêmes, prédécesseur de TLS.
TCP / IP . Protocole de contrôle de transmission / protocole Internet.
TLS . Sécurité de la couche de transport. Protocole de chiffrement qui permet l'échange sécurisé de
information entre deux extrêmes.
Trojan . code nuisible avec l'apparence d'un programme inoffensif qui, lorsqu'il est exécuté
Donne à l'attaquant un accès à distance à l'ordinateur infecté, généralement en installant un
porte de derrière. [CCN-CERT].
UDP . Protocole de datagramme utilisateur. Protocole de datagramme utilisateur.
URL . Localisateur de ressources uniformes.
Virus . Programme conçu pour se copier avec l'intention d'infecter
d'autres programmes ou fichiers. [CCN-STIC-430: 2006].
VLAN . Réseau local virtuel.
Vulnérabilité . Faiblesse qui peut être exploitée par une menace.
WAF . Firewall d'applications Web. Firewall d'applications Web.
XML . Langage de balisage étendu.
XSS . Scripts intersites. Création de scripts intersites.
https://translate.googleusercontent.com/translate_f 60/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
55
Piste 63
6. Bibliographie
[1] David R. Miller, Shon Harris, Allen A. Harper, Stephen VanDyke, Chris Blask.
(2011). Implémentation de la gestion des informations de sécurité et des événements (SIEM).
New York: Mc Graw Hill.
[2] Kelly M. Kavanagh, Toby Bussa. (2017). Magic Quadrant pour la sécurité
Gestion des informations et des événements. 26 février 2018, à partir du site Gartner
La toile: www.gatner.com. Consulté le 7 avril 2018.
[3] Karen Scarfone. (2018). Comparaison des meilleurs systèmes SIEM du marché.
Site Web: https://searchsecurity.techtarget.com/feature/Comparing-the-best-
Systèmes SIEM sur le marché. Consulté le 5 avril 2018.
[4] Ben Canner. (2018). Les 6 meilleurs fournisseurs de SIEM à surveiller. Site Web:
https://solutionsreview.com/security-information-event-management/top-6-siem-
montres-vendeurs-2018 /. Consulté le 5 avril 2018.
[5] Équipe de sécurité Micro Focus Enterprise, John P. Mello Jr, Jaikumar Vijayan,
Paul Brettle. (2017). Gestion des informations et des événements de sécurité (SIEM). Site
La toile: https://learn.techbeacon.com/tracks/siem. Consulté le 5 avril 2018.
[8] Search Guard. Rechercher dans la documentation Guard 6 (2016-2017). Site Web:
https://documentation.wazuh.com/current/index.htmlVisité le 5 avril
2018. Visité le 28 avril 2018.
https://translate.googleusercontent.com/translate_f 61/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
56
Piste 64
7. annexes
7.1.-Script de pare-feu iptables "fw.sh".
#! / bin / bash
iptables - F
iptables -X
# Politiques de pare-feu
iptables - P INPUT DROP
iptables - P OUTPUT ACCEPT
iptables - P DROP FORWARD
#RÈGLES D'ENTREE
iptables -A INPUT - m état - état ESTABLISHED , RELATED - j ACCEPT
iptables -A INPUT - i lo - j ACCEPTER
iptables -N Rule_1
iptables -A INPUT - i -s enp0s3 192 . 168 . 1 . 15 -p tcp - dport 22 - m état - état NOUVEAU - j Rule_1
iptables -A Rule_1 - j LOG - log-level 4 - log-prefix "allowed"
iptables -A Rule_1 - j ACCEPTER
# RÈGLES FORWARD
iptables -A FORWARD - m état - état ESTABLISHED , RELATED - j ACCEPT
iptables -N Rule_2
iptables -A FORWARD - i enp0s3 -s 192 . 168 . 1 . 0 / 24 p tcp - --dport 80 -d 192 . 168 . 2 . 5 - état m -
état NOUVEAU - j Rule_2
iptables -A Rule_2 - j LOG - log-level 4 - log-prefix "allowed Rule_2"
iptables -A Rule_2 - j ACCEPTER
iptables -N Rule_3
iptables -A FORWARD - i enp0s3 -s 192 . 168 . 1 . 0 / 24 p tcp - --dport 443 -d 192 . 168 . 2 . 5 - état m -
état NOUVEAU - j Rule_3
iptables -A Rule_3 - j LOG - log-level 4 - log-prefix "allowed Rule_3"
iptables -A Rule_3 - j ACCEPTER
iptables -N Rule_4
iptables -A FORWARD - i enp0s3 -s 192 . 168 . 1 . 0 / 24 p udp - --dport 1812 -d 192 . 168 . 2 . 10 - état m -
état NOUVEAU - j Rule_4
iptables -A Rule_4 - j LOG - log-level 4 - log-prefix "allowed Rule_4"
iptables -A Rule_4 - j ACCEPTER
iptables -N Rule_5
iptables -A FORWARD - i enp0s3 -s 192 . 168 . 1 . 0 / 24 p udp - --dport 1813 -d 192 . 168 . 2 . 10 - état m -
état NOUVEAU - j Rule_5
iptables -A Rule_5 - j LOG - log-level 4 - log-prefix "allowed Rule_5"
iptables -A Rule_5 - j ACCEPTER
iptables -N Rule_6
iptables -A FORWARD - i enp0s3 -s 192 . 168 . 1 . 15 -p tcp - dport 22 -d 192 . 168 . 2 . 10 - état m - état
NOUVEAU - j Rule_6
iptables -A Rule_6 - j LOG - log-level 4 - log-prefix "allowed Rule_6"
iptables -A Rule_6 - j ACCEPTER
iptables -N Rule_7
iptables -A FORWARD - i enp0s3 -s 192 . 168 . 1 . 15 -p tcp - dport 22 -d 192 . 168 . 2 . 5 - état m - état
NOUVEAU - j Rule_7
iptables -A Rule_7 - j LOG - log-level 4 - log-prefix "allowed Rule_7"
iptables -A Rule_7 - j ACCEPTER
https://translate.googleusercontent.com/translate_f 62/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
iptables -N Rule_8
iptables -A FORWARD - i enp0s3 -s 192 . 168 . 1 . 50 -d 192 . 168 . 2 . 0 / 24 - m état - état NEW - j Regla_8
iptables -A Rule_8 - j LOG - log-level 4 - log-prefix "allowed Rule_8"
57
Piste 65
iptables -N Rule_9
iptables -A FORWARD - i enp0s8 -s 192 . 168 . 2 . 0 / 24 -o enp0s3 - m état - état NEW - j Regla_9
iptables -A Rule_9 - j LOG - log-level 4 - log-prefix "allowed Rule_9"
iptables -A Rule_9 - j ACCEPTER
## Ceci est un exemple de fichier de configuration. Consultez le manuel de référence nxlog sur le
## options de configuration. Il doit être installé localement sous
## / usr / share / doc / nxlog-ce / et est également disponible en ligne sur
## http://nxlog.org/docs
#######################################
# Directives globales #
#######################################
Utilisateur nxlog
Groupe nxlog
LogFile /var/log/nxlog/nxlog.log
Informations sur le niveau de journal
#######################################
# Modules #
#######################################
<E xt e nsion _syslog >
Module xm_syslog
< / E xt e nsion >
https://translate.googleusercontent.com/translate_f 63/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
$ PREC = 11 $;
58
Piste 66
$ TTL = 12 $;
$ ID = 13 $;
$ FRAG = 14 $;
$ Protocole = 15 $;
$ Source_port = 16 $;
$ Destination_port = 17 $;
$ reste = 18 $;
}
supprimer ($ Hostname) ;
supprimer ($ EventTime) ;
supprimer ($ EventReceivedTime) ;
supprimer ($ SourceModuleName) ;
supprimer ($ SourceName) ;
supprimer ($ SourceModuleType) ;
supprimer ($ SyslogFacilityValue) ;
supprimer ($ SyslogFacility) ;
supprimer ($ SyslogFacilityUser) ;
supprimer ($ SyslogSeverityValue) ;
supprimer ($ SyslogSeverity) ;
supprimer ($ SeverityValue) ;
supprimer ($ Severity) ;
supprimer ($ Message) ;
to_json () ;
< / E x ec>
< / Entrée >
#######################################
# Itinéraires #
#######################################
< Route 1>
Chemin in1 = > fileout1
< / Rout e>
7.3.-Configuration du fichier "linelog" dans radius pour extraire les logs liés au
client et NAS en authentification.
# - * - texte - * -
#
# $ Id: c646da0a05cbdf6e984f79cea105de41de4b0528 $
#
# Le module "linelog" enregistrera une ligne de texte dans un fichier.
# Le nom de fichier et la ligne de texte sont développés dynamiquement.
#
# Nous vous suggérons FORTEMENT de ne pas utiliser les données du
# paquet faisant partie du nom de fichier.
#
linelog {
#
# Le fichier dans lequel les journaux iront.
#
# Si le nom du fichier est "syslog", les messages du journal
# allez dans syslog.
filename = $ { logdir } / linelog
#
# La plupart des systèmes de fichiers peuvent utiliser presque toute la gamme d'UTF-8
# personnages. Ceux qui peuvent gérer une gamme limitée devraient
# définissez ceci sur "oui".
#
escape_filenames = non
#
# Les permissions de style Unix sur le fichier journal.
#
# Selon la chaîne de format, le fichier journal peut contenir un secret ou
https://translate.googleusercontent.com/translate_f 64/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
59
Piste 67
# informations privées sur les utilisateurs. Conservez les autorisations de fichier comme
# restrictif possible.
autorisations = 0600
Access-Reject = "{\" 01 - Authentification \ ": \" Login FAIL \ ", \" 02 - User \ ": \" % { User-Name } \ ", \" 05 -
NAS \ ": \" % { NAS-Identifier } \ ", \" 04 - MAC-CLIENT \ ": \" % { Calling-Station-Id } \ ", \" 03 - IP-
CLIENT \ ": \" % { Adresse-IP-encadrée } \ ", \" 06 - SSID \ ": \" MISTIC \ "}"
}
}
https://translate.googleusercontent.com/translate_f 65/66
26/01/2021 Avantages et mise en œuvre d'un système SIEM
60
https://translate.googleusercontent.com/translate_f 66/66