Avantages Et Mise en Œuvre D'un Système SIEM

26/01/2021 Avantages et mise en œuvre d'un système SIEM
Page 1
Avantages et mise en œuvre d'un système SIEM
Luis Miguel Jaso Marquina

Master en technologies de l'information et sécurité
Télécommunications (UOC, URV, UAB).
Directeur du TFM:
Marco Antonio Lozano Merino
Maître de conférences en charge du sujet:
Victor Garcia Police
Juin 2018
https://translate.googleusercontent.com/translate_f 1/66
je
Page 2
Ce travail est soumis à une licence de

Reconnaissance-Non Commerciale-
NoDerivs 3.0 Espagne par Creative
Chambre des communes
ii
Page 3
FEUILLE DE TRAVAIL FINALE
Avantages et mise en œuvre d'un système

Titre de l'œuvre:
SIEM
Nom de l'auteur: Luis Miguel Jaso Marquina
Nom du consultant: Marco Antonio Lozano Merino
Nom de la PRA: Police Víctor García
Date de livraison (mm / aaaa): 06/2018
Master en sécurité de
Titre: Technologies de l'information et
Télécommunications
Zone finale du projet: Projet principal final
Langue de travail: espagnol
IT, sécurité, SIEM, HIDS, Elastic

Mots-clés
Empiler
Résumé des travaux (maximum 250 mots): Avec l'objectif, le contexte de

application, méthodologie, résultats et conclusions des travaux.
Forte demande des organisations dans le contexte de la sécurité

l'informatique, a suscité leur intérêt pour les systèmes SIEM. Il
Ce travail montre, d'une part, une approche théorique sur ce qu'un
SIEM et ses systèmes les plus populaires ont développé, d'autre part, une approche pratique
de la mise en œuvre d'un système SIEM. Ce système est composé d'un
série de composants basés sur Open Source, qui décrit leur
fonctionnalités et certains cas d'utilisation.
Le système implémenté est basé sur l'intégration Elastic Stack
(Elasticsearch, Logstash, Kibana et beats) avec d'autres technologies telles que Wazuh
(HIDS), Search Guard et Sentinl.
Avec la mise en œuvre du système SIEM, la sécurité a été gérée dans: les systèmes
fin, un pare-feu, un serveur Web et un serveur NAC. Ils ont tous été
surveillé par un HIDS intégré au SIEM (Wazuh). Au CNA et au
les pare-feu ont été extraits de leurs journaux bruts et traités pour les intégrer dans
notre SIEM, pouvant effectuer un filtrage intelligent en temps réel ou en
légal. La sécurité d'accès au SIEM et de la communication avec les capteurs est
a été fait via Search Guard, s'intégrant parfaitement à notre
SIEM. Enfin, le système d'alerte et de reporting est basé sur la solution ouverte
source Sentinl.
Ce travail a essayé de montrer que, à partir des composants
décrit précédemment, tous Open Source, vous pouvez développer un
iii
Page 4
Système SIEM qui offre les fonctionnalités de base nécessaires à la

gestion de la sécurité dans une organisation.
Résumé (en anglais, 250 mots ou moins):
La forte demande de la part des organisations dans le cadre de l'informatique

sécurité, a suscité leur intérêt pour les systèmes SIEM. Le présent travail montre,
d'une part, une approche théorique sur ce qu'est un SIEM et le plus populaire
SIEM et d'autre part, ce travail mène une approche pratique de la
mise en place d'un système SIEM. Ce système est composé d'une série de
composants basés sur Open Source, dans lesquels ses fonctionnalités et certaines utilisent
les cas sont décrits.
Le système implémenté est basé sur l'intégration d'Elastic Stack
(Elasticsearch, Logstash, Kibana et beats) avec d'autres technologies telles que
Wazuh (HIDS), Search Guard et Sentinl.
Avec la mise en œuvre du système SIEM, la sécurité a été gérée en: final
systèmes, un pare-feu, un serveur Web et un serveur NAC. Tous ont été
surveillé par un HIDS intégré au SIEM (Wazuh). En outre, dans le CNA
et dans le pare-feu, leurs journaux bruts ont été extraits et traités pour intégrer
dans notre SIEM, pouvant effectuer un filtrage intelligent en temps réel ou en
mode médico-légal. La sécurité d'accès au SIEM et la communication avec
les capteurs ont été réalisés via Search Guard, cela intègre notre SIEM
à la perfection. Enfin, le système d'alerte et de reporting est basé sur l'open source
Solution Sentinl.
Avec ce travail, nous avons essayé de démontrer que, à partir de la description précédente
composants, tous Open Source, un système SIEM peut être développé offrant
fonctionnalités de base et nécessaires pour la gestion de la sécurité dans une organisation.
iv
Page 5
Indice
1.- Introduction ………………. ……………………………. ……………………… 1

1.1.- Contexte et justification des travaux ……………. …………………… .1
1.2.- Objectifs des travaux ……………………………. …………………… ..1
1.3.- Approche méthodologique …………………………. …………………… .. 2
1.4.- Planification des travaux ………………………. ……………………… 3
1.5.- État de la technique ……………………………………. ……………… ...... 5
1.6.- Ressources …………………………………………. ……………………. 5
2.- Fondements théoriques ……………………………………. ………………… .. 6

2.1.-Concepts théoriques d'un SIEM. Caractéristiques…. ……………… .. 6
2.2.- Architecture des systèmes SIEM …………………. ………………. 8
2.3.- Centre des opérations de sécurité. SOC …………. ……………. dix
2.4.- Comparaison entre différents SIEM …………………. ………… ...... 12
2.5.- Choix, justification et caractéristiques du SIEM à mettre en œuvre ... 17
3.- Développement des travaux pratiques. Implémentation SIEM. ………… ... 18

3.1.- Laboratoire. Objectifs ……………………………………………… .. 18
3.2.- Installation d'Elastic Stack et de son environnement ………………………… .. 20
3.3.- Sécurité SIEM. Search Guard ………………………………… 23
3.4.- Installation du HIDS / IPS. Wazuh ……………………………………… 28
3.5.- Installer Beats ………………………………………………… .. 37
3.6.- Alertes. Sentinl ……………………………………………………… ... 42
3.7.- Essais avec capteurs. Cas d'utilisation ……………………………… 43
4. Conclusions …………… .. ……………………………………………………. 53
5.- Glossaire ……………… .. ……………………………………………………… .. 54
6.- Bibliographie …………… .. ………………………………………………………. 56
7.- Annexes ………………… ... ……………………………………………………… 57
Page 6
Liste des figures

Illustration 1.-Architecture logique SIEM ........................................... ............. 8
Illustration 2.- Architecture physique du SIEM. Adaptation de la figure [1-78] ........ 9
Illustration 3.- Workflow d'un SOC .......................................... ...................... 12
Illustration 4.- Le quadrant magique de Gatner pour le SIEM. Décembre 2017 ....... 13
Illustration 5.-Schéma du réseau du laboratoire. ................................................ 19
Illustration 6.-Schéma logique du laboratoire. ................................................. 19
Illustration 7.- Installation du référentiel Elastic Stack. .............................. vingt
Illustration 8.- Ceci du service elasticsearch. ................................................. vingt
Illustration 9.- Accès http à elasticsearch. .................................................. ... vingt et un
Illustration 10.-Introduction de l'IP du serveur pour qu'il puisse être appelé
elasticsearch à partir d'autres endroits. .................................................. ......... vingt et un
Illustration 11.-Appel à elasticsearch via l'adresse IP du serveur SIEM. .. vingt et un
Illustration 12.-Application Web Kibana. .................................................. ..... 2. 3
Illustration 13.- Outil d'extension Elasticsearch. ........................................... 2. 3
Illustration 14.-Certificats et fichier de configuration pour elasticsearch ....... 24
Illustration 15.-Lignes à ajouter au fichier de configuration elasticsearch. .. 25
Illustration 16.- Désactivation de la version Entreprise de Search Guard ................ 25
Illustration 17. Emplacement du fichier «sg_internal_users.yml» ....................... 25
Illustration 18.-Admin de l'utilisateur dans Search Guard ......................................... ..... 26
Illustration 19.-Certificats nécessaires ............................................ ................ 26
Illustration 20.-sgadmin.sh outil pour générer les utilisateurs et leurs rôles ..... 26
Illustration 21.- Commande pour générer des utilisateurs et des rôles dans Search Guard. ...... 26
Illustration 22.-Identifiants du client ljasomar et luismi. ............................... 27
Illustration 23.-Accès obligatoire à Elasticsearch par https et avec des identifiants.
.................................................. .................................................. .................... 27
Illustration 24.-Privilèges de l'utilisateur admin dans Elasticsearch après
entrez les informations d'identification. .................................................. ................................. 27
Illustration 25.-Accès à Kibana sécurisé par Search Guard. ...................... 27
Illustration 26.-Personnalisation de la page de connexion Kibana. .................... 28
Illustration 27.-Page de connexion Kibana personnalisée. .............................. 28
Illustration 28.- Création du référentiel pour wazuh. ...................................... 29
Illustration 29.-Statut du service wazuh-manager. ................................... 29
Illustration 30.- Version Python. .................................................. ................ 29
Illustration 31.-État du service API Wazuh. ............................................ 30
Illustration 32.- Fichier de configuration Logstash, pour intégration avec
wazuh. .................................................. .................................................. ........ 30
Illustration 33.-Téléchargé et chargé le modèle JSON Wazuh pour
Elasticsearch. .................................................. ............................................... 31
Illustration 34.-Plugin Wazuh pour Kibana. ................................................. 31
Illustration 35.-Wazuh intégré dans Kibana, montrant la configuration de l'API
par Wazuh. .................................................. .................................................. ... 32
Illustration 36.-API Wazuh configurée et IDS prêt à être utilisé. ............ 32
Illustration 37.- Inscription d'un mandataire au SIEM. ......................................... 33
Illustration 38.- Extraction du mot de passe, en SIEM, depuis la machine «fw.ouc.edu»
pour pouvoir y être transféré. .................................................. .......... 3. 4
Illustration 39.-Importation de la clé SIEM pour fw.ouc.edu depuis le client.
.................................................. .................................................. .................... 3. 4
Illustration 40.-ossec.conf sur le client, pointant vers le SIEM
(192.168.1.50). .................................................. .............................................. 3. 4
vu
Page 7
Illustration 41.- Démarrage de l'agent dans le client fw.uoc.edu ............................... 35

Illustration 42. fw.uoc.edu enregistré à Wazuh et actif. ................................ 35
Illustration 43.- Machines clientes contrôlées par IDS Wazuh. .................. 35
Illustration 44.- Vue principale des événements de sécurité dans l'ensemble de
machines inspectées. .................................................. ............................ 36
Illustration 45.-Filebeat à télécharger sur radius.uoc.edu. ................................. 36
Illustration 46.-Configuration dans la section "prospecteurs" de filebeat.yml. .... 37
Illustration 47.-Configuration pour connecter Filebeat à elasticsearch via SSL.
.................................................. .................................................. .................... 37
Illustration 48.- Depuis Kibana Management, vous pouvez accéder aux modèles d'index. .. 38
Illustration 49.- Création d'un index dans Kibana pour filebeat. ....................... 38
Illustration 50.- Attribution des noms d'index. ............................................ 38
Illustration 51.-Création de l'index selon le fichier patternbeat-6.2.3- * ................. 39
Illustration 52.- Index créé avec les champs attribués. ............................... 39
Illustration 53.- Télécharger metricbeat 6.2.3. ................................................ 40
Illustration 54.- Configuration pour charger les tableaux de bord dans Kibana. .............. 40
Illustration 55.- Configuration pour se connecter à elasticsearch par SSL. ........ 40
Illustration 56.- Activation des modules apache et MySQL ..................... 40
Illustration 57. Commande de chargement des tableaux de bord metricbeat dans Kibana.
.................................................. .................................................. .................... 41
Illustration 58.-Tableaux de bord chargés dans Kibana par metricbeats. ................... 41
Illustration 59.- Installation du plugin Sentinl. .................................................. 42
Illustration 60.- Sentinl intégré à Kibana. .................................................. 42
Illustration 61.-Code de configuration pour Sentinl dans Kibana ...................... 42
Illustration 62.- Vue générale (résumé) de tous les agents ........................ 43
Illustration 63.- Vue générale de l'agent Web. ................................................ 44
Illustration 64.-Surveillance FIM sur serveur Web. ....................................... 44
Illustration 65.- Audit de tous les serveurs connectés. ........................ Quatre cinq
Illustration 66.- Graphique des violations de la politique de sécurité
machines surveillées. .................................................. .............................. 46
Illustration 67.-Résumé des alertes et problèmes de l'audit. .................... 46
Illustration 68.- Intégration de VirusTotal à SIEM. .......................................... 47
Illustration 69.- Répertoire à analyser dans la zone syscheck du fichier "ossec.conf"
du SIEM. .................................................. .................................................. .... 47
Illustration 70.- Surveillance des virus, vers, chevaux de Troie, etc. à travers de
VirusTotal. .................................................. .................................................. ... 47
Illustration 71.- Résultat de l'analyse du fichier eicar.com.txt, détecté par
wazuh et analysé par VirusTotal. .................................................. ................. 48
Illustration 72.- RadTest. Programme d'authentification par rapport au rayon. .............. 48
Illustration 73. Surveillance des utilisateurs connectés au rayon ........................ 49
Illustration 74.- Surveillance du trafic dans la fw. .......................................... 49
Illustration 75.- État du système serveur Web. ..................................... cinquante
Illustration 76.-Métriques du système du serveur Web. ..................................... cinquante
Illustration 77.-Surveillance du service MySQL. ......................................... cinquante
Illustration 78.-Génération de l'alerte. .................................................. ......... 51
Illustration 79.- Section d'entrée Sentinl. .................................................. ..... 51
Illustration 80.-Section condition Sentinl ........................................... ........ 51
Illustration 81.-Action après le déclenchement de l'alerte. ........................................... 52
Illustration 82.- Alerte affichée par Sentinl .......................................... ........... 52
vii
Page 8
1. Introduction
1.1 Contexte et justification des travaux
Le mémoire de maîtrise "Avantages et implémentation d'un système SIEM"

que j'ai l'intention de développer portera sur un système de sécurité réseau, avec
différents composants, dans lesquels le SIEM sera l'orchestrateur du
système.
Le travail combinera deux sections principales:
• Section Recherche: Fondements théoriques du SIEM,

caractéristiques, capacités, types de capteurs, fonctionnalités, intégration
avec capteurs (IPS, IDP, etc.), sous-traitance du service SOC, besoin
du système dans une organisation). Une comparaison sera faite entre les
différents systèmes SIEM les plus populaires aujourd'hui et nous finaliserons
en choisissant l'un d'entre eux pour pouvoir l'implémenter dans la partie développement.
• Section développement: un petit laboratoire sera mis en place (par
technologie virtuelle) dans laquelle nous installerons le SIEM choisi et
nous intégrerons différents types de capteurs tels que IPS / IDS,
NAC, scanner, etc. Des cas d'utilisation (tests) seront réalisés pour
analyser ensuite le comportement du SIEM présentant un rapport
à propos d'eux. Il tentera d'analyser toutes les caractéristiques du SIEM
en testant. La mémoire comprendra un manuel d'installation et
configuration de base et cas d'utilisation.
Dans ce travail, la partie la plus dédiée sera celle du développement, car c'est la
qui a plus de complexité et nécessite plus d'efforts.
1.2 Objectifs des travaux
Avec l'achèvement de ce TFM, j'ai l'intention de développer les éléments suivants

compétences:
Objectifs Generals:
1. Capacité d'analyse et de synthèse de la sécurité d'un système.
2. Connaissance des outils et des tendances technologiques du marché pour
sécurité informatique.
3. Capacité à sélectionner, appliquer et intégrer les connaissances techniques
et des scientifiques aptes à résoudre des problèmes dans de nouveaux contextes.
4. Capacité à communiquer des informations à des publics spécialisés et
non spécialisé de manière claire et sans ambiguïté.
5. Capacité à rédiger de la documentation scientifique.
6. Capacité d'apprentissage autonome en consultant les informations.
7. Aptitude à jouer, présenter et défendre devant les tribunaux
université un exercice réalisé individuellement consistant en un
projet global pour la sécurité des technologies de l'information et
communications à caractère professionnel.
Page 9
Objectifs spécifiques:
1. Connaissance du concept SIEM, de ses capacités et fonctionnalités.
2. Connaissance des différents outils et tendances technologiques
du marché des systèmes de sécurité autour d'un SIEM.
3. Aptitude à utiliser des techniques de sécurité de base et des contre-mesures pour
prévenir les attaques.
4. Capacité à identifier, évaluer et gérer les principaux risques
système dans l'environnement où le SIEM est installé.
5. Capacité d'identifier les vulnérabilités de la vie privée
systèmes et capacité à les protéger.
6. Connaissance et utilisation des outils d'administration et
protection du réseau et gestion des alertes de sécurité.
7. Aptitude à concevoir, déployer, organiser et gérer des réseaux de
communications résidentielles, commerciales ou
institutions, assumant la responsabilité de la sécurité du système et
protection des données des utilisateurs.
8. Aptitude à concevoir des solutions globales appropriées dans les scénarios
complexes qui combinent des techniques et des contre-mesures connues pour
prévention, détection et dissuasion des attaques.
9. Connaissance des méthodes d'acquisition et d'analyse des preuves
d'un incident de sécurité. Capacité à utiliser SIEM pour la gestion
et la résolution des incidents.
10. Connaissance des problèmes de sécurité et de certains de leurs
des solutions possibles.
1.3 Approche et méthode suivies
Comme expliqué dans une section précédente, le TFM dispose de deux

sections. Celui correspondant à "connaitre le SIEM" de manière générique et répond
aux questions suivantes:
• Qu'est-ce qu'un SIEM?

• Quelles fonctionnalités possède-t-il?
• Qu'est-ce que cela apporte à une organisation?
• Lesquels sont sur le marché aujourd'hui?
• Comment peut-il être géré?
• Avantages désavantages?
• Comment est-il lié aux autres éléments de sécurité d'un réseau?
• Quel SIEM convient à notre organisation?
•….
Comme on peut le voir, cette section est une œuvre de

recherche / apprentissage sur lesquels nous devons nous appuyer, fondamentalement,
dans les recherches Web et la bibliographie.
L'autre section est celle qui correspond au "savoir faire", bref le travail
pratique, la mise en œuvre du système avec l'outil SIEM. dans cette
section nous aborderons les points suivants:
• Installation du système.
• Configuration de celui-ci.
Page 10
• Tests.
• Rapports.
Tous ces points seront réalisés de manière pratique dans un environnement de laboratoire
virtuel. Ce sera le laboratoire d'essais.
Enfin, un manuel sera préparé (il peut s'agir d'un document texte ou
vidéotutoriel, etc.) de son fonctionnement.
1.4 Planification du travail
J'ai constitué trois groupes pour catégoriser les tâches à effectuer:

1. Phase de conception
1.1. Identification du sujet
1.2. Justification
1.3. Portée du projet
1.4. Identification des objectifs
1.5. Proposition de méthodologie
1.6. Programme
1.7. La planification des ressources
1.8. Présentation du design.
2. Phase de développement.
2.1. Recherche d'informations et recherches sur SIEM et le système.
Google. Bibliographie.
2.2. Développement des fondements théoriques.
2.2.1. Introduction. Concepts théoriques d'un SIEM.
2.2.2. Avantages d'un SIEM dans une organisation.
2.2.3. Caractéristiques SIEM.
2.2.4. Architecture de base des systèmes SIEM. Capteurs
2.2.5. Centre des opérations de sécurité. SOC. Externalisation.
2.2.6. Comparaison entre différents SIEM.
2.2.7. Choix, justification et caractéristiques du SIEM à mettre en œuvre dans
la phase pratique.
2.3. Développement de travaux pratiques. Laboratoire avec le système SIEM choisi
dans le dernier point.
2.3.1. Objectifs du laboratoire.
2.3.2. Installation du système SIEM et de son environnement.
2.3.3. Configuration de base du système SIEM.
2.3.4. Tests avec des capteurs tels que (IDS / IPS, scanners, contrôle de
accès, etc.). Alertes d'attaque, journalisation, corrélation de journaux,
rapports, etc.
2.3.5. Préparation du manuel d'installation et de configuration.
2.3.6. Rapports sur les tests effectués.
2.3.7. Conclusions sur le système installé.
3. Phase finale
3.1. Préparation du rapport final du mémoire de maîtrise
3.2. Préparation de la présentation / vidéo du projet final du Master.
3.3. Soutenance de la thèse de maîtrise.
Page 11
Page 12
1.5 État de la technique
La sécurité du réseau d'une organisation est un point clé à considérer

tout point de vue. Aujourd'hui, il existe d'innombrables outils
en charge de la gestion de la sécurité (pare-feu, IDS, IPS, NAC, etc.), tous et
chacun d'entre eux avec sa propre gestion particulière et s'il faut unir les efforts entre eux.
Les SIEM existants intègrent la gestion de tous ces

outils, gestion de la sécurité complète du réseau dans une seule interface
commun.
La plupart des SIEM existants sur le marché ont des

similaire (contrôle en temps réel, collecte de journaux, corrélation des mêmes,
systèmes d'alerte, rapports, etc.), ce qui peut les différencier sont: leur
l'adaptation à l'environnement dans lequel il doit opérer, ses licences (prix, licence
open source, etc.), sa gérabilité, son reporting, sa gestion
criminalistique, analyse des risques, etc.
Les systèmes SIEM sont nés de l'intégration de deux technologies différentes, qui
ont été intégrés ces dernières années:
• SEM. Gestion des événements de sécurité. Il s'est concentré sur le suivi
alertes de sécurité en temps réel générées par un pare-feu ou
IDS / IPS.
• SIM. Il a effectué les mêmes opérations que SEM à la différence que
la gestion n'était pas en temps réel, étant en mesure de collecter des informations passées et
générer des rapports basés sur celui-ci.
1.6 Ressources
Les ressources nécessaires pour réaliser ce mémoire de maîtrise,

grosso modo, ils seront:
• Navigateur Internet. Google, Bing, etc.

• Articles et références bibliographiques sur le présent ouvrage.
• Laboratoire virtuel. Hôte Windows 10. Système de virtualisation -
VirtualBox 5. Machines virtuelles Ubuntu, CentOS 7, etc.
• Logiciel SIEM choisi dans la phase théorique.
• Système d'enregistrement vidéo. Nimbus et Lightworks 14.
• Éditeur de texte Microsoft Word 2016. Feuille de calcul Excel 2016.
• Générateur et logiciel d'organigramme - Microsoft Visio.
Page 13
2. Fondements théoriques
Il devient de plus en plus difficile de faire face aux attaques qui se produisent
réseaux informatiques, les systèmes SIEM aident les administrateurs réseau à
automatiser ce travail pour permettre la gestion de la sécurité du réseau
plus efficace.
La demande de systèmes SIEM dans les organisations est une constante

les dernières années. Comme l'indique Forecast, dans «Information Security,
Worldwide, 2015-2021, 3T17 Update », les ventes de la technologie SIEM ont augmenté
de 2001 billions de dollars en 2015 à 2,167 billions de dollars par an
2016.
Aujourd'hui, la gestion et le traitement des menaces sont l'un des aspects

le plus important à prendre en compte par les organisations modernes,
consacrer les ressources nécessaires pour pouvoir répondre à tout incident
sécurité qui se pose. Les systèmes SIEM agissent comme un référentiel
journalisation des événements réseau liés à la sécurité, utilisés pour
surveiller, identifier, documenter et même répondre à de tels incidents
Sécurité.
Certains des incidents de sécurité sont clairs et votre identification pourrait être
simples, mais une grande partie des incidents de sécurité, bien qu'ils puissent être
évidents, ils selecachent
produits dans derrière
réseau d'une le grand nombre
organisation, et qued'événements
sans système par seconde
SIEM, ils seraient
complètement inaperçu. Les systèmes SIEM sont utilisés pour surveiller,
identifier, documenter et même répondre aux incidents de sécurité. [1-
Introduction]
L'une des grandes propriétés d'un système SIEM est la réduction des faux
alertes, fréquemment produites, par exemple, via des systèmes de surveillance
détection d'intrusion (IDS). Réduire les fausses alertes va de pair
du filtrage et de la corrélation des événements de sécurité produits par le SIEM,
discriminer avec précision les situations que les capteurs classifient
d'incidents de sécurité sans en être un. [1. Introduction]
2.1 Concepts théoriques d'un SIEM. fonctionnalités
L'acronyme SIEM vient de l'expression «Security Information and Event

Management »(Security Information and Events Manager) et
attribué à Gartner Amrit Williams et Nicolett Marcos.
Les systèmes SIEM résultent de la convergence de deux technologies différentes [1-

Introduction]:
• SEM (Security Events Manager). Traiter et surveiller
événements de sécurité en temps réel, générés dans différents capteurs
(FW, IDS, NAC, etc.), les corrèle et est capable de générer des alertes lorsque
utilisateur.
Page 14
• SIM (Security Information Manager). Tout stocke

événements générés par les capteurs qui y sont connectés, mais
Contrairement à SEM, le traitement de ces événements se concentre sur la
analyse historique, permettant l'analyse médico-légale, la surveillance et
Préparation de rapports.
Les systèmes SIEM combinent les capacités de ces deux technologies

fournir l'ensemble de services suivant:
• Collecte et gestion des logs. Capacité des systèmes SIEM à acquérir

des données provenant de diverses sources, en particulier les plus importantes ou critiques
(FW, IDS, serveurs, applications, etc.) et les stocker dans une base de données
données centralisées. Cette base de données effectue initialement une analyse
syntaxique des données, en les normalisant, puisque les différents capteurs
(éléments sources) envoient les données dans différents formats. Il faut avoir
gardez à l'esprit que ces capteurs sont normalement très natures
divers (ordinateurs avec différents systèmes d'exploitation,
infrastructure réseau telle que commutateurs, routeurs, pare-feu,
détection d'intrusion, etc.). Puis le SIEM, normalement,
stocke toutes les données standardisées, les organise et applique un
politique de rétention pour répondre aux exigences de l'organisation
ou la réglementation en vigueur. Ces données sont également utilisées dans le temps
réel, pour analyser la santé et la sécurité de ces capteurs et équipements qui
Ils font partie de notre organisation et fournissent des données au SIEM.
• Conformité à la réglementation en vigueur sur la sécurité des
information. Tous les événements générés par les systèmes
étant collectés sous forme de journaux, ils peuvent être analysés sous des filtres et des règles
pour auditer et valider le respect des exigences imposées par
l'organisation dans sa politique de sécurité et répondre à ces exigences
les exigences de sécurité et celles associées à la réglementation en vigueur.
• Capacité médico-légale. Possibilité d'analyser les données et les alertes pour
déterminer l'origine des incidents de sécurité et traiter
se.
• Agrégation et corrélation des événements de sécurité en temps réel. SIEM
établit des relations entre différents événements, en étudiant la fréquence
des événements, leur calendrier, etc., pour établir le
la véracité de l'incident (éliminer les faux positifs) et être capable d'unir tous ces
événements et considérez-les comme un seul incident, ce qui facilite votre traitement.
Le moteur de corrélation peut prendre en compte des événements autres que
recherché pour fournir une photographie plus complète du
véritable cause du problème.
• Capacité de réponse. Actions réactives. Une fois que le SIEM est
capable d'identifier l'incident de sécurité après avoir collecté et adapté les
les journaux et les corréler pour être sûr que l'incident est vrai,
certains SIEM ont la capacité de réagir automatiquement
face à de tels incidents en essayant d'atténuer le problème. Par exemple,
Une fois la cause du problème confirmée, nous pourrions éteindre l'embouchure du
basculer d'où le problème est généré, si possible et approprié, ou
filtrer l'accès à cette adresse IP particulière d'où provient l'incident,
etc.
sept
Page 15
• Sécurité sur les ordinateurs clients. Les systèmes SIEM ont la capacité
pour surveiller la santé et l'état d'une équipe finale. Par exemple, ils peuvent
surveiller l'état des ressources système d'un serveur, d'un bureau
ou d'autres, les processus en cours d'exécution, analysent leur
vulnérabilités, surveillez l'état de votre antivirus, etc.
• Surveillance et alertes de sécurité. Les systèmes SIEM ont la
capacité de visualiser, surveiller et gérer tous les événements de
Sécurité. Ils sont capables d'analyser automatiquement tous les événements et
notifier uniquement ceux qui sont vraiment les plus pertinents. je sais
vous devez être conscient de la grande quantité de données fournies par
capteurs au système SIEM et celui-ci doit pouvoir alerter uniquement
ceux qui sont vraiment significatifs, il s'agit vraiment
"Trouvez l'aiguille dans la botte de foin"
• Présentation des rapports de sécurité. Capacité de présentation de
rapports exécutifs et techniques.
2.2 Architecture des systèmes SIEM [1-Chapitre 5]
Un SIEM représente une machine complexe avec plusieurs pièces qui peuvent être
caractériser à la fois d'un point de vue logique et physique [1-78].
La figure suivante illustre l'architecture logique d'un système SIEM, avec le

fonctionnalités qu'il peut héberger. Ils ne doivent pas être tous
fonctionnalités décrites dans tous les SIEM, certains les intègrent tous et d'autres
la plupart d'entre eux.
Récolte
surveillance
et rétention Tableaux de bord
zation
de journaux
Corrélation
D'événements
SIEM Rapports
Conformité
Alertes dans Une analyse
aux politiques
Temps réel légal
Sécurité
Illustration 1.-Architecture logique SIEM
Du point de vue physique, l'ensemble des pièces qui composent le SIEM

leur indépendance est plus évidente, l'élément SIEM étant le
orchestrateur de l'ensemble du système intégré.
SIEM peut être vu du point de vue d'un système de gestion des journaux, auquel
des capacités sont ajoutées dans le domaine de la sécurité de l'information.
Page 16
Tout d'abord, nous recueillons les journaux de ces appareils intéressants

d'un point de vue sécurité, nous ajoutons la possibilité d'analyser,
les filtrant et les normalisant, nous préparons des règles qui nous alertent
des événements les plus importants pour autant qu'ils remplissent certaines conditions
qui ont été précédemment implémentées, nous stockons les journaux avec une politique
de rétention adéquate et mis en place un système de visualisation pour
surveiller les données stockées dans le SIEM.
Capteurs
Pare-feu IDS / IPS
Alertes de règles
Filtré et Magasins-
Commutateurs Les équipes Récolte
Normaliser- mensonge de
Les routeurs Terminaux de journaux
tion de journaux Journaux
Corrélation
Scanners
NAC
Vulnera.
Une analyse Moniteur- Une analyse
temps réel tion légal
Illustration 2.- Architecture physique du SIEM. Adaptation de la figure [1-78]
Description des parties physiques:
• Capteurs: ce sont les équipements de sécurité qui capturent les informations,

Il peut s'agir de: routeurs, commutateurs, serveurs, NAC, IDS / IPS, pare-feu
et même des applications comme Nmap, OpenVAS, etc. Tout appareil
qui a à voir avec la sécurité et est capable de générer des journaux
(logs), il devrait pouvoir être connecté au SIEM.
• Collecte de journaux [1-81]: Il s'agit de la procédure de transfert du
enregistre dans SIEM, et il existe essentiellement deux méthodes selon
qui est en charge de la tâche de récolte: le capteur «méthode push» ou
la "méthode pull" SIEM. Dans la méthode "push", le capteur envoie les enregistrements
vers SIEM au moyen d'une méthode (syslog, beats, nxlog, etc.) avec
indépendance totale du SIEM, au lieu de cela dans la méthode "pull" il est nécessaire
le SIEM pour initier la connexion afin de collecter les enregistrements générés
sur le capteur. Par exemple, dans la méthode «push», le SIEM pourrait lire le
le capteur enregistre si nécessaire.
• Filtrage et normalisation des journaux [1-83]: les enregistrements de
différents capteurs et bien sûr de nature différente, adoptez un
format qui dépend du même capteur et ce format est généralement
très différent pour chaque type de capteur. SIEM devrait normaliser tous
les différents formats sont arrivés des différents capteurs pour faciliter leur
lire et autoriser les formats standard pour la corrélation ultérieure de
événements. Le formulaire unifié au format journal facilite la création
règles de corrélation.
• Règles de corrélation d'alertes [1-85]: le SIEM doit avoir la capacité de
générer des alertes via la visualisation, la messagerie, etc. de tous ceux
Page 17
les incidents qui enfreignent les règles de sécurité établies dans le

même. Aussi, pour éviter les faux positifs et ne pas générer de fausses alertes
qui détournerait notre attention et travaillerait en vain, les alertes devraient
être généré par l'association de différents incidents, y compris
provenant de différents capteurs, qui garantissent la véracité du
se. Par exemple, un échec d'authentification d'une machine contre
un serveur peut être dû à une erreur humaine et SIEM ne doit pas
ne déclenche aucune alerte, mais si cet échec survient du même
machine avec une fréquence de 100 fois par seconde, nous devrions
penser qu'il peut s'agir d'une attaque par force brute et du système SIEM
devrait alerter de la même chose.
• Stockage des journaux [1-89]: pour travailler avec de grands volumes de
et être en mesure de leur appliquer une bonne politique de conservation, nous avons besoin
d'un entrepôt de bonne taille, qui pourrait être une base de données
comme Oracle Database, MySQL, Microsoft SQL, etc., les fichiers texte
tels que les fichiers JSON ou les fichiers binaires. En fonction de la
le volume des enregistrements stockés peut être intéressant, pour améliorer le
performances de stockage et de recherche, en utilisant plusieurs
stockage formant des grappes.
• Surveillance [1-90]: La phase finale de l'architecture SIEM est la
surveillance. Une fois que tous les enregistrements ont été collectés et traités
il est nécessaire de pouvoir accéder aux informations stockées (analyse médico-légale),
généralement avec des recherches intelligentes, elles doivent également être présentées
rapports, graphiques, etc. qui nous donne une idée de l'état actuel du
système ou le plus proche. La couche de surveillance SIEM rend
nous pouvons visualiser l'état de tous les capteurs en un seul endroit
connecté à lui. Enfin, la couche de surveillance nous permet de
être capable de développer les règles qui extraient les informations des événements qui
sont en cours de traitement.
2.3 Centre des opérations de sécurité. SOC. [5]

Un Security Operations Center (SOC) est une équipe de personnes qui

Ils surveillent en permanence les réseaux, les vulnérabilités des équipements,
intrusions, ou tout symptôme d'activité anormale, développant le
réponses appropriées à ces incidents, au sein d'une organisation. Il
La taille de cette équipe dépendra de la taille de l'organisation à superviser.
Ce groupe de personnes peut appartenir à l'organisation "Internal SOC",

il peut s'agir d'un service externalisé ou même mixte. Les principales raisons pour lesquelles
ceux qu'une organisation délègue la gestion de la sécurité à des services externes
sont généralement dus à une éventuelle pénurie de ressources techniques et humaines
éviter de répondre aux demandes croissantes de protection des données, des systèmes
et des applications anti-menaces de plus en plus sophistiquées, tout en assurant
conformité réglementaire.
Sa mission principale est de parvenir à une meilleure détection des incidents de sécurité,
enquêter sur tout ce qui se passe dans notre réseau au niveau de la sécurité et répondre
les faiblesses et les incidents qui existent ou surviennent dans une organisation. De plus, un
SOC envoie des rapports à l'organisation pour laquelle il gère la sécurité informatique
dix
Page 18
afin que vous n'ayez aucun problème de conformité aux audits de

sécurité et respect des réglementations en vigueur.
Un SOC doit collecter et analyser les données relatives à la sécurité provenant de

différentes sources telles que IDS, pare-feu, applications logicielles, DNS, etc. Ce
la photographie s'intègre parfaitement à l'utilisation des systèmes SIEM, pour pouvoir extraire
tous ces enregistrements de différents systèmes et appliquer des règles pour générer le
Alertes correspondantes en cas d'incidents de sécurité à signaler. Dû
à cela, le SOC s'appuie normalement sur un système SIEM pour atteindre ses
objectifs.
Les SOC utilisent fréquemment des sources d'informations tierces

pour pouvoir ainsi les intégrer aux systèmes SIEM, un
une analyse plus précise de l'incident. Ces tiers peuvent être les bases de
les données sur les menaces, où elles ont été précédemment analysées et fournissent
informations véridiques importantes, qui pourraient être d'une grande aide pour les SOC lorsque
le temps de gérer les incidents.
Le processus pourrait être inversé, de sorte que des menaces inconnues

capturés par le SIEM du SOC, pourraient être envoyés à ces systèmes externes
pour eux d'analyser. Ces systèmes analyseront les menaces, les évalueront,
décider de sa sévérité, et apporter une réponse au SOC sur le
se. Sur la base de cette réponse, le SOC doit prendre une décision sur la
incident en fonction de sa gravité et en plus, le système externe ajoutera
cette menace dans leurs bases de données indiquant la gravité ou l'innocuité de la
idem pour une utilisation ultérieure dans toutes les organisations qui en dépendent
système externe.
Les grands SOC utilisent souvent un système à trois niveaux pour gérer
alertes de sécurité générées par un système SIEM. Dans le grand
organisations ces niveaux sont occupés par des personnes différentes,
Dans les petites organisations, le personnel du SOC peut appartenir à divers
niveaux en même temps. Les niveaux d'un SOC sont agissent comme suit
façon:
• Niveau 1. Les analystes de niveau 1 sont chargés de surveiller

alertes de sécurité en temps réel et décider si ces alertes sont réelles
et s'ils sont suffisamment importants pour être mis à l'échelle au niveau 2, ou par le
sinon ils sont si insignifiants qu'ils doivent être fermés immédiatement
sans rien entreprendre.
• Les analystes de niveau 2 examinent les alertes
reçu par le niveau 1 et corréler avec d'autres informations pour
vérifier si l'incident de sécurité s'est produit et déterminer le
actions possibles après cela. Une partie du travail consiste en
évaluer l'impact potentiel de l'incident sur le
ressources de l'organisation, déterminant la portée de l'incident, qui
est l'impact sur l'organisation, si l'incident doit être priorisé ou
non, etc.
• Les analystes de niveau 3 sont du personnel expérimenté
sécurité dont les responsabilités sont:
Onze
Page 19
o identifier et suivre de manière proactive les activités inhabituelles et

les menaces sur le réseau et les éteindre avant les alertes du
Acte SIEM.
o Travailler avec des analystes de niveau 2 lorsqu'une menace
détecté ou causé un incident.
Comme on peut le voir, un système SIEM fonctionne le plus

important dans un centre des opérations de sécurité.
Capteurs Alerte SIEM
Analystes Niveau 1
Pare-feu IDS / IPS
Incident
Commutateurs Les équipes

SIEM
Les routeurs Terminaux
Scanners Enquête
NAC
Vulnera.
Analystes de niveau 2
Enquête sur l'incident
Rechercher des menaces inconnues

et enquête sur les incidents
Corrélation de SIEM avec Analystes de niveau 3
source de menace externe
Menace BBBD
Externe
Illustration 3.- Flux de travail d'un SOC

2.4 Comparaison entre différents SIEM
Le choix d'un système SIEM est assez compliqué, cela dépend fondamentalement
des caractéristiques à contrôler, les cas d'utilisation
nécessaire.
Les organisations acquièrent souvent des SIEM surchargés, avec tous les
caractéristiques et fonctionnalités possibles, souvent annoncées avec
"Chants et sirènes" par les vendeurs et non conformes à la
besoins de l’organisation. En fait, toutes ces fonctionnalités ajoutent
complexité à un produit qui, de par sa nature, est déjà assez complexe en
ses modèles les plus basiques.
12
Page 20
Ainsi, le choix d'un SIEM doit répondre aux besoins et attentes

de l'organisation, il sera conforme à la taille appropriée de la même en termes de
ressources (performances, stockage, etc.), il doit être intégré de la meilleure façon
chemin dans l'infrastructure existante, vous aurez besoin d'un outil de recherche de journaux
agile et flexible, son système de visualisation et de génération de rapports montrant
informations, alertes et rapports en temps réel adaptés à l'organisation
(cadres, pour les audits, etc.) et enfin le prix du
même.
Il existe une variété de systèmes SIEM sur le marché, les plus populaires sont
pratiquement en paiement intégral, seuls quelques-uns sont ouverts
source et avec des fonctionnalités limitées.
Pour effectuer la comparaison des systèmes SIEM, nous utiliserons les systèmes
le plus populaire [4], et la première chose que nous allons vous montrer est le Magic Quadrant de
Gatner pour les systèmes SIEM, publié le 4 décembre 2017. [2]
Illustration 4.- Le quadrant magique de Gatner pour le SIEM. Déc 2017
Dans le quadrant précédent, on peut voir que les principaux systèmes SIEM sont
QRadar (IBM), Splunk, LogRhythm et McAfee ESM, qui sont également les plus
populaire associé à AlientVault, ArcSight et RSA.
Dans la comparaison suivante, un nouveau produit Open Source sera ajouté en tant que
est ELK qui, bien que ce ne soit pas en soi un SIEM, l'ajout de plugins et
configurations, il peut avoir des caractéristiques similaires. [2] [3] [4].
13
Page 21
QRadar
QRadar est un SIEM de la société IBM, avec des composants supplémentaires tels que
gestion des journaux, surveillance du réseau, gestion et gestion des vulnérabilités
risque.
avantage Désavantages
Il s'adapte aux moyennes et grandes organisations. N'intègre pas la surveillance du client final (OS)
(points de terminaison), vous avez besoin de plugins tiers.
Architecture flexible qui prend en charge divers environnements. Bon moteur de recherche, bien que concurrents
Solution disponible en version physique ou virtuelle, comme Splunk et LogRhythm l'améliorent.
centralisé ou distribué, il peut aussi être «sur
cloud »ou cogéré avec des partenaires IBM
QRadar.
Possibilité de se connecter à la sécurité SIEM de L'outil de réponse aux incidents (IBM
des tiers. Résilient) n'est pas natif et doit être connecté via
à partir de l'outil de connexion tiers.
Bon système de surveillance en temps réel et L'octroi de licences est déroutant et complexe.
historique.
Cran
Splunk est composé de deux composants, la solution Enterprise (le système

SIEM) et deux solutions complémentaires premium (Enterprise Security qui analyse
cas d'utilisation et Splunk User Behavior Analytics - UBA qui améliore l'analyse de
requêtes effectuées dans la version entreprise).
SIEM avec l'addition (UBA) présente un Prix de licence élevé.
superbe moteur de recherche. Ça pourrait être le meilleur
avec LogRhythm.
C'est un produit apprécié des clients. Splunk ne propose pas de version Appliance, vous devez
installer sur du matériel pris en charge.
Grand parc d'entreprises associées qui facilite
mise en œuvre dans les organisations.
Il peut coexister avec d'autres systèmes, en utilisant
d'autres cas d'utilisation, ouvrant la voie à
équipes de sécurité souhaitant ajouter un
Solution SIEM à votre environnement où
infrastructure centrale et sources d'enregistrement
les événements sont déjà en cours.
LogRhythm
LogRhythm se compose de plusieurs composants qui peuvent fonctionner dans un

conjointement sur un appareil ou distribués.
C'est une plateforme solide et évolutive à partir d'un seul Intégration difficile avec des solutions tierces. Apis
périphérique jusqu'aux architectures n-tier. moins ouverts aux tiers que leurs concurrents.
Interface utilisateur puissante qui fournit un Difficulté de mise à l'échelle pour prendre en charge des volumes de
solide expérience de surveillance du temps événements très élevés.
réel.
Intègre les activités de réponse automatique et
manuel contre les incidents de sécurité
Bien adapté aux environnements ICS / SCADA
Bon modèle d'implémentation et de support grâce à
depuis le service de déploiement central.
14
Page 22
Gestionnaire de sécurité d'entreprise - ESM
ESM est le SIEM de McAfee, avec une interface utilisateur Web, des analyses
base de données d'événements, capacités de rapport et
gérer de manière centralisée les autres composants complémentaires
à la solution.
Licence simplifiée pour les différents Pire capacité d'analyse avancée, en
options, à la fois physiques et virtuelles. comparaison avec d'autres concurrents.
Ils sont nativement intégrés à d'autres produits Moins de capacité d'automatisation et d'actions
McAffe. réponse que vos concurrents.
Convient aux environnements ICS / SCADA. Faibles offres de formation sur le produit.
Inquiétude de la part des clients.
Amélioration progressive de la satisfaction client,
concernant le produit.
AlientVault
AlienVault est introduit sur le marché avec deux offres différentes, Unified Security
Management (USM) est une appliance (physique ou virtuelle) et USM Anywhere
qui est une solution SaaS dans le cloud.
Ils incluent des capacités de sécurité intégrées, Différences importantes entre les capacités de
tels que la détection d'actifs, IDS, scanners de sécurité les deux produits proposés (appliance et cloud).
vulnérabilités, etc.
Prix du produit inférieur par rapport à leur Flux de travail basé sur les rôles, intégration
concurrents. de tickets, prise en charge de plusieurs
renseignements et capacités sur les menaces
analyses avancées, à la traîne par rapport aux autres
concurrents
Type de licence simple, flexible et facile à utiliser Orienté vers les petites et moyennes organisations.
comprendre.
Il dispose d'un produit Open Source (OSSIM), avec
capacités limitées.
ArcSight
ArcSight Enterprise Security Manager (ESM) est le composant principal du

Micro Focus SIEM. ESM fournit une analyse et une surveillance dans le temps
réel, recherche, rapports, gestion de cas et flux de travail.
Largement utilisé dans les SOC de grande taille et complexes. Moment critique pour le produit après avoir été
acheté par Micro Focus. possibilité de
arrêt ou modifications majeures
le même.
Personnalisation du connecteur qui permet Problèmes avec la complexité et les coûts de votre
normalisation d'un large éventail de sources décharge.
journaux de sécurité.
Très flexible pour l'admission de différents cas Des changements se produisent avec l'introduction
d'utilisation et très orienté vers l'accomplissement de de nouveaux modules qui peuvent donner comme
politiques et réglementations de sécurité en vigueur. résultat de la duplication des données.
L'API permet des intégrations étendues dans
Environnements SOC.
quinze
Page 23
RSA
RSA NetWitness Suite, est un produit Dell, axé sur la détection de

menaces en temps réel, réponse aux incidents, analyse médico-légale et cas de
utilisation des menaces tirant parti de la capture complète des paquets réseau,
événements de sécurité et données de journal, NetFlow et télémétrie à partir des points
fin.
Architecture flexible qui s'étend d'un seul Interface utilisateur de base par rapport à leur
périphérique aux implémentations complexes. concurrents. RSA indique que cet aspect est
il s'améliorera avec la prochaine version.
Solution adéquate pour la mise en œuvre d'un Faible capacité de gestion des incidents.
SOC. Les clients doivent souvent acheter un module complémentaire.
Solution unique pour la détection des menaces et Capacités d'automatisation et d'orchestration
surveillance, enquête et réponse limité.
événements de sécurité
Pile élastique
Elastic Stack est un ensemble de packages qui fonctionnent ensemble, le

la plupart d'entre eux sont open source. Il est composé du moteur de recherche, d'un
collecteur de données, agents de point de terminaison, système de visualisation X-pack
(pas open source), qui est une combinaison d'outils avec différents
des fonctions telles que les alertes, la sécurité, les rapports, la surveillance, etc.
Elastic Stack est initialement un puissant gestionnaire d'événements, mais en raison de sa

la flexibilité peut se rapprocher d'un système SIEM haute capacité.
La plupart de ses composants sont open source. Dans sa forme de base, ce n'est pas un SIEM.
Il est modulaire, les composants sont installés Un composant intéressant n'est pas encore ouvert
avoir besoin. source, comme X-pack. Sa libération est annoncée en
bref.
Il dispose d'un puissant moteur de recherche (Elastic Rien n'est automatisé, vous devez le faire un
Chercher). même.
Il a des agents qui peuvent être installés dans Il n'est pas pris en charge, sauf si le
serveurs ou postes de travail. produit sous licence par une entreprise telle que
logz.io
Plusieurs produits tiers peuvent être connectés.
Gartner le présente comme une alternative choisie
par un ensemble d'organisations en raison de
les prix élevés d'acquisition d'un SIEM et le
complexité de tirer la performance de l'ensemble
des fonctionnalités pour lesquelles il a été payé
Tous les produits précédemment évalués sont de bons candidats

pour un usage professionnel, ils ont tous de bons collectionneurs d'événements, cependant
certains produits ne disposent pas d'agents pour intégrer nativement le
des points de terminaison tels que Splunk, McAfee ESM et AlientVault. Tous sauf Élastique
Stack a des flux d'informations sur les menaces et ils ont tous un moteur puissant
recherche d'événement, mettant en évidence Elastic Stack, Splunk et LogRhythm.
Ils sont tous prêts à se conformer aux politiques de sécurité et
réglementations en vigueur, à l'exception d'Elastic Search qui devrait être implémentée.
16
Page 24
Certains produits comme AlientVault ne sont pas recommandés pour les organisations
très grands.
Une maxime dans la plupart de ces produits est leur coût, et la plupart
les entreprises optent moins pour le plus adapté à leur organisation mais
pour le plus approprié au prix que vous êtes prêt à payer. Il faut que
signifie que l'achat d'un système SIEM n'a pas de retour direct sur le
l'investissement et l'amortissement ne sont évalués que négativement. Autrement dit, quand il existe
un incident et le fait de ne pas avoir acquis l'un de ces systèmes suppose
pertes économiques considérables dans l'entreprise.
Enfin, nous pouvons déterminer que chaque organisation doit mener à bien ses
propre évaluation, en tenant compte non seulement des forces et des faiblesses
présentés dans cet ouvrage ou ailleurs, sinon tous les autres aspects de la
SIEM qui peut être important pour l'organisation. Parce que chacun
L'implémentation SIEM doit adresser un seul ensemble de sources de journal et
doit prendre en charge différentes combinaisons d'exigences de déclaration
conformité, entre autres variantes, le meilleur système SIEM pour une
l'organisation peut ne pas convenir à une autre organisation.
2.5 Choix, justification et caractéristiques du SIEM à mettre en œuvre dans le

phase pratique.
Après avoir évalué certains des systèmes SIEM les plus populaires existants
notre marché, le plus simple et en même temps le plus compliqué en raison de sa
prix, serait d'opter pour l'un des produits mentionnés ci-dessus.
Parce que le système Elastic Stack est open source dans la plupart de ses
composants et, en raison de leur modularité, les composants qui ne sont pas
l'open source peut être remplacé par d'autres avec les mêmes fonctionnalités
qu'ils sont. De plus, la transformation d'un gestionnaire de journaux, comme Elastic
Stack, un système SIEM peut aider lors de la mise en œuvre ou
évaluer simplement la mise en œuvre de la même chose à d'autres organisations, j'ai
a choisi de choisir le système Elastic Stack comme système SIEM à implémenter dans
mon travail.
Au départ, seuls les logiciels open source seront utilisés pour atteindre le
emploi. Donc, tous ces composants Elastic Stack qui ne sont pas ouverts
la source sera supprimée et remplacée par d'autres. En ce moment
seul le package Elastic Stack X-pack n'est pas open source, donc
il doit être remplacé par un autre ou d'autres offrant les mêmes fonctionnalités,
spécifiquement Sentinl.
Parce qu'Elastic Search est un gestionnaire de journaux puissant avec des
surveillance de l'alimentation via Kibana, vous devez ajouter un paquet de
des tiers pour couvrir certains des besoins importants d'un SIEM, tels que
par exemple des alertes, des rapports, des corrélations, etc.
17
Page 25
3.-Développement des travaux pratiques

3.1.- Laboratoire. Objectifs.
Le laboratoire a été réalisé à partir d'un PC éducatif Windows 10, avec un

Mémoire RAM de 8 Go comme machine hôte de virtualisation. La
La virtualisation a été réalisée à l'aide de l'environnement Oracle VirtualBox 5.2.8.
L'objectif du laboratoire est d'essayer de mettre en place un SIEM à travers

Composant principal d'Elastic Stack, ajout d'applications de sécurité et
d'autres composants afin que ses fonctionnalités dépassent le cadre d'un gestionnaire de journaux.
Parallèlement à la mise en œuvre, certains cas d'utilisation sont présentés, qui

ils peuvent être élargis dans le prolongement du projet final de ce Master.
Le laboratoire est composé des composants (serveurs) suivants:

▪ Poste de travail W10.
ou Metricbeat.
o Agent IDS.
▪ Station de travail Linux.
ou Metricbeat.
o Agent IDS.
▪ Serveur SIEM
o Système d'exploitation Linux CentOS 7.
o Elastic Stack (Elasticsearch, Logstash, kibana, beats)
ou Recherche sécurisée
o IDS / IPS Wazuh
▪ Pare-feu
o Serveur CentOS 7 (Iptables).
o Agent IDS.
ou Filebeats
▪ Serveur Web
ou CentOS 7 (Apache 2).
o Agent IDS.
ou Metricbeat
▪ Serveur Radius
ou CentOS 7 (Freeradius 3).
o Agent IDS.
ou Filebeat
L'ensemble du laboratoire, à l'exception de la machine Windows 10, sont des machines

périphériques virtuels indépendants comme indiqué dans le diagramme de réseau physique.
18
Piste 26
L'INTERNET
.1
0,254
.cinquante .quinze .vingt
0,254
FW
SIEM Endpoint W10 Endpoint Linux
.5 .dix
serveur Web Serveur RADIUS
Illustration 5.-Schéma du réseau du laboratoire.
Le serveur SIEM se compose d'Elastic Stack avec quelques plugins (Safe search) et le
IDS / IPS Wazuh qui est un fork de OSSEC HIDS, et s'intègre parfaitement avec
Pile élastique.
La figure suivante montre le schéma logique du laboratoire, avec le

applications et agents installés sur chaque serveur.
Illustration 6.-Schéma logique du laboratoire.
19
Page 27
3.2.- Installation d'Elastic Stack et de son environnement [6]
3.2.1.- Installation et configuration d'Elasticsearch. [6-Elasticsearch Reference]
Tout d'abord, nous installons le référentiel Elastic Stack pour CentOS 7 comme
comme le montre la figure.
Illustration 7.- Installation du référentiel Elastic Stack.
Ensuite, nous installons Elasticsearch.
Il est nécessaire d'avoir le java jdk installé.
Nous activons le service au démarrage, afin qu'il démarre automatiquement lorsque

démarrez le serveur.
Enfin, nous démarrons elasticsearch.
Et nous vérifions que le démarrage du service a été correct.
Illustration 8.- Ceci du service elasticsearch.
Il est également
Accès possible
via le protocole qu'elasticsearch
"http" fonctionne correctement,
sur le port "9200".
vingt
Page 28
Illustration 9.- Accès http à elasticsearch.
Dans la figure précédente, vous pouvez voir la version d'elasticsearch et d'autres

paramètres.
Une fois elasticsearch installé, il est nécessaire d'apporter des modifications à votre
configuration dans le fichier "/etc/elasticsearch/elasticsearch.yml"
Plus précisément dans la section réseau, il sera nécessaire de changer la variable

network.host avec l'adresse IP de la machine sur laquelle se trouve elasticsearch. Alors
nous pouvons l'appeler depuis d'autres endroits.
Illustration 10.-Introduction de l'adresse IP du serveur afin qu'elasticsearch puisse être appelé depuis d'autres emplacements.
Ensuite, vous pouvez voir que vous pouvez appeler elasticsearch via
de l'adresse IP du serveur, comme illustré dans la figure suivante.
Illustration 11.-Appel à elasticsearch via l'adresse IP du serveur SIEM.
vingt et un
Page 29
3.2.2.-Installation de Kibana. [Référence 6-Kibana]
Comme nous avons déjà configuré le référentiel Elastic Stack pour installer
elasticsearch, kibana est installé directement sur le serveur via le
outil "miam".
Nous activons le service kibana au démarrage, pour qu'il démarre automatiquement

lorsque le serveur démarre.
Dans le fichier de configuration de kibana «/etc/kibana/kibana.yml», il sera nécessaire

changer l'adresse elasticsearch en IP du serveur SIEM. Dans notre cas
192.168.1.50
Et nous allons définir l'adresse 192.168.1.50 comme IP d'appel vers kibana, afin de
être accessible à partir d'autres endroits.
Une fois Kibana configuré, nous allons démarrer le service.
Comme pour elasticsearch, il est pratique de vérifier que le

Le service Kibana a démarré avec succès.
Il est obligatoire d'autoriser l'accès, depuis le pare-feu SIEM, pour pouvoir accéder
à kibana de n'importe quel endroit. Le service Kibana écoute sur le port 5601
22
Piste 30
Via un navigateur Web, vous pouvez accéder en utilisant l'URL

http://192.168.1.50:5601 sur le site Web de Kibana, comme indiqué ci-dessous
figure.
Avec l'installation de
Elasticsearch et Kibana
déjà nous avons dans
fonctionnement une
directeur de journaux.
Clairement ce
le gestionnaire de journaux n'a pas
pas de record, depuis
il n'a pas été connecté
aucune source de
Les données. Cependant, le
Illustration 12.-Application Web Kibana. but de ceci
le travail va un peu
au-delà de la simple mise en œuvre d'un gestionnaire de données et doit
lui fournir d'autres capacités pour ressembler à un SIEM.
3.3.-Sécurité SIEM. Rechercher Guard. [8]
Comme SIEM est actuellement (toujours un gestionnaire de journaux),

On constate qu'il n'y a aucun type de sécurité. L'accès à kibana est gratuit
sachant simplement que l'URL est accessible, la connexion avec elasticsearch ne fonctionne pas non plus
il est sous ssl et aussi sans nom d'utilisateur et mot de passe comme Kibana.
Search Guard est un plugin elasticsearch, qui assure la sécurité de

accès à Kibana, présentant un accès web frontal à kibana avec une page
nous devons entrer les informations d'identification. Il fournit également la sécurité pour
elasticsearch, forçant l'accès via ssl et avec des informations d'identification.
Dans le répertoire "/ usr / share / elasticsearch / bin" se trouve le binaire à installer
les plugins "elasticsearch-plugin"
Illustration 13.- Outil d'extension Elasticsearch.
Depuis le répertoire "usr / share / elasticsearch / bin" il faudra écrire le

commande suivante, en notant que la version du plugin doit correspondre à
version d'elasticsearch. Dans ce cas, la version d'elasticsearch est la 6.2.3.
2. 3
Piste 31
Pour installer le plugin Search Guard pour Kibana, nous devons télécharger le
version correct de la Suivant adresse:
https://search.maven.org/#search%7Cgav%7C1%7Cg%3A%22com.floragunn%22%20AND%20a
% 3A% 22search-guard-kibana-plugin% 22
Et choisissez la bonne version comme dans elasticsearch, dans ce cas 6.2.3 comme
indiqué précédemment.
Une fois le plugin en notre possession, il est installé.
Une fois le plugin Elasticsearch et Kibana installé, il est nécessaire de générer

certains certificats pour exécuter la garde de recherche en production. Pour cela nous
Nous téléchargeons un outil de génération de certificat qui nous offre le
même chercher garde dans la adresse
https://search.maven.org/#search%7Cga%7C1%7Ca%3A%22search-guard-tlstool%22
Dans ce cas, nous avons choisi de télécharger le package «search-guard-tlstool-

1.1.tar »et procéder à sa décompression.
De là, avec l'outil, nous générons les certificats en nous appuyant sur
le fichier d'exemple "config / example.yml".
Avec cette commande, les certificats et un fichier sont obtenus où le

les lignes qui doivent être ajoutées au fichier de configuration elasticsearch
"/Etc/elasticsearch/elasticsearch.yml".
Illustration 14.-Certificats et fichier de configuration pour elasticsearch
24
Piste 32
Illustration 15.-Lignes à ajouter au fichier de configuration elasticsearch.
La version communautaire du plugin étant installée, elle doit également être ajoutée
dans le fichier de configuration elasticsearch la ligne suivante:
Illustration 16.- Désactivation de la version Entreprise de Search Guard
Ensuite, les utilisateurs nécessaires seront générés pour accéder

elasticsearch et kibana. Pour cela, nous accédons au fichier "sg_internal_users.yml"
situé dans le répertoire «/ usr / share / elasticsearch / plugins / search-guard-
6 / sgconfig ”, comme le montre la figure suivante.
Illustration 17. Emplacement du fichier "sg_internal_users.yml"
Vous devrez modifier le fichier et ajouter les utilisateurs avec les rôles
correspondant. Dans ce travail, nous n'avons modifié que l'utilisateur admin,
changer le mot de passe (générer le hachage avec l'outil de hachage qui est
trouvé dans le répertoire "plugin / tool" et lui donnant le rôle d'administrateur.
25
Piste 33
Illustration 18.-Admin de l'utilisateur dans Search Guard
Les certificats, préalablement générés, doivent être copiés dans un dossier

où ils peuvent être lus. Dans le travail actuel, ils ont été copiés dans le dossier
"/ Usr / share / elasticsearch / certs ", comme l'indique la figure suivante. Les certificats
importants sont le CA, et ceux correspondant à "ljasomar.pem" et "ljasomar.key",
puisqu'il s'agit d'un utilisateur enregistré dans elasticsearch dans sa configuration.
Illustration 19.-Certificats nécessaires
Depuis le répertoire indiqué dans la figure suivante, nous lançons l'outil

"Sgadmin.sh" pour collecter les modifications apportées au fichier
"Sg_internal_users.yml" et avoir un utilisateur disponible dans Search Guard qui
peut gérer Kibana et Elasticsearch.
Illustration 20.-sgadmin.sh outil pour générer des utilisateurs et leurs rôles
Dans la commande, il sera obligatoire d'indiquer l'AC, le certificat et la clé de l'un des
utilisateurs existants dans la configuration elasticsearch, avec leur mot de passe. La
le mot de passe de l'utilisateur ljasomar se trouve dans le dossier où ils se trouvent tous
les certificats. Plus précisément dans le fichier "client-certificates.readme".
Illustration 21.- Commande pour générer des utilisateurs et des rôles dans Search Guard.
26
Piste 34
Illustration 22.-Identifiants du client ljasomar et luismi.
Elastic Stack est désormais sécurisé à l'aide du plugin Search Guard. le

Les figures suivantes montrent que l'accès à Elastic est sécurisé.
Illustration 23.-Accès obligatoire à Elasticsearch par https et avec des identifiants.
Illustration 24.-Privilèges de l'utilisateur admin dans Elasticsearch après la saisie des informations d'identification.
La figure suivante montre que l'accès à Kibana n'est plus gratuit, il vous faut
entrez des informations d'identification valides .
Si on le désire,
peut changer le
logo et textes du
page de connexion qui
Chercher Garde
fournit pour
Kibana. Dans le fichier
configuration de
Elasticsearch je sais
peut ajouter des lignes
comme la Quoi
montrer l'illustration
27.
Illustration 25.-Accès à Kibana sécurisé par Search Guard.
27
Piste 35
Illustration 26.-Personnalisation de la page de connexion Kibana.
Dans l'illustration
27 est observé
comme l'accès à
Kibana à travers
Search Guard a
été personnalisé
placement il
nom du
l'universitè et
placement la
indication de
Présenter la
informations d'identification dans
Castillan .
Illustration 27.-Page de connexion Kibana personnalisée.
Enfin, il est essentiel de paramétrer le serveur SIEM à l'heure, afin que les logs
sont appropriés au temps réel.
3.4.- Installation du HIDS / IPS - Wazuh [7]
Wazuh est un système de détection d'intrusion open source (c'est un fork

OSSEC), qui effectue l'analyse du registre, la FIM, la détection des rootkits, les alertes et
réponse active (IPS). Wazuh s'intègre parfaitement à Elastic Stack et a
des plugins pour pouvoir utiliser d'autres applications intéressantes, telles que "VirusTotal",
"OpenScap", etc.
Pour installer le Wazuh IDS / IPS, le référentiel wazuh doit être créé,
comme le montre la figure suivante.
28
Piste 36
Illustration 28.- Création du référentiel pour wazuh.
Une fois le référentiel créé, nous installons wazuh et vérifions que son service
fonctionne correctement.
Illustration 29.-Statut du service wazuh-manager.
Il est nécessaire d'installer NodeJS pour utiliser l'API Wazuh et pour cela
configurera le référentiel et le package sera installé.
Il faut vérifier que "Python" est installé. Avec version de contrôle

Nous découvrirons s'il est installé. CentOS 7 est livré avec la version 2.7.5 de
Python, dans sa version serveur minimale.
Illustration 30.- Version Python.
Une fois que nous savons que Python est installé, nous procédons à l'installation de l'API wazuh.
La figure suivante montre le bon fonctionnement de wazuh-api.
29
Piste 37
Illustration 31.-État du service API Wazuh.
Pour intégrer Elastic Stack à Wazuh, si les deux applications sont

fonctionnant sur le même serveur, il sera nécessaire d'installer Logstash, qui est un
Module Elastic Stack.
Dans la URL
https://raw.githubusercontent.com/wazuh/wazuh/3.2/extensions/logstash/01-
wazuh-local.conf nous avons une configuration de base de logstash, nous copions
le fichier dans "/etc/logstash/conf.d/01-wazuh.conf " et éditez-le
commodément.
Illustration 32.- Fichier de configuration Logstash, pour l'intégration avec wazuh.
Comme il est obligatoire de se connecter à Elasticsearch à l'aide de SSL, la section "sortie"

du fichier, il sera nécessaire de le modifier et de le laisser comme indiqué dans la figure précédente.
Il est nécessaire d'ajouter l'utilisateur "logstash" au groupe "ossec", afin que l'utilisateur
"Logstash" dispose des privilèges appropriés.
30
Piste 38
Ensuite, le service Logstash est activé pour démarrer automatiquement dans
Le démarrage du serveur SIEM et le service Logstash démarre.
Vous devez charger un modèle JSON fourni par wazuh pour

Elasticsearch. Il faut d'abord le télécharger, puis le télécharger sur
Elasticsearch. Il est obligatoire de fournir les informations d'identification d'administrateur générées
avec Search Guard, afin de télécharger le modèle sur Elasticsearch.
Illustration 33.-Téléchargement et chargement du modèle JSON de Wazuh pour Elasticsearch.
Il est recommandé d'augmenter le tas de mémoire limite Node.js, pour éviter

problèmes de dépassement de mémoire lorsque nous installons l'application Wazuh.
Une fois Wazuh intégré à Elasticsearch, il reste à l'intégrer à Kibana. Pour

Par conséquent, nous installons le plugin wazuh pour Kibana (il doit correspondre au
Version Elastic Stack, dans ce travail 6.2.3).
Illustration 34.-Plugin Wazuh pour Kibana.
En accédant à Kibana, nous avons désormais le contrôle et le reporting intégrés dans SIEM
Wazuh IDS, comme illustré dans la figure suivante. Pour pouvoir être
utilisé, il est essentiel de configurer l'API Wazuh, comme indiqué sur la figure. le
les informations d'identification sont celles de l'administrateur, fournies dans les sections avant la recherche
Garde. Le port doit être 55000.
31
Piste 39
Illustration 35.-Wazuh intégré dans Kibana, montrant la configuration de l'API Wazuh.
Illustration 36.-API Wazuh configurée et IDS prêt à être utilisé.
L'IDS / IPS est prêt à être utilisé, nous devons maintenant installer les agents dans
les machines que nous allons contrôler.
Comme les machines sont externes au SIEM, il peut donc recevoir des alertes
d'entre eux, il est obligatoire d'ouvrir le port 1514 / udp pour la communication entre
les agents des machines et du SIEM.
Les agents des machines (Capteurs) pour wazuh sont installés de la même manière,
avec lequel dans ce travail nous montrerons l'installation de l'un d'eux. L'agent
où l'installation est affichée sera dans le pare-feu «fw.uoc.edu».
32
Piste 40
Pour l'installation de l'agent, la dernière version est téléchargée, selon le

système d'exploitation utilisé et installé. Pour le pare-feu, nous téléchargerons le
Package RPM 64 bits.
Ensuite, la machine doit être enregistrée dans le SIEM, via le
L'outil "manage_agents" fourni par wazuh, comme indiqué dans le
figure suivante.
Nous choisissons d'ajouter un agent (A) et nous fournissons les données du pare-feu.
Illustration 37.- Inscription d'un mandataire au SIEM.
Après avoir enregistré l'agent dans SIEM, il est nécessaire de transférer le

Clé générée dans SIEM à l'agent de la machine distante. Dans ce cas
le pare-feu fw.ouc.edu.
33
Piste 41
Illustration 38.- Extraction du mot de passe, en SIEM, de la machine «fw.ouc.edu» pour pouvoir y être transféré.
Maintenant à partir de la machine cliente, "fw.ouc.edu", la clé copiée est importée

ci-dessus et ajoutez l'agent. Avec l'outil "manage_agents", mais
cette fois lancé depuis la machine cliente.
Illustration 39.-Importation de la clé SIEM pour fw.ouc.edu depuis le client.
Maintenant il faut sur le client, pointer sur le serveur où se trouve le SIEM,

via le fichier «/var/ossec/etc/ossec.conf». L'adresse IP SIEM est saisie.
Illustration 40.-ossec.conf sur le client, pointant vers le SIEM (192.168.1.50).
3. 4
Piste 42
Enfin, dans le client, nous démarrons le service "ossec-control" et c'est tout

a enregistré le pare-feu "fw.uoc.edu" dans SIEM, plus spécifiquement dans IDS
Wazuh.
Illustration 41.- Démarrage de l'agent dans le client fw.uoc.edu
Illustration 42. fw.uoc.edu enregistré à Wazuh et actif.
Les autres clients (serveur Web, Radius, Endpoint W10 et Endpoint Linux) sont
enregistrera de la même manière.
Après l'installation des agents dans le SIEM, nous avons déjà tous les
machines contrôlées par l'IDS.
Illustration 43.- Machines clientes contrôlées par IDS Wazuh.
35
Piste 43
Pour le moment, IDS est déjà installé avec tous ses agents dans le
machines clientes à inspecter. La figure suivante montre la vue
main, avec un résumé de ce qui se passe sur tous les ordinateurs
inspecté.
Illustration 44.- Vue principale des événements de sécurité dans l'ensemble des machines inspectées.
3.5.- Installation de beats. [Référence de la plateforme 6-Beats]
3.5.1.-Filebeat [6-Filebeat Reference]

La première étape consiste à télécharger le rythme depuis la machine cliente
correspondant, à titre d'exemple pour ce travail, il sera installé sur le serveur
"Radius.uoc.edu", afin de pouvoir envoyer les journaux d'authentification au SIEM.
Pour la collecte de journaux génériques fournis par un tiers, le beat
approprié est Filebeat.
Illustration 45.-Filebeat à télécharger sur radius.uoc.edu.
Après le téléchargement, Filebeat est installé avec yum ou rpm.
36
Piste 44
Une fois Filebeat installé, il est nécessaire de le configurer pour collecter le journal qui
invité et soumis avec succès à elasticsearch. Le fichier de configuration
Filebeat, il se trouve dans «/etc/filebeat/filebeat.yml». Il suffit de réaliser
quelques changements dans le "prospecteur", indiquant que le journal collectera les données
et faire correspondre la sortie Filebeat à elasticsearch (la connexion est SSL).
Il suffira d'activer la section journal et d'indiquer le fichier à partir duquel le fichier bat
enverra les journaux à elasticsearch. La figure suivante montre les modifications, collectant
événements d'un fichier de rayon appelé "linelog", où tous les
authentifications.
Illustration 46.-Configuration dans la section "prospecteurs" de filebeat.yml.
Après cette modification, la section "Sortie Elasticsearch" doit être modifiée pour
indiquez à Filebeat comment se connecter à Elastic Search. Comme elasticsearch seul
prend en charge les connexions SSL, auparavant il est nécessaire d'apporter le certificat CA
Elasticsearch pour référence. Dans le présent travail, ce certificat a été
copié dans le dossier «/ etc / pki / out / root-ca-pem» .
Illustration 47.-Configuration pour connecter Filebeat à elasticsearch via SSL.
Enfin, le service Filebeat sera levé et le journal de rayon sera envoyé dans
temps réel pour elasticsearch.
37
Piste 45
Pour surveiller ces journaux dans le SIEM, cela se fera via Kibana. Pour
cela est nécessaire pour créer l'index dans Kibana et les journaux peuvent être surveillés.
Illustration 48.- Depuis Kibana Management, vous pouvez accéder aux modèles d'index.
À partir des modèles d'index, nous allons créer un nouvel index comme indiqué ci-dessous
figure.
Illustration 49.- Création d'un index dans Kibana pour filebeat.
Ensuite, un nom d'index sera attribué pour collecter tous ces

documents (enregistrements) commençant par le modèle Filebeat-6.2.3- *.
Illustration 50.- Attribution des noms d'index.
38
Piste 46
Il est indiqué que le filtrage se fait en fonction de la variable de "@timestamp" et du

indice.
Illustration 51.-Création de l'index selon le modèle filebeat-6.2.3- *
Par la suite, l'index créé avec les champs et leur

caractéristiques. Dans la figure suivante, vous pouvez voir les champs qui sont
ont envoyé du journal de rayon (linelog).
Illustration 52.- Index créé avec les champs attribués.
Cette même configuration sera effectuée avec le pare-feu pour surveiller le

refus produits par elle.
3.5.2 Metricbeat [6-Metricbeat Reference]

Metricbeat est un agent Elastic Stack installé sur les serveurs pour
collecter des métriques du système d'exploitation et des services en cours d'exécution
sur le serveur. Dans ce travail, il sera installé sur le serveur Web, à titre d'exemple.
Vous commencez par télécharger l'agent metricbeats puis

installez-le et configurez-le sur l'ordinateur client. Dans ce cas sur le serveur Web.
39
Piste 47
Illustration 53.- Télécharger metricbeat 6.2.3.
Metricbeat est installé.
Une fois installé, il est configuré. Le fichier de configuration est

trouvé dans «/etc/metricbeat/metricbeat.yml ». La section de
Kibana, pour charger automatiquement les tableaux de bord apportés par metricbeats.
Illustration 54.- Configuration pour charger les tableaux de bord dans Kibana.
La sortie Metricbeat doit être configurée pour se connecter via SSL avec
elasticsearch.
Illustration 55.- Configuration pour se connecter à elasticsearch par SSL.
Pour finir la configuration nous activerons les modules correspondant à

"Apache" et "MySQL", afin que les métriques de ces services soient collectées,
en plus de la métrique système déjà activée par défaut. À partir de
dossier "/etc/metricbeat/modules.d", renommez simplement le module
"****. Yml.disable " à "****. Yml " pour tout module que nous voulons activer.
Illustration 56.- Activation des modules apache et MySQL.
40
Piste 48
Avec la commande " Metricbeat setup –dashboards " nous allons charger les tableaux de bord dans
Kibana.
Illustration 57. Commande de chargement des tableaux de bord metricbeat dans Kibana.
Enfin, nous allons démarrer le service
Une fois les tableaux de bord installés par metricbeat, la figure suivante montre
ceux qui ont été laissés en raison de leur importance (Apache, MySQL et System). Il a
a quitté le tableau de bord Windows, pour surveiller EndPoint par Metricbeat
W10.
Illustration 58.-Tableaux de bord chargés dans Kibana par metricbeats.
3.6.- Alertes. Sentinl.
Pour réaliser un système d'alertes entièrement intégré avec Elastic Stack,

Vous avez utilisé le plugin Sentinl 6. Ce plugin fournit des fonctionnalités de
alertes, surveillance et rapports.
Son installation est similaire à toutes les installations du plugin Elastic Stack.
Une fois qu'il se trouve dans le répertoire où ils sont exécutés
les plugins Kibana, nous exécutons l'ordre de téléchargement et
installation.
41
Piste 49
Illustration 59.- Installation du plugin Sentinl.
Une fois le plugin installé, il est nécessaire d'accéder au fichier

Configuration de Kibana "/etc/kibana/kibana.yml" et ajoutez les lignes de code
nécessaire à la fin de ce fichier, comme indiqué dans la figure suivante.
Plus tard, le service Kibana est redémarré et le
Fonctionnalité d'alertes et de rapports «Sentinl» dans Kibana.
Illustration 60.- Sentinl intégré à Kibana.
Illustration 61.-Code de configuration pour Sentinl dans

Kibana
3.7.-Tests avec capteurs. Cas d'utilisation
3.7.1- Wazuh IDS / IPS [7-Manuel de l'utilisateur]

Wazuh est un IDS / IPS qui s'intègre parfaitement à Elastic Stack. Dans le
Cet article étudiera uniquement la partie IDS en raison de la charge de travail.
Les actions post-alerte est un module qui a wazuh et entre autres
42
Piste 50
peut conduire à un déni de service d'une ressource en fonction de sa gravité

de l'alerte. Par exemple, via iptables.
3.7.1.1-Vue d'ensemble IDS / IPS

Wazuh a un aperçu où il montre le résumé de l'évolution de la
alertes de sécurité, le nombre d'alertes reçues, le nombre d'alertes
grave, le nombre d'authentifications réussies dans un temps donné.
De plus, il présente des tableaux avec l'évolution des alertes, le numéro d'alerte
par agent, leur statut et enfin un résumé des alertes
indiquant le niveau de gravité et les heures de déclenchement, et un résumé
groupes d'alerte. Tout cela est montré dans la figure suivante (illustration
62).
Vous pouvez voir l'aperçu de tous les agents ou vous pouvez également
voir cette vue récapitulative, pour chacun des agents individuellement. En réalité,
toutes les vues wazuh peuvent référencer tous les agents globalement
ou nous pouvons cibler chaque agent individuellement comme le montre l'illustration
63.
Illustration 62.- Vue générale (résumé) de tous les agents
43
Piste 51
Illustration 63.- Vue générale de l'agent Web.
3.7.1.2-FIM. Surveillance de l'intégrité des fichiers
Wazhu dispose d'un scanner (syscheck) qui vérifie périodiquement si le
les fichiers, de certains répertoires choisis dans la configuration, ont été
créés, supprimés ou modifiés. Ces répertoires peuvent être analysés tous les
certaine heure, avec une périodicité ajustée par l'administrateur ou vérifiée
temps réel.
Dans la figure 64, il

regarder la création,
modification et
effacement ultérieur de
fichier "fim.html" dans
il annuaire
"/ Var / www / html / web"
Quoi ce
configuré pour
alerte à temps
réel et le prochain
figure le SIEM
afficher les changements
fait dans ledit
Illustration 64.-Surveillance FIM sur serveur Web.
fichier.
Il y a une application dans wazuh, avec laquelle, via une "api", vous pouvez connecter le FIM avec
l'application dans le cloud "Virustotal", qui en plus de suivre l'évolution de
44
Piste 52
fichier, après le même je l'examinerais pour vérifier que non

virus.
3.7.1.3-Suivi des politiques de sécurité. Audit d'équipement.

La surveillance des politiques effectue un audit des politiques de sécurité du
différents serveurs et indique les faiblesses à corriger en fonction des
Système CIS pour le système d'exploitation de chaque serveur.
Dans la figure suivante, on peut voir que plusieurs serveurs ne sont pas conformes
les exigences du CIS et indiquer à quelle section ils ne se conforment pas. Par exemple,
notez que l'outil de sécurité n'est pas activé sur le serveur Web
SELinux et que plus de 4 erreurs d'accès sont autorisées sur plusieurs serveurs
via SSH, etc.
Illustration 65.- Audit de tous les serveurs connectés.
Quatre cinq
Piste 53
Illustration 66.- Graphique des violations de la politique de sécurité dans les machines surveillées.
La figure ci-dessus présente un graphique de tous les équipements surveillés par le

SIEM, avec le nombre d'alertes pour non-respect de la norme CIS.
La figure suivante présente un résumé des alertes du serveur Web. Il se peut

voir dans la deuxième ligne du résumé de l'alerte, que le web a été attaqué
avec succès.
Illustration 67.-Résumé des alertes et problèmes de l'audit.
46
Piste 54
3.7.1.4-Surveillance des virus. VirusTotal.

Wazuh dispose d'un système d'intégration tiers pour, par exemple, analyser
fichiers avec un contenu potentiellement malveillant (virus). C'est le cas de l'intégration
avec VirusTotal.
VirusTotal est une application puissante composée de plusieurs produits

antivirus capables d'analyser les ressources en ligne.
Cet outil via son API et avec l'outil IDS FIM

Wazuh, ils effectuent une analyse de tous ces fichiers qui ont été créés,
modifié, en bref, surveillé par l'outil FIM de Wazuh
(syscheck). Une fois que le système FIM détecte qu'un fichier a été modifié ou
créé dans un répertoire spécifié, téléchargez la signature du fichier dans l'application
en ligne à partir de VirusTotal et est analysé par plus de 60 antivirus en ligne, offrant
un résultat fiable du fichier analysé. Le résultat est passé à wazuh et
affiché dans l'interface Kibana.
Pour intégrer VirusTotal à Wazuh, ajoutez simplement le code indiqué dans le

illustration 65 dans le fichier «/var/ossec/etc/ossec.conf» dans SIEM.
Illustration 68.- Intégration de VirusTotal à SIEM.
Il faut également indiquer au SIEM, dans le fichier précédent, le répertoire ou

répertoires dans lesquels les fichiers pouvant être analysés
temps réel.
Illustration 69.- Répertoire à analyser dans la zone syscheck du fichier SIEM «ossec.conf».
Illustration 70.- Surveillance des virus, vers, chevaux de Troie, etc. via VirusTotal.
47
Piste 55
Illustration 71.- Résultat de l'analyse du fichier eicar.com.txt, détecté par wazuh et analysé par
VirusTotal.
3.7.2 Temps
3.7.2.1-Intégration des logs du serveur avec Elastic Stack. Filebeat
Grâce à Filebeat, nous avons déplacé le journal d'authentification de radius vers Kibana et
nous pouvons surveiller les accès au rayon. La figure ci-dessous montre le
afficher de Les
accès aux terminaux
Fenêtres contre rayon.
À travers l'outil
tandis que RadTest nous réalisons
les authentifications contre
le rayon.
La figure suivante montre

montre la surveillance et
contrôle d'accès à
le réseau, en visualisant le
Connexions contre
"Radius.uoc.edu", offrant-
Illustration 72.- RadTest. Programme d'authentification par rapport au rayon.
donner très d'informations
valeur dont l'utilisateur est connecté n'a pas pu se connecter, le MAC de son
équipement, son IP, etc. Un contrôle exhaustif d'un utilisateur ou de son
machine, etc.
48
Piste 56
Le contrôle est possible

du trafic passant
à travers le pare-feu,
fournir un
information très
de valeur. Ce
l'information se compose
du trafic qui était
autorisé ou non, le
règle qui a agi,
qui a généré le
trafic et contre qui,
Contre quel port, oui
était-ce udp ou tcp etc. Il
pare-feu iptables,
sans aucune sorte de
surveillance dans votre
installation, allez à
être complètement
Figure 73. Surveillance des utilisateurs connectés au rayon
surveillé dans
recherches en temps réel ou médico-légales, comme tout autre pare-feu
commercial haut de gamme, grâce à ses logs générés dans le script du même.
La procédure consiste à extraire les logs de chaque règle depuis iptables et

puis avec "nxlog", il est converti au format approprié en JSON. Annexé….
Elastic Stack vous permet de filtrer la visualisation par tous les champs affichés dans
surveillance, fenêtre de temps, IP source, IP de destination, port, protocole,
trafic autorisé ou non, etc. La figure suivante montre ces informations.
Illustration 74.- Surveillance du trafic dans la fw.
3.7.2.2-Surveillance du système d'équipement et de ses processus. Metricbeat

Avec metricbeat, il est possible de surveiller les services et le fonctionnement du
un serveur ou un point de terminaison. Le serveur Web exécute "apache" et "mariadb". À
Les figures suivantes montrent l'état du serveur Web.
49
Psaumes 57
La figure 75 montre
l'état général du
serveur La toile,
surveillance de l'utilisation
CPU, mémoire
RAM, charge
serveur, etc.
Si ce serveur
a subi une attaque
Illustration 75.- État du système serveur Web. sûrement certains
de ces paramètres
je sais verrait fortement
modifié et rapidement
aurait la preuve d'un
problème.
L'illustration 76 montre
plus en détail le statut de la
système de serveur Web,
montrant les processus
(prestations de service)
Quoi je sais
courent et
votre équilibre de charge.
Illustration 76.-Métriques du système du serveur Web.
Figure 77, corrige votre

attention dans l'un des
Les prestations de service
montré dans le
illustration ci-dessus
(MySQL), montrant-
faire la vitesse de
demandes de renseignements, rédaction
tures, nombre de
connexions, etc.
Illustration 77.-Surveillance du service MySQL.
cinquante
Psaumes 58
3.7.3- Alertes. Sentinl
Les alertes doivent être générées via le plugin Sentinl doté d'un assistant
cela nous aide à les réaliser. Tout d'abord, vous définissez la fréquence à laquelle
la
existence de l'alerte
et son nom selon
montrer ce qui suit
figure. Dans ce cas
c'est une alerte appelée
test et je sais
examinera tous les 5
minutes.
Illustration 78.-Génération de l'alerte.
Puis un
requête où le
index à examiner, filtrage par
l'un des champs ou l'heure en
qui devrait concentrer l'alerte.
Graphique 79.
L'étape suivante consiste à définir la condition

ce qui provoquera l'alerte.
Par exemple, un
nombre d'événements dans un
un certain temps. Graphique 80.
Illustration 79.- Section d'entrée Sentinl.
Illustration 80.-Section de condition Sentinl
51
Piste 59
Pour terminer, vous devez indiquer le

action à exécuter lorsque
déclencher l'alerte. Cela peut être un
simple avis dans la section de
Alertes du plug-in Sentinl, telles que
peut être vu dans la figure 82, un envoi
email, comme indiqué
la configuration de la figure 81
ou même un rapport au format
PDF ou PNG.
Illustration 81.-Action après le déclenchement de l'alerte.
Illustration 82.- Alerte présentée par Sentinl
52
Piste 60
4. Conclusions
Les systèmes SIEM sont de plus en plus utilisés dans les environnements de sécurité
Les informations, cependant, ne sont pas exemptes de complexité de traitement et de coûts
des prix économiques élevés, fondamentalement à leur prix sur le marché et
la formation humaine ou l'embauche du personnel nécessaire pour
conduite.
L'idée de ce TFM était de réaliser une solution SIEM open source et de fournir
quelques compétences minimales et nécessaires pour commencer à en profiter. De cette
forme, les coûts de mise en œuvre du système sont réduits en étant open source
et c'est une première impulsion dans sa gestion.
Il est vrai que, au départ lors de la planification de ce travail, l'idée de travail

c'était un peu plus ambitieux. En plus de ce qui est montré ici, les objectifs couverts
une partie des alertes via un outil open source comme «sentinl»,
qui s'intègre parfaitement à Elastic Stack, mais en raison de la charge de travail
du TFM présenté, il n'a pas été possible de le mettre en œuvre.
En raison du paragraphe précédent, je ne pourrais pas dire que le produit développé atteint
la catégorie SIEM pleinement, mais si elle offre une solution utilisable qui va
bien au-delà d'un simple gestionnaire de journaux et cela, sûrement, avec un
quelques intégrations supplémentaires atteindraient complètement la catégorie SIEM.
Ce travail peut parfaitement être le début d'un autre travail où vous mesurez les dimensions à
la portée est beaucoup plus élevée, mettant en œuvre un bon système d'alerte,
établir des règles corrélant différentes sources, même faire un manuel de
cas d'utilisation et bonnes pratiques, plus développés que ceux contenus dans le
travail présent.
D'autres points à développer pourraient concerner la performance et les ressources

nécessaire, pour que ce produit fonctionne non seulement dans un laboratoire, mais aussi
également dans un environnement de travail réel. Un guide de ressources pourrait être fourni
stockage nécessaire, calcul, mémoire, clusters élastiques
Stack, etc., pour un fonctionnement optimal lorsqu'il est chargé sur le
SIEM est plus élevé.
La planification du travail a été fidèlement suivie et adéquate jusqu'à ce que

les travaux sont entrés dans la phase de mise en œuvre. À partir de maintenant,
utilisé plus d'heures / jours que prévu en raison de paramètres incorrects
cela a dû être corrigé et parce que la mise en œuvre des travaux
la pratique avait vraiment besoin de plus d'heures que prévu. Malgré ces
les inconvénients ont été très proches de se conformer pleinement à ce qui était prévu.
Enfin, vérifiez que les 8 Go de RAM utilisés dans la machine sur laquelle
le laboratoire mis en place était insuffisant pour héberger 6 machines virtuelles
fonctionnant simultanément et il était nécessaire d'augmenter cette valeur à 16 Go.
53
Piste 61
5. Glossaire
API. Interface de programmation d'applications. L'interface de programmation d'application,
est un ensemble de sous - programmes , de fonctions et de procédures qui offre
certaine bibliothèque à utiliser par d'autres logiciels comme couche d'abstraction.
Menace. Les événements pouvant déclencher un incident dans l'organisation,
produisant des dommages matériels ou des pertes immatérielles sur ses actifs.
Audit. Processus systématique, indépendant et documenté pour obtenir le
les éléments probants et l'évaluer objectivement afin de déterminer le degré
dans lequel les critères définis sont satisfaits.
BD . Base de données.
CA . Autorité de certification.
CIS . Centre de sécurité Internet. Organisation pour la sécurité Internet.
Corréler . Processus de comparaison de différentes sources d'informations, en obtenant
manière significative à des événements qui, analysés séparément, ne l'auraient pas ou
inaperçu.
CSRF / XSRF . Falsification de demandes intersites. Falsification de pétitions intersites.
DMZ . Zone démilitarisée. Zone démilitarisée.
DNS . Service de noms de domaine (ou système). Service de nom de domaine.
Scanner de vulnérabilité . Programme qui analyse un système à la recherche
vulnérabilités.
Événement de sécurité . Occurrence détectée dans l'état d'un système, service ou réseau
indiquant une possible violation de la politique de sécurité de l'information, un échec
des contrôles ou une situation inconnue à ce jour et qui peut être
pertinents pour la sécurité. [UNE-ISO / CEI 27000: 2014].
FIM . Surveillance de l'intégration des fichiers.
Pare-feu (FW) . Pare-feu.
Ver / Ver. Programme conçu pour se copier et se propager
à travers des mécanismes de réseau. Ils n'infectent pas d'autres programmes ou fichiers.
HIDS . Système de détection d'intrusion dans un hôte.
HTML . Langage Signalétique Hyper Text.
HTTP. Protocole de transfert hypertexte. Protocole de transfert hypertexte, utilisé
généralement dans la navigation Web.
HTTPS. Protocole de transfert sécurisé Hyper Text.
ICS / SCADA . Systèmes de contrôle industriel et supervision de l'acquisition de vos données.
IDS . Système de détection d'intrusion. Système de détection d'intrusion. Système dont
Le but est de détecter les intrusions qui ont été faites ou sont en cours.
Injection SQL. Type d'attaque sur les sites Web basés sur des bases de données, passant
code non autorisé.
IPS . Système de prévention des intrusions. Système de prévention des intrusions. Sa fonction est
prévenir les incidents avant qu'ils ne surviennent.
JSON . Notation d'objets de script Java. Format de texte léger pour l'échange de données .
Malware . Logiciel malveillant dont l'objectif principal est d'endommager ou d'infiltrer
un système.
NAC . Contrôlez le réseau d'accès. Système qui contrôle l'accès au réseau.
NAT . Traduction d'adresses réseau. Conversion d'une adresse IP source et / ou
54
Piste 62
Destination.
Journal . Un journal est un enregistrement des événements qui se produisent dans les systèmes et les réseaux
d'une organisation. [NIST].
OWASP . Ouvrez le projet de sécurité des applications Web.
Politique de sécurité. Ensemble de lignes directrices incorporées dans un document écrit, qui
régir la manière dont une organisation gère et protège les informations et les services
que vous considérez comme critique. [CNN-CERT].
Rootkit . C'est un outil utilisé pour cacher les activités illégitimes sur un système.
RPM . Gestionnaire de packages Red Hat. Outil de gestion des colis pour
GNU / Linux.
SIEM . Informations de sécurité et gestion des événements. Système qui permet de stocker le
journaux de différentes sources en toute sécurité et les corréler en extrayant
informations qui pourraient passer inaperçues si les différentes sources de
informations séparément.
SMTP . Protocole de transfert de courrier simple. Protocole de transfert de courrier simple,
utilisé pour envoyer des e-mails.
SNMP . Protocole de gestion de réseau unique. Protocole de gestion de réseau standard.
SOC . Centre des opérations de sécurité. Centre des opérations de sécurité.
SPAM . Courrier poubelle. Informations non sollicitées, généralement de nature publicitaire,
qui peuvent être reçus par différents moyens tels que le courrier électronique, les forums, etc.
SQL . Langage de requêtes structurées.
SSL . Secure Sockets Layer. Protocole de chiffrement qui permet l'échange sécurisé de
informations entre deux extrêmes, prédécesseur de TLS.
TCP / IP . Protocole de contrôle de transmission / protocole Internet.
TLS . Sécurité de la couche de transport. Protocole de chiffrement qui permet l'échange sécurisé de
information entre deux extrêmes.
Trojan . code nuisible avec l'apparence d'un programme inoffensif qui, lorsqu'il est exécuté
Donne à l'attaquant un accès à distance à l'ordinateur infecté, généralement en installant un
porte de derrière. [CCN-CERT].
UDP . Protocole de datagramme utilisateur. Protocole de datagramme utilisateur.
URL . Localisateur de ressources uniformes.
Virus . Programme conçu pour se copier avec l'intention d'infecter
d'autres programmes ou fichiers. [CCN-STIC-430: 2006].
VLAN . Réseau local virtuel.
Vulnérabilité . Faiblesse qui peut être exploitée par une menace.
WAF . Firewall d'applications Web. Firewall d'applications Web.
XML . Langage de balisage étendu.
XSS . Scripts intersites. Création de scripts intersites.
55
Piste 63
6. Bibliographie
[1] David R. Miller, Shon Harris, Allen A. Harper, Stephen VanDyke, Chris Blask.
(2011). Implémentation de la gestion des informations de sécurité et des événements (SIEM).
New York: Mc Graw Hill.
[2] Kelly M. Kavanagh, Toby Bussa. (2017). Magic Quadrant pour la sécurité
Gestion des informations et des événements. 26 février 2018, à partir du site Gartner
La toile: www.gatner.com. Consulté le 7 avril 2018.
[3] Karen Scarfone. (2018). Comparaison des meilleurs systèmes SIEM du marché.
Site Web: https://searchsecurity.techtarget.com/feature/Comparing-the-best-
Systèmes SIEM sur le marché. Consulté le 5 avril 2018.
[4] Ben Canner. (2018). Les 6 meilleurs fournisseurs de SIEM à surveiller. Site Web:
https://solutionsreview.com/security-information-event-management/top-6-siem-
montres-vendeurs-2018 /. Consulté le 5 avril 2018.
[5] Équipe de sécurité Micro Focus Enterprise, John P. Mello Jr, Jaikumar Vijayan,
Paul Brettle. (2017). Gestion des informations et des événements de sécurité (SIEM). Site
La toile: https://learn.techbeacon.com/tracks/siem. Consulté le 5 avril 2018.
[6] Elastic Stack et documentation produit (2018). Site Web:

https://www.elastic.co/guide/index.html. Visité le 5 avril 2018. Visité le
1er mai 2018.
[7] Wazuh. Documentation Wazuh 3.x (2018). Site Web:

https://documentation.wazuh.com/current/index.htmlVisité le 5 avril
2018. Visité le 1er mai 2018.
[8] Search Guard. Rechercher dans la documentation Guard 6 (2016-2017). Site Web:
https://documentation.wazuh.com/current/index.htmlVisité le 5 avril
2018. Visité le 28 avril 2018.
56
Piste 64
7. annexes
7.1.-Script de pare-feu iptables "fw.sh".
#! / bin / bash
iptables - F
iptables -X
# Nous nettoyons la table NAT

iptables -t nat - F
iptables -t nat -X
# Politiques de pare-feu
iptables - P INPUT DROP
iptables - P OUTPUT ACCEPT
iptables - P DROP FORWARD
#RÈGLES D'ENTREE
iptables -A INPUT - m état - état ESTABLISHED , RELATED - j ACCEPT
iptables -A INPUT - i lo - j ACCEPTER
iptables -N Rule_1
iptables -A INPUT - i -s enp0s3 192 . 168 . 1 . 15 -p tcp - dport 22 - m état - état NOUVEAU - j Rule_1
iptables -A Rule_1 - j LOG - log-level 4 - log-prefix "allowed"
iptables -A Rule_1 - j ACCEPTER
iptables -A INPUT - j LOG - préfixe de journal "Denied Rule_End_Input" - niveau de journal 4
# RÈGLES FORWARD
iptables -A FORWARD - m état - état ESTABLISHED , RELATED - j ACCEPT
iptables -N Rule_2
iptables -A FORWARD - i enp0s3 -s 192 . 168 . 1 . 0 / 24 p tcp - --dport 80 -d 192 . 168 . 2 . 5 - état m -
état NOUVEAU - j Rule_2
iptables -A Rule_2 - j LOG - log-level 4 - log-prefix "allowed Rule_2"
iptables -N Rule_3
iptables -A FORWARD - i enp0s3 -s 192 . 168 . 1 . 0 / 24 p tcp - --dport 443 -d 192 . 168 . 2 . 5 - état m -
iptables -N Rule_4
iptables -A FORWARD - i enp0s3 -s 192 . 168 . 1 . 0 / 24 p udp - --dport 1812 -d 192 . 168 . 2 . 10 - état m -
iptables -N Rule_5
iptables -A FORWARD - i enp0s3 -s 192 . 168 . 1 . 0 / 24 p udp - --dport 1813 -d 192 . 168 . 2 . 10 - état m -
iptables -N Rule_6
iptables -A FORWARD - i enp0s3 -s 192 . 168 . 1 . 15 -p tcp - dport 22 -d 192 . 168 . 2 . 10 - état m - état
NOUVEAU - j Rule_6
iptables -N Rule_7
iptables -A FORWARD - i enp0s3 -s 192 . 168 . 1 . 15 -p tcp - dport 22 -d 192 . 168 . 2 . 5 - état m - état
NOUVEAU - j Rule_7
iptables -N Rule_8
iptables -A FORWARD - i enp0s3 -s 192 . 168 . 1 . 50 -d 192 . 168 . 2 . 0 / 24 - m état - état NEW - j Regla_8
57
Piste 65
iptables -N Rule_9
iptables -A FORWARD - i enp0s8 -s 192 . 168 . 2 . 0 / 24 -o enp0s3 - m état - état NEW - j Regla_9
iptables -A FORWARD - j LOG - préfixe de journal "Refusé End_Forw_Rule" - niveau de journal 4
iptables -t nat -N Rule_100

iptables -t nat -A POSTROUTING -s 192 . 168 . 2 . 0 / 24 , ou enp0s3 ! -d 192 . 168 . 1 . 0 / 24 - j Regla_100
iptables -t nat -A Rule_100 - j LOG - log-level 4 - log-prefix "Internet_Access Rule_100"
iptables -t nat -A Rule_100 - j MASQUERADE
7.2.-nxlog fichier de configuration "/etc/nxlog.conf" pour convertir le journal du

pare-feu au format JSON.
## Ceci est un exemple de fichier de configuration. Consultez le manuel de référence nxlog sur le
## options de configuration. Il doit être installé localement sous
## / usr / share / doc / nxlog-ce / et est également disponible en ligne sur
## http://nxlog.org/docs
#######################################
# Directives globales #
#######################################
Utilisateur nxlog
Groupe nxlog
LogFile /var/log/nxlog/nxlog.log
Informations sur le niveau de journal
#######################################
# Modules #
#######################################
<E xt e nsion _syslog >
Module xm_syslog
< / E xt e nsion >
<E xt e nsion kvp >

Module xm_kvp
KVPDelimiter ''
KVDelimiter =
EscapeChar \\
< / E xt e nsion >
<E xt e nsion json >

Module xm_json
< / E xt e nsion >
< Entrée en 1>

Module im_file
Fichier ' /var/log/iptables.log'
SavePos TRUE
ReadFromLast TRUE
<E x ec>
parse_syslog () ;
si ($ Message = ~ / ^ (\ S +) (\ S +) IN = (\ S +) OUT = (\ S +)? \
MAC = (\ S +: \ S +: \ S +: \ S +: \ S +: \ S +): (\ S +: \ S +: \ S +: \ S +: \ S +: \ S \ S): 08: 00 SRC = (\ S +) DST = (\ S +) LEN = (\ S +) \
TOS = (\ S +) PREC = (\ S +) TTL = (\ S +) ID = (\ S +) (\ S +)? ? PROTO = (\ S +)? S? P? T? =? (\ D +)? ? D? P? T? =? (\ D +)? \
(. *)? $ /)
{
$ Action = 1 $;
$ Règle = 2 $;
$ Source_Zone = 3 $;
$ Destination_Zone = 4 $;
$ MAC_DST = 5 $;
$ MAC_SRC = 6 $;
$ IP_Source = 7 $;
$ Destination_IP = 8 $;
$ Package_Length = 9 $;
$ TOS = 10 $;
$ PREC = 11 $;
58
Piste 66
$ TTL = 12 $;
$ ID = 13 $;
$ FRAG = 14 $;
$ Protocole = 15 $;
$ Source_port = 16 $;
$ Destination_port = 17 $;
$ reste = 18 $;
}
supprimer ($ Hostname) ;
supprimer ($ EventTime) ;
supprimer ($ EventReceivedTime) ;
supprimer ($ SourceModuleName) ;
supprimer ($ SourceName) ;
supprimer ($ SourceModuleType) ;
supprimer ($ SyslogFacilityValue) ;
supprimer ($ SyslogFacility) ;
supprimer ($ SyslogFacilityUser) ;
supprimer ($ SyslogSeverityValue) ;
supprimer ($ SyslogSeverity) ;
supprimer ($ SeverityValue) ;
supprimer ($ Severity) ;
supprimer ($ Message) ;
to_json () ;
< / E x ec>
< / Entrée >
< Sortie f il et sortie 1>

Module om_file
Fichier " / var / log / iptables"
< / Sortie >
#######################################
# Itinéraires #
#######################################
< Route 1>
Chemin in1 = > fileout1
< / Rout e>
7.3.-Configuration du fichier "linelog" dans radius pour extraire les logs liés au
client et NAS en authentification.
# - * - texte - * -
#
# $ Id: c646da0a05cbdf6e984f79cea105de41de4b0528 $
#
# Le module "linelog" enregistrera une ligne de texte dans un fichier.
# Le nom de fichier et la ligne de texte sont développés dynamiquement.
#
# Nous vous suggérons FORTEMENT de ne pas utiliser les données du
# paquet faisant partie du nom de fichier.
#
linelog {
#
# Le fichier dans lequel les journaux iront.
#
# Si le nom du fichier est "syslog", les messages du journal
# allez dans syslog.
filename = $ { logdir } / linelog
#
# La plupart des systèmes de fichiers peuvent utiliser presque toute la gamme d'UTF-8
# personnages. Ceux qui peuvent gérer une gamme limitée devraient
# définissez ceci sur "oui".
#
escape_filenames = non
#
# Les permissions de style Unix sur le fichier journal.
#
# Selon la chaîne de format, le fichier journal peut contenir un secret ou
59
Piste 67
# informations privées sur les utilisateurs. Conservez les autorisations de fichier comme
# restrictif possible.
autorisations = 0600
# En cas de journalisation via syslog, la gravité peut être définie ici.

# Valeur par défaut sur info.
#
# La chaîne de format par défaut.
format = "Ceci est un message de journal pour% {User-Name}"
# Référencez le type de paquet (Access-Accept, etc.) Si ce n'est pas le cas

# existe, référence l'entrée "par défaut".
reference = "messages.% {% {reply: Packet-Type}: - default}"
# Les messages définis ici sont issus de la "référence"

# expansion, ci-dessus.
# Message d'authentification converti au format JSON

messages {
Access-Accept = "{\" 01 - Authentification \ ": \" Login OK \ ", \" 02 - User \ ": \" % { User-Name } \ ", \" 05 -
NAS \ ": \" % { NAS-Identifier } \ ", \" 04 - MAC-CLIENT \ ": \" % { Calling-Station-Id } \ ", \" 03 - IP-
CLIENT \ ": \" % { Adresse-IP-encadrée } \ ", \" 06 - SSID \ ": \" MISTIC \ "}"
Access-Reject = "{\" 01 - Authentification \ ": \" Login FAIL \ ", \" 02 - User \ ": \" % { User-Name } \ ", \" 05 -
NAS \ ": \" % { NAS-Identifier } \ ", \" 04 - MAC-CLIENT \ ": \" % { Calling-Station-Id } \ ", \" 03 - IP-
CLIENT \ ": \" % { Adresse-IP-encadrée } \ ", \" 06 - SSID \ ": \" MISTIC \ "}"
}
}
60

Avantages Et Mise en Œuvre D'un Système SIEM

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Avantages Et Mise en Œuvre D'un Système SIEM

Transféré par

Droits d'auteur :

Formats disponibles

26/01/2021 Avantages et mise en œuvre d'un système SIEM

Avantages et mise en œuvre d'un système SIEM

Luis Miguel Jaso Marquina

Ce travail est soumis à une licence de

FEUILLE DE TRAVAIL FINALE

Avantages et mise en œuvre d'un système

Nom de l'auteur: Luis Miguel Jaso Marquina

Nom du consultant: Marco Antonio Lozano Merino

Nom de la PRA: Police Víctor García

Date de livraison (mm / aaaa): 06/2018

Zone finale du projet: Projet principal final

Langue de travail: espagnol

IT, sécurité, SIEM, HIDS, Elastic

Résumé des travaux (maximum 250 mots): Avec l'objectif, le contexte de

Forte demande des organisations dans le contexte de la sécurité

Système SIEM qui offre les fonctionnalités de base nécessaires à la

Résumé (en anglais, 250 mots ou moins):

La forte demande de la part des organisations dans le cadre de l'informatique

1.- Introduction ………………. ……………………………. ……………………… 1

2.- Fondements théoriques ……………………………………. ………………… .. 6

3.- Développement des travaux pratiques. Implémentation SIEM. ………… ... 18

4. Conclusions …………… .. ……………………………………………………. 53

5.- Glossaire ……………… .. ……………………………………………………… .. 54

6.- Bibliographie …………… .. ………………………………………………………. 56

7.- Annexes ………………… ... ……………………………………………………… 57

Liste des figures

Illustration 41.- Démarrage de l'agent dans le client fw.uoc.edu ............................... 35

Le mémoire de maîtrise "Avantages et implémentation d'un système SIEM"

Le travail combinera deux sections principales:

• Section Recherche: Fondements théoriques du SIEM,

1.2 Objectifs des travaux

Avec l'achèvement de ce TFM, j'ai l'intention de développer les éléments suivants

1.3 Approche et méthode suivies

Comme expliqué dans une section précédente, le TFM dispose de deux

• Qu'est-ce qu'un SIEM?

Comme on peut le voir, cette section est une œuvre de

1.4 Planification du travail

J'ai constitué trois groupes pour catégoriser les tâches à effectuer:

1.5 État de la technique

La sécurité du réseau d'une organisation est un point clé à considérer

Les SIEM existants intègrent la gestion de tous ces

La plupart des SIEM existants sur le marché ont des

• SEM. Gestion des événements de sécurité. Il s'est concentré sur le suivi

Les ressources nécessaires pour réaliser ce mémoire de maîtrise,

• Navigateur Internet. Google, Bing, etc.

La demande de systèmes SIEM dans les organisations est une constante

Aujourd'hui, la gestion et le traitement des menaces sont l'un des aspects

2.1 Concepts théoriques d'un SIEM. fonctionnalités

L'acronyme SIEM vient de l'expression «Security Information and Event

Les systèmes SIEM résultent de la convergence de deux technologies différentes [1-

• SIM (Security Information Manager). Tout stocke

Les systèmes SIEM combinent les capacités de ces deux technologies

• Collecte et gestion des logs. Capacité des systèmes SIEM à acquérir

2.2 Architecture des systèmes SIEM [1-Chapitre 5]

La figure suivante illustre l'architecture logique d'un système SIEM, avec le

Illustration 1.-Architecture logique SIEM

Du point de vue physique, l'ensemble des pièces qui composent le SIEM

Tout d'abord, nous recueillons les journaux de ces appareils intéressants

Pare-feu IDS / IPS

Illustration 2.- Architecture physique du SIEM. Adaptation de la figure [1-78]

Description des parties physiques:

• Capteurs: ce sont les équipements de sécurité qui capturent les informations,

les incidents qui enfreignent les règles de sécurité établies dans le