Superviseur : Mr Massamba Lo Sommaire I-Introduction-------------------------------------------------------------------------------- Definition II-Fonctionnement -------------------------------------------------------------------------- III-Information------------------------------------------------------------------------------- IV-Architecture ------------------------------------------------------------------------------ V-Exemple de SIEM------------------------------------------------------------------------- Sommaire VI-Installation et configuration de AlienVault open source Security information event management (OSSIM)--------------------------------------------------------------- 1-Installation 2-Configuration serveur 3-Configuration client VII-Conclusion------------------------------------------------------------------------------- I-Introduction: Définition: Le principe d’un SIEM consiste à examiner depuis un guichet unique les données relatives à la sécurité de l'entreprise qui sont générées en de nombreux points. Cette approche facilite l'identification d'éventuelles tendances et de schémas inhabituels. Une solution SIEM combine des fonctions de gestion des informations (SIM, Security Information Management) et des événements (SEM, Security Event Management) au sein d'un système unique de gestion de la sécurité. II-Fonctionnement SIEM combine Security Information Management (SIM) et Security Event Manager (SEM). • La partie gestion de la sécurité qui traite de la surveillance en temps réel, la corrélation des événements, les notifications et les vues de la console est communément connu sous le nom de Security évent manager (SEM). • La deuxième partie gère le stockage long terme, l’analyse et le reporting est connu sous le nom de Security Information Management (SIM). Principaux Objectifs
• Identifier les menaces et les éventuelles brèches
Collecter les journaux d'audit de la sécurité et de la
conformité
Mener des enquêtes et fournir des preuves
III-Information Le terme Security Information Event Management (SIEM) a été introduit par Mark Nicolett et AmritWilliams en 2005. Décrit les capacités d’un produit à collecter, analyser et présenter des informations à partir de dispositifs de réseau et de sécurité; d’applications de gestion des identités et des accès; d’outils de gestion de la vulnérabilité et de la conformité du SI; des systèmes d'exploitation, des journaux des bases de données et des applications; et des données des menaces externes Pourquoi un SIEM est nécessaire ? • Hausse des vols de données dues à des menaces internes et externes • Les attaquants sont intelligents et des outils de sécurité traditionnelle ne suffisent pas • Atténuer les cyber-attaques sophistiquées • Gérer l'augmentation des volumes de log provenant de sources multiples • Répondre aux exigences de conformité strictes Workflow d’un SIEM
Présenter Extraction sous forme Collecte de Ajouter de efficace des de tableau données la valeur données de bord & de rapports IV-Architecture SIEM V-Exemple de SIEM
Open Source Solutions Payantes
Alien Vault OSSIM • Alcatel-Lucent OA Safeguard
OSSEC • Cisco Cisco Security Manager
• IBM Qradar Prelude • Logpoint ELK • NitroSecurity McAfee Enterprise Security Manager VI-Installation et Configuration de : Alien Vault Open Source Security information Event management (OSSIM) Télécharger l’iso sur le site • Le lien de téléchargement
• Adressage donner une adresse ip le masque la passerelle puis le DNS
Installation 3
• Donner un Mot de passe a noter que le mot de passe du serveur n’est pas forcement le même que celui de l’interface graphique 2-Configuration Serveur 1
• Activer l’agent ossim comme suit:
Configuration Serveur 2
• Nous allons ensuite modifier le system comme suit:
Configuration Serveur 3
• Après le redémarrage rendez-vous sur la machine client sur un navigateur de
préférence Google chrome ou Firefox Et taper l’URL https://@ip_de_votre_serveur Dans notre cas https://192.168.10.10 Configuration Serveur 4
Loggez vous Renseigner vos information Configuration Serveur 5 Configuration Serveur 6 Configuration Serveur 7 Configuration Serveur 8
Voici à quoi ressemble le tableau de bord le Dashboard
Configuration Serveur 9
• Nous allons ajouter un agent ossim :
• Environnement a detection agent add agent et sélectionner l’@ip de votre agent dans notre cas 192.168.10.11 1-Configuration Client 1
• Télécharger l’agent ossec en cliquant sur Dowland préconfigure agent
Configuration Client 2
• Ensuite installer l’agent sur la machine cliente et faites les configuration
suivantes sur votre parfeu: • Autoriser l’agent ossim • Et Configurer votre trafic entrant et sortant dans le paramètre avancé Configuration Client 3 Configuration Client 4
• Faites la même opération pour le trafic sortant
Ensuite cliquez sur Windows ossec management Configuration Client 5
• Les logs générés sont là
• Donc en cas d’attaque ou de dysfonctionnement Nous serons informés À travers les logs VI-Conclusion Les SIEM constituent de bonnes alternatives pour la sécurisation des systèmes d’information d’une entreprise car: L’analyse des données des logs de l’entreprise peut aider à détecter les cyber-menaces avancées. Ces logs fournissent des données sur tout ce qui se passe dans un réseau : sur les postes de travail, les serveurs et les applications, sur site et dans le cloud. En corrélant vos données de logs internes avec les sources des applications fournissant des renseignements sur les menaces, vous êtes averti s’il existe une correspondance entre les indications connues sur les cyber-menaces et les données de log de votre entreprise. De cette façon, vous êtes capable de vous protéger contre d’éventuelles attaques. Webographie https://en.wikipedia.org/wiki/OSSIM https://fr.wikipedia.org/wiki/Security_information_management_system https://www.alienvault.com/products/ossim https://connect.ed-diamond.com/MISC/MISC-062/Open-Source-Security- Information-Management-OSSIM-Partie-1 Exposants Yaya N’tyeni SANOGO Email: yayantyenisanogo@gmail.com Mathos GOUMOU Email: mathosgoumou@gmail.com N’Deye Aicha SOW Email : sowndeyeaicha1992@gmail.com MERCI DE VOTRE ATTENTION
