Scribd Logo
Importer

Bienvenue sur Scribd !

  • Siem 180906233759

    Transféré par

    Olyte
    97 vues34 pages

    Titre original

    siem-180906233759

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    97 vues34 pages

    Siem 180906233759

    Transféré par

    Olyte

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 34

    Etude et Mise en Place

    d’une Solution SIEM


    Superviseur :
    Mr Massamba Lo
    Sommaire
    I-Introduction--------------------------------------------------------------------------------
    Definition
    II-Fonctionnement --------------------------------------------------------------------------
    III-Information-------------------------------------------------------------------------------
    IV-Architecture ------------------------------------------------------------------------------
    V-Exemple de SIEM-------------------------------------------------------------------------
    Sommaire
    VI-Installation et configuration de AlienVault open source Security information
    event management (OSSIM)---------------------------------------------------------------
    1-Installation
    2-Configuration serveur
    3-Configuration client
    VII-Conclusion-------------------------------------------------------------------------------
    I-Introduction:
    Définition:
    Le principe d’un SIEM consiste à examiner depuis un guichet unique les données relatives
    à la sécurité de l'entreprise qui sont générées en de nombreux points. Cette approche
    facilite l'identification d'éventuelles tendances et de schémas inhabituels.
    Une solution SIEM combine des fonctions de gestion des informations (SIM, Security
    Information Management) et des événements (SEM, Security Event Management) au sein
    d'un système unique de gestion de la sécurité.
    II-Fonctionnement
    SIEM combine Security Information Management (SIM) et Security Event
    Manager (SEM).
    • La partie gestion de la sécurité qui traite de la surveillance en temps réel, la
    corrélation des événements, les notifications et les vues de la console est
    communément connu sous le nom de Security évent manager (SEM).
    • La deuxième partie gère le stockage long terme, l’analyse et le reporting est
    connu sous le nom de Security Information Management (SIM).
    Principaux Objectifs

    • Identifier les menaces et les éventuelles brèches

    Collecter les journaux d'audit de la sécurité et de la


    conformité

    Mener des enquêtes et fournir des preuves


    III-Information
    Le terme Security Information Event Management (SIEM) a été introduit par
    Mark Nicolett et AmritWilliams en 2005.
    Décrit les capacités d’un produit à collecter, analyser et présenter des
    informations à partir de dispositifs de réseau et de sécurité; d’applications de
    gestion des identités et des accès; d’outils de gestion de la vulnérabilité et de la
    conformité du SI; des systèmes d'exploitation, des journaux des bases de
    données et des applications; et des données des menaces externes
    Pourquoi un SIEM est nécessaire ?
    • Hausse des vols de données dues à des menaces internes et externes
    • Les attaquants sont intelligents et des outils de sécurité traditionnelle ne
    suffisent pas
    • Atténuer les cyber-attaques sophistiquées
    • Gérer l'augmentation des volumes de log provenant de sources multiples
    • Répondre aux exigences de conformité strictes
    Workflow d’un SIEM

    Présenter
    Extraction sous forme
    Collecte de Ajouter de
    efficace des de tableau
    données la valeur
    données de bord &
    de rapports
    IV-Architecture SIEM
    V-Exemple de SIEM

    Open Source Solutions Payantes


    Alien Vault OSSIM • Alcatel-Lucent OA Safeguard

    OSSEC • Cisco Cisco Security Manager


    • IBM Qradar
    Prelude
    • Logpoint
    ELK
    • NitroSecurity McAfee Enterprise Security
    Manager
    VI-Installation et
    Configuration de :
    Alien Vault Open Source Security
    information Event management (OSSIM)
    Télécharger l’iso sur le site
    • Le lien de téléchargement

    https://www.alienvault.com/products/ossim
    1-Installation 1

    • Ressources Allouées à la Machine


    Installation 2

    • Adressage donner une adresse ip le masque la passerelle puis le DNS


    Installation 3

    • Donner un Mot de passe a noter que le mot de passe du serveur n’est pas
    forcement le même que celui de l’interface graphique
    2-Configuration Serveur 1

    • Activer l’agent ossim comme suit:


    Configuration Serveur 2

    • Nous allons ensuite modifier le system comme suit:


    Configuration Serveur 3

    • Après le redémarrage rendez-vous sur la machine client sur un navigateur de


    préférence Google chrome ou Firefox
    Et taper l’URL https://@ip_de_votre_serveur
    Dans notre cas https://192.168.10.10
    Configuration Serveur 4

    Loggez vous
    Renseigner vos information
    Configuration Serveur 5
    Configuration Serveur 6
    Configuration Serveur 7
    Configuration Serveur 8

    Voici à quoi ressemble le tableau de bord le Dashboard


    Configuration Serveur 9

    • Nous allons ajouter un agent ossim :


    • Environnement a detection agent add agent et sélectionner
    l’@ip de votre agent dans notre cas 192.168.10.11
    1-Configuration Client 1

    • Télécharger l’agent ossec en cliquant sur Dowland préconfigure agent


    Configuration Client 2

    • Ensuite installer l’agent sur la machine cliente et faites les configuration


    suivantes sur votre parfeu:
    • Autoriser l’agent ossim
    • Et Configurer votre trafic entrant et sortant dans le paramètre avancé
    Configuration Client 3
    Configuration Client 4

    • Faites la même opération pour le trafic sortant


    Ensuite cliquez sur Windows ossec management
    Configuration Client 5

    • Les logs générés sont là


    • Donc en cas d’attaque
    ou de dysfonctionnement
    Nous serons informés
    À travers les logs
    VI-Conclusion
    Les SIEM constituent de bonnes alternatives pour la sécurisation des systèmes
    d’information d’une entreprise car:
    L’analyse des données des logs de l’entreprise peut aider à détecter les cyber-menaces
    avancées. Ces logs fournissent des données sur tout ce qui se passe dans un réseau : sur
    les postes de travail, les serveurs et les applications, sur site et dans le cloud. En
    corrélant vos données de logs internes avec les sources des applications fournissant des
    renseignements sur les menaces, vous êtes averti s’il existe une correspondance entre
    les indications connues sur les cyber-menaces et les données de log de votre entreprise.
    De cette façon, vous êtes capable de vous protéger contre d’éventuelles attaques.
    Webographie
    https://en.wikipedia.org/wiki/OSSIM
    https://fr.wikipedia.org/wiki/Security_information_management_system
    https://www.alienvault.com/products/ossim
    https://connect.ed-diamond.com/MISC/MISC-062/Open-Source-Security-
    Information-Management-OSSIM-Partie-1
    Exposants
    Yaya N’tyeni SANOGO Email: yayantyenisanogo@gmail.com
    Mathos GOUMOU Email: mathosgoumou@gmail.com
    N’Deye Aicha SOW Email : sowndeyeaicha1992@gmail.com
    MERCI DE VOTRE ATTENTION

    Vous aimerez peut-être aussi