Vous êtes sur la page 1sur 4

Développement d’un solution SIEM

(System Information and Events


Monitoring)
Elaboré par Sizalobuhle Ncube

& Etidel Abdelkader

Intention
Collectez toutes les données relatives à la sécurité dans un point central afin d'identifier les
menaces ou les incidents. Par conséquent, fournissez le
possibilité de traiter différents formats de données et d'analyser les données en temps réel et
historiquement. De plus, offrez la possibilité d'interagir avec des experts humains.

Le contexte
Dans les organisations d’aujourd’hui, un grand nombre de systèmes et de dispositifs de sécurité
différents font partie des infrastructures informatiques. Dans la plupart des cas, ils ont été
cultivés historiquement et il est donc difficile de suivre l'état général de Sécurité informatique de
l'entreprise. De plus, les systèmes de sécurité isolés, comme les pare-feu, ne peuvent détecter ou
empêcher que des attaques très spécifiques. À obtenir une image holistique de l'état de la sécurité
et découvrir des cyberattaques plus avancées en collectant toute la sécurité des informations
pertinentes dans un système centralisé sont nécessaires. Par conséquent, l'analyse des menaces en
temps réel est essentielle pour être capable de réagir rapidement, des analyses historiques devant
être effectuées en plus.

Problème
Le grand nombre d'appareils et de logiciels liés à la sécurité rend difficile l'obtention d'une vue
holistique d'un
sécurité des organisations. En particulier, les attaques sophistiquées affectant plusieurs systèmes
(communément appelées

Intention
Collectez toutes les données relatives à la sécurité dans un point central afin d'identifier les
menaces ou les incidents. Par conséquent, fournissez le
possibilité de traiter différents formats de données et d'analyser les données en temps réel et
historiquement. De plus, offrez
la possibilité d'interagir avec des experts humains.

Le contexte
Dans les organisations d’aujourd’hui, un grand nombre de systèmes et de dispositifs de sécurité
différents font partie des infrastructures informatiques. Dans
la plupart des cas, ils ont été cultivés historiquement et il est donc difficile de suivre l'état général
de l'entreprise
Sécurité informatique. De plus, les systèmes de sécurité isolés, comme les pare-feu, ne peuvent
détecter ou empêcher que des attaques très spécifiques. À
obtenir une image holistique de l'état de la sécurité et découvrir des cyberattaques plus avancées
en collectant toute la sécurité
des informations pertinentes dans un système centralisé sont nécessaires. Par conséquent,
l'analyse des menaces en temps réel est essentielle pour être
capable de réagir rapidement, des analyses historiques devant être effectuées en plus.

Problème
Le grand nombre d'appareils et de logiciels liés à la sécurité rend difficile l'obtention d'une vue
holistique d'un
sécurité des organisations. En particulier, les attaques sophistiquées affectant plusieurs systèmes
(communément appelées
menaces persistantes avancées) restent souvent non détectées. De plus, l'énorme quantité de
données de journal générées
rend la situation encore plus difficile, car elle complique les analyses liées à la sécurité et la rend
plus
difficile de trouver des réactions appropriées en cas d'incident
–Taux de détection et faux positifs
–Temps de découverte et de réaction
–Convivialité
–Préparation visuelle des données et intégration des connaissances d'expert:
–Degré d'automatisation
–Nombre d'appareils connectables
–Analytique
–Réutilisabilité et partage de renseignements:
–Cout
Solution
Mettre en œuvre un système SIEM qui collecte, enrichit, normalise et stocke toutes les données
de journal pertinentes dans un
manière. Ce système détecte et réagit automatiquement à autant d'incidents que possible, fournit
des interfaces pour
rapporter ceux-ci et permet l'intégration des connaissances d'experts.

Functionnement du système :
(a) collecte de journaux et pour fournir les données de journal collectées
(b) enrichissement
(c) normalisation
(d) corrélation et analyse
(e) données historiques fournies par le
(f) composant de stockage.
Les résultats d'analyse et les données de journal brutes sont également stockés ici
surveillance

Besoins fonctionnels:
Un acteur est une personne, un matériel ou un logiciel qui interagit avec le système afin d'obtenir
une valeur ajoutée.
Les acteurs interagissant avec notre système sont:
Administrateur
Analyste
Administrateur:
-Gère les logs (ajouter, consulter, mettre à jour, supprimer la source de données)
-gestion du flux (ajouter, consulter, mettre à jour, supprimer la source de données)
-consultez les notifications
-delete notification
-présentation du rapport
-filtre de recherche de données
-Gestion des règles de corrélation
Analyste:
-Vérifier l'activité du journal
-analyse et approbation du journal
-avis de consultation

Technologies on va utiliser:
-fluentd pour la collection de logs des serveurs d’infrastructure

-Pmacct pour la collection des flux (Netflow) des firewalls d’une infrastructure
-Netflow est un protocole de réseau développé par CISCO pour collecter des
informationsur le trafic IP et surveiller le flux réseau

-Elasticsearch pour le stockage des flux et logs des indexes

-Python Django est un framework web python de haut niveau qui encourage un
developpement rapide et un conception propre et pragmatique