Video 2-Converti

Université Cheikh Anta DIOP de Dakar Laboratoire d’Algèbre de Cryptologie de
Faculté des Sciences et Techniques

Géométrie Algébrique et Applications
Département Mathématiques et
Informatique LACGAA
Master Transmission de Données et Sécurité

de
l’Information
Thème :
de et Déploiement d’un système de management d

logs dans un système d’information: cas OSSIM
Présenté et soutenu par:

Mme Khadidja Mbacke MBOW Sous la direction de:
Dr. Elhadj Modou MBOUP
Jury:
Enseignant-Chercheur à l'UCAD Responsable du Master TDSI
Président : Pr. Oumar Diankha
Membres : Dr. Elhadj Modou MboupEnseignant, Ingénieur SSI

Security Manager, GAINDE 2000
Dr. Demba Sow Enseignant-Chercheur à l'UCAD

Année Académique 2017 – 2018
DEDICACES.............................................................................................................................................4
REMERCIEMENTS...................................................................................................................................5
AVANT-PROPOS......................................................................................................................................6
GLOSSAIRE..............................................................................................................................................7
TABLE DES MATIERES.............................................................................................................................8
LISTE DES FIGURES..................................................................................................................................1
INTRODUCTION GENERALE....................................................................................................................2
PARTIE 1: PRESENTATION GENERALE ET CONCEPTS..............................................................................3
Chapitre 1 : CADRE METHODOLOGIQUE................................................................................................4
1.1 Introduction..................................................................................................................4
1.2 Présentation et contexte du sujet..................................................................................4
1.3 Problématique...............................................................................................................5
1.4 Objectifs.......................................................................................................................5
CHAPITRE 2 : CONCEPTS FONDAMENTAUX DU SIEM.............................................................................7
2.1 Introduction..................................................................................................................7
2.2 Définition d’un SIEM...................................................................................................7
2.3 Fonctionnement du SIEM............................................................................................8
2.4 ETUDE COMPARATICE DES DYFFERENTS TYPE DE DE SIEM....................11
2.4.1 IBM Security QRadar.....................................................................................................11
2.4.2 RSA NetWitness Suite...................................................................................................16
2.4.3 SPLUNK.........................................................................................................................19
2.4.4 MCAFEE Enterprise Security Manager..........................................................................22
2.4.5 ALIEN VAULT OSSIM......................................................................................................26
2.5 Tableau comparative des différents types de SIEM cités..........................................27
CHAPITRE 3 : PRESENTATION DE LA SOLUTION CHOISIE......................................................................29
3.1 Introduction................................................................................................................29
3.2 Présentation de Alien Vault OSSIM..........................................................................29
3.3 Principe de la solution OSSIM...................................................................................30
3.4 Architecture de OSSIM..............................................................................................30
3.5 Fonctionnement interne de OSSIM............................................................................31
3.6 Fonctionnalité de OSSIM...........................................................................................32
3.7 Mise en place de la solution.......................................................................................38
PARTIE 2: IMPLEMENTATION ET TESTS................................................................................................39
CHAPITRE 4: IMPLEMENTATION DE LA SOLUTION...............................................................................40
4.1 Introduction................................................................................................................40
4.2 Architecture implémentée..........................................................................................40
4.3 Environnement Matériel et logiciel............................................................................40
2
Etude et Déploiement d’un système de management des logs dans un système d’information : cas
OSSIM
4.5 Installation de OSSIM................................................................................................41
4.6 Installation et Configuration de OSSEC....................................................................47
CHAPITRE 5 : EXPLOITATION ET TESTS.................................................................................................49
5.1 Conformité de standard (ISO27001)..........................................................................49
5.2 Test de scan de vulnérabilités : OPENVAS...............................................................50
5.3 Supervision reseau : NETFLOW...............................................................................53
5.4 Test scan de port : NMAP..........................................................................................54
5.5 Test attaque de type scan de port avec METASPLOIT.............................................56
CONCLUSION........................................................................................................................................58
PERSPECTIVES.......................................................................................................................................59
BIBLIOGRAPHIE.....................................................................................................................................60
WEBOGRAPHIE.....................................................................................................................................61
3
OSSIM
DEDICACES
Je dédie ce mémoire :
 A ma très chère mère Oumoul Khairy Camara qui a toujours été là pour moi et s’est
sacrifiée afin e me donner une bonne éducation.
 A mon père Adama Diakhaté qui a toujours été là pour me soutenir que ce soit
financièrement ou physiquement.
 A tous mes amis et proches.
 A tous mes enseignants et professeurs qui sont la source de mon savoir.
 A tous mes camarades de promotion.
 Qu’ils trouvent à travers ce travail ma sincère reconnaissance.

REMERCIEMENTS
Nous rendons tout d'abord grâce à ALLAH, le Tout puissant et saluons son prophète
Mouhamed (PSL).
Nous tenons à exprimer notre profonde gratitude à un certain nombre de personnes qui n’ont
ménagé aucun effort pour la réussite de ce projet, mais aussi des personnes qui m’ont encadré,
encouragé et entouré tout long de ce processus.
Je tiens à exprimer ma plus profonde reconnaissance à :
 Mon encadreur Dr Elhadj Modou Mboup qui m’a donné le sujet, encadré et guidé tout
au long de ce projet avec sa disponibilité et son abnégation dans le travail.
 Professeur Diankha qui a veillé au bon déroulement de notre formation en mettant tous
les moyens à notre disposition
 Cheikh Ahmed Tidiane Cherif Fall et Amadou Tidiane Soumaré qui ont veillé
régulièrement durant les différentes étapes du projet.
 A toute la promotion TDSI sortante 2017/2018.

AVANT-PROPOS
La Transmission de Données et Sécurité de l’Information (TDSI) est une formation qu’offre
le laboratoire LACGAA (Laboratoire d’Algèbre de Cryptographie de Géométrie Algébrique
et Applications) rattaché au département de Mathématiques et Informatique de la Faculté des
Sciences Techniques à l’Université Cheikh Anta Diop de Dakar (UCAD). Depuis 2004, le
laboratoire LACGAA est, le seul de la sous-région, spécialisé sur la formation et la recherche
en cryptographie et dans les domaines de la sécurité de l’information. Ce laboratoire, fort
d’une expérience de 15 ans, fournit une formation qui va de la Licence 1 au doctorat.
 Objectifs
Le laboratoire LACGAA a pour objectifs :

- La formation à la recherche fondamentale et appliquée dans les domaines de La
Cryptographie, de la Théorie des codes, de l’Algèbre, de la Géométrie et de leurs
applications (en logique, en informatique, en sécurité de l’information, en biologie, en
robotique etc.)
- L’organisation de la recherche par la mise en place d’un cadre approprié pour
l’épanouissement des chercheurs et le développement de la recherche.
- La création de licences et de masters professionnels et recherches en algèbre,
géométrie et leur application notamment en sécurité informatique
 Domaines de recherche
Les principaux domaines de recherche sont l’algèbre et ses différentes applications :

- Algèbre commutative, algèbre non commutative, algèbre associative, algèbre non
associative. Géométrie algébrique commutative et non commutative, Homologie et
Cohomologie, Théorie algébrique et analytique des nombres.
- Cryptographie, Théorie des Codes correcteurs d’erreurs, Théorie du signal.
- Informatique théorique, Sécurité informatique, etc.
C’est dans ce cadre que nous avons travaillé sur le sujet intitulé << Etude et Déploiement d’un
système de management des logs dans système d’information : cas OSSIM >>.
GLOSSAIRE
ADM Application Data Monitor
APT African Promising Technology
CALM Compromise and Attack Level Monitor
CEI Commission Electronical International
CLI Console Line Interface
DEM Database Event Monitor
DDOS Distributed Deny of Service
DSI Direction Système d’Information
ES Enterprise Security
FIPS Federation Information Processing Standard
FTP File Transfer Protocole
GTI Global Threat Intelligence
HIDS Host Intrusion Detection System
HIPPA Health Insurance Portability and Accounting
ICS Système de contrôle industriel
IDS Intrusion Detection System
IDMEF Internet Detection Message Exchange Format
IETF Internet Engineering Task Force
ISO International Standard Organization
IT Internet Technology
KDB Knowledge Database

NIDS Network Intrusion Detection System
OSSIM Open Source Security Information and Event Management
OTX Open Threat Exchange
P2P Peer To Peer
PCIDSS Payement Card Industry Data Security Standard
PDCA Plan Do Check Act
SIEM Security Information And Event Management
SIM Security Information Management
SMSI System Management System Information
SNMP Simple Network Management Protocol
SOC Security Operation Center
SOx Sarbanes-Oxley
SPL Search Programing Language
VM Virtual Machine
XML Extensible Markup Language
TABLE DES MATIERES
DEDICACES.............................................................................................................................................4
REMERCIEMENTS...................................................................................................................................5
AVANT-PROPOS......................................................................................................................................6
GLOSSAIRE..............................................................................................................................................7
TABLE DES MATIERES.............................................................................................................................8
LISTE DES FIGURES...........................................................................................................................1
INTRODUCTION GENERALE....................................................................................................................2
PARTIE 1: PRESENTATION GENERALE ET CONCEPTS..............................................................................3
Chapitre 1 : CADRE METHODOLOGIQUE................................................................................................4
1.1 Introduction..................................................................................................................4
1.2 Présentation et contexte du sujet..................................................................................4
1.3 Problématique...............................................................................................................5
1.4 Objectifs.......................................................................................................................5
CHAPITRE 2 : CONCEPTS FONDAMENTAUX DU SIEM.............................................................................7
2.1 Introduction..................................................................................................................7
2.2 Définition d’un SIEM...................................................................................................7
2.3 Fonctionnement du SIEM............................................................................................8
2.4 ETUDE COMPARATICE DES DYFFERENTS TYPE DE DE SIEM....................11
2.4.1 IBM Security QRadar.....................................................................................................11
2.4.2 RSA NetWitness Suite...................................................................................................16
2.4.3 SPLUNK.........................................................................................................................19
2.4.4 MCAFEE Enterprise Security Manager..........................................................................22
2.4.5 ALIEN VAULT OSSIM......................................................................................................26
2.5 Tableau comparative des différents types de SIEM cités..........................................27
CHAPITRE 3 : PRESENTATION DE LA SOLUTION CHOISIE......................................................................29
3.1 Introduction................................................................................................................29
3.2 Présentation de Alien Vault OSSIM..........................................................................29
3.3 Principe de la solution OSSIM...................................................................................30
3.4 Architecture de OSSIM..............................................................................................30
3.5 Fonctionnement interne de OSSIM............................................................................31
3.6 Fonctionnalité de OSSIM...........................................................................................32
PARTIE 2: IMPLEMENTATION ET TESTS................................................................................................39
CHAPITRE 4: IMPLEMENTATION DE LA SOLUTION...............................................................................40
4.1 Introduction................................................................................................................40
4.2 Architecture implémentée..........................................................................................40
4.3 Environnement Matériel et logiciel............................................................................40
4.5 Installation de OSSIM................................................................................................41
4.6 Installation et Configuration de OSSEC....................................................................47
CHAPITRE 5 : EXPLOITATION ET TESTS.................................................................................................49
5.1 Conformité de standard (ISO27001)..........................................................................49
5.2 Test de scan de vulnérabilités : OPENVAS...............................................................50
5.3 Supervision reseau : NETFLOW...............................................................................53
5.4 Test scan de port : NMAP..........................................................................................54
5.5 Test attaque de type scan de port avec METASPLOIT.............................................56
CONCLUSION........................................................................................................................................58
PERSPECTIVES.......................................................................................................................................59
BIBLIOGRAPHIE.....................................................................................................................................60
WEBOGRAPHIE.....................................................................................................................................61
LISTE DES FIGURES
Figure 1 Fonctionnement d’un SIEM......................................................................................................9
Figure 2 Principe d’un SIEM..................................................................................................................10
Figure 3 Architecture de QRadar..........................................................................................................15
Figure 4 Architecture de RSA NetWitness Suite...................................................................................18
Figure 5 Architecture de SPLUNK.........................................................................................................21
Figure 6 Architecture McAfee Entreprise.............................................................................................25
Figure 7 Fonctionnement de OSSIM....................................................................................................31
Figure 8 Fonctionnalité de OSSIM.......................................................................................................33
Figure 9 Mesure opérationnelle de contrôle automatisé (OSSIM)......................................................35
Figure 10 Système de corrélation de OSSIM........................................................................................36
Figure 11 Architecture implémentée....................................................................................................40
Figure 12 Console OSSIM......................................................................................................................42
Figure 13 Console d’administration......................................................................................................42
Figure 14 Interface de connexion web.................................................................................................43
Figure 15 Interface WEB du serveur OSSIM.........................................................................................43
Figure 16 Dashboard OSSIM.................................................................................................................44
Figure 17 Analyse des logs reçus..........................................................................................................45
Figure 18 Génération de rapport..........................................................................................................45
Figure 19 Création d’un autre utilisateur.............................................................................................46
Figure 20 Les utilisateurs Actifs du réseau............................................................................................46
Figure 21 Clé extraite pour l’agent OSSIM sur Windows......................................................................47
Figure 22 Interface de management OSSEC.........................................................................................47
Figure 23 Installation OSSEC sous linux................................................................................................48
Figure 24 Conformité de OSSIM par rapport à ISO27001.....................................................................49
Figure 25 Rapport de conformité.........................................................................................................50
Figure 26 Scan de vulnérabilités...........................................................................................................51
Figure 27 Capture d’écran du trafic réseau par Netflow......................................................................53
Figure 28 Scan de port sur la machine Windows..................................................................................54
Figure 29 Rapport de scan de port.......................................................................................................55
Figure 30 Installation de NMAP............................................................................................................56
Figure 31 Détection de l’attaque par OSSIM........................................................................................57
INTRODUCTION GENERALE
Dans un monde hyper connecté, les cyberattaques ne cessent de se multiplier et
deviennent toujours plus complexes à appréhender. Un défi de nouvelle génération auquel les
entreprises sont confrontées. Il est loin le temps où les sociétés pouvaient se contenter d’un
antivirus et d’un firewall pour protéger leur système d’information. Les menaces ont évolué,
les surfaces d’attaques ont augmenté, et les systèmes se sont complexifiés.
La nécessité de se protéger est donc plus forte que jamais. Aujourd’hui, tous s’accordent à
dire que la question n’est plus de savoir si une attaque aura lieu mais quand et comment! Les
connaissances et compétences mises en œuvre dans le cadre de ces attaques démontrent que
les acteurs malveillants n’hésitent plus à investir dans des moyens techniques et humains
importants pour atteindre leurs objectifs.
Ces observations s’inscrivent dans une ère de transformation numérique de l’entreprise sous
tendue par l’apparition de nouvelles technologies comme la mobilité, le cloud et l’ouverture
des données de l’entreprise à ses clients et partenaires via ses propres systèmes et/ou les
réseaux.
La multiplication et la diversification des systèmes techniques mis en œuvre induit une

augmentation sans précédent du nombre de vulnérabilités. La surface d’attaque de l’entreprise
tend ainsi à croitre de façon très importante, quel que soit le secteur d’activité, plus
aucune entreprise n’est épargnée. L’évolution rapide des technologies de l’information a fait
que la sécurité de ces systèmes d’information est devenue incontournable.
La fin de la formation de master de transmission de données et de sécurité de l’information est

sanctionnée par la rédaction d’un mémoire suivi d’une soutenance.
Pour satisfaire leur demande, nous avons proposé de travailler sur le thème intitulé << Etude
et déploiement d’un système de management des logs dans un système d’information :
cas OSSIM>>. Ce projet nous permettra d’assurer une bonne gestion de la sécurité du
système d’information sur tous les plans. La plateforme OSSIM qui est open source a été
conçue pour assurer une bonne gestion de l’ensemble des fichiers de journalisation de
l’entreprise.
La présentation du mémoire s’articule autour de deux parties. La première partie, intitulée

présentation générale et concepts et la deuxième partie aborde l’implémentation et les tests.
2
OSSIM
PARTIE 1: PRESENTATION GENERALE ET
CONCEPTS
Chapitre 1 : CADRE METHODOLOGIQUE
1.1 Introduction
Tout au long de ce premier chapitre, nous allons essayer de parler de la présentation et du

contexte du sujet, ensuite nous parlerons de la problématique de notre sujet en essayant de
répondre à la question suivante: pourquoi le choix de ce sujet ?
1.2 Présentation et contexte du sujet
Au cours des dernières années, la protection des données de l'entreprise a été l'une des
principales préoccupations des responsables informatiques. Les escroqueries par
hameçonnage, les attaques de ransomware et d'autres violations de données deviennent de
plus en plus sophistiquées, ce qui ajoute au fardeau déjà lourd que les professionnels de
l'informatique doivent affronter chaque jour. Compte tenu de l'importance accrue de la
sécurité de l'information, les nouvelles méthodes d'analyse des problèmes de sécurité
potentiels ont gagné en popularité, notamment les plates-formes SIEM (Security Information
and Event Management).
De nos jours, les entreprises sont beaucoup plus préoccupées par le stockage et la
manipulation des données parce que ces dernières sont hypersensibles pour une entreprise.
Aujourd’hui, les plus grandes sociétés font tout leur possible pour assurer la sécurité de
leurs données. La majeure partie des entreprises sénégalaises attendent d’être victime d’une
attaque pour prendre en main leur sécurité. Elles déboursent beaucoup d’argent pour faire
des audits de leur société parce que ne disposant pas d’un système complet qui leur permettrai
de se prémunir de ces différents désastres et aussi des outils qui font des rapports
détaillés de ce qui se passe au niveau du système d’information.
L’actualité démontre que l’activité des entreprises attaquées est fortement perturbée,
voire interrompue de façon durable. Les impacts financiers, organisationnels, juridiques et
d’image peuvent être très importants, voire fatidiques lorsqu’ils font vaciller la
confiance entre l’entreprise et ses clients, ses partenaires ou ses salariés dans le cas de vol ou
divulgation de données personnelles, stratégiques ou critiques. Les dispositifs existants de
gestion de crise et de continuité d’activité doivent être renforcés pour répondre aux risques
associés.
En effet, c’est dans ce contexte que nous avons choisi de faire l’étude et le déploiement d’un
système de management de logs dans un système d’information avec OSSIM.
1.3 Problématique
La sécurité informatique est aujourd’hui un sujet que personne ne peut laisser de côté. Les
menaces se multiplient, les attaques évoluent…Voilà sans doute pourquoi les organisations
sont de plus en plus sensibles aux enjeux de la cybersécurité. Avec, à la clé, un changement
de paradigme : la question n’est plus de savoir si une entreprise subira une cyberattaque mais
plutôt… quand ?
D’après le dernier rapport « Data Breach Investigations Report », il faut en moyenne plus de
191 jours à une entreprise pour identifier une violation de données. Autant dire que le temps
de détection et de remédiation s’impose désormais comme un enjeu fondamental. Une bonne
raison de s’intéresser de près aux questions suivantes:
➢ Comment faire pour se prémunir de certaines attaques ?
➢ Comment éviter le vol de données dans un système d’information ?
➢ Comment faire pour découvrir l’origine d’une attaque ?
➢ Comment éviter la perte de temps quand le système d’information est paralysé ?
➢ Quelle solution adéquate faut-il adapter ?
1.4 Objectifs
Dans cette section, nous allons présenter les objectifs que nous avons par rapport à la
réalisation du projet.
 Trouver une solution de prévention d’attaques

 Trouver la solution adéquate à moindre coût
 Mettre en place la plateforme de gestion des logs
 Avoir un système centralisé et sécurisé à partir de la plateforme
La sécurité des systèmes d'information vise les objectifs suivants :
La disponibilité : le système doit fonctionner sans faille durant les plages d'utilisation
prévues et garantir l'accès aux services et ressources installées avec le temps de réponse
attendu.
L'intégrité : les données doivent être celles que l'on attend, et ne doivent pas être altérées de
façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et
complets.
La confidentialité : seules les personnes autorisées peuvent avoir accès aux informations qui
leur sont destinées. Tout accès indésirable doit être empêché.
La traçabilité : garantie que les accès et tentatives d'accès aux éléments considérés sont
tracés et que ces traces sont conservées et exploitables.
L'authentification: l'identification des utilisateurs est fondamentale pour gérer les accès aux
espaces de travail pertinents et maintenir la confiance dans les relations d'échange.
La non-répudiation : aucun utilisateur ne doit pouvoir contester les opérations qu'il a

réalisées dans le cadre de ses actions autorisées et aucun tiers ne doit pouvoir s'attribuer les
actions d'un autre utilisateur.
CHAPITRE 2 : CONCEPTS FONDAMENTAUX DU
SIEM
2.1 Introduction
Au cœur de ce chapitre, l’objectif sera de définir la notion de SIEM et de son fonctionnement,

d’essayer d’énumérer les différentes solutions existantes en parlant des caractéristiques de
chacune et enfin faire une comparaison de ces dernières.
2.2 Définition d’un SIEM
Afin de pallier les problématiques lies à la sécurité de plus en plus grandissantes, hormis la
mise en place de firewall, sonde IDS, etc., les entreprises se tournent vers des outils de
supervision de sécurité afin d’avoir plus de réactivités vis-à-vis des cyberattaques. Le
management de la sécurité des systèmes d’informations (SIEM) est devenu un outil
incontournable aujourd’hui.
Depuis quelques années, le SIEM commence à s’imposer dans les démarches de sécurité des
systèmes d’information de nombreuses entreprises et administrations
Figure 1 Interconnexion d’un SIEM

Le SIEM (Security Information and Event Management) est malheureusement souvent réduit
à l’outil technique qui va permettre de gérer les logs générés par les différents équipements
applicatifs (de sécurité ou non) qui composent un système d’information. L’objectif d’un
SIEM est, notamment, de permettre aux équipes sécurité de détecter des attaques grâce à
l’exploitation, le filtrage et à la corrélation de ces (millions) de logs provenant de multiples
sources d’information (interne ou externe à l’organisation).
Le SIEM est avant tout un système de supervision centralisé de la sécurité. Il se compose de

deux solutions qui se complètent : le SIM – Security Incident Management, qui sera focalisé
sur l’analyse à-postériori, l’archivage, la conformité et le reporting et le SEM – Security
Event Management qui cherche à collecter et traiter des données en quasi temps réel. Il
semble plus pertinent de parler de démarche SIEM car l’outil n’est qu’une brique de ce
système de gestion des évènements de sécurité. Cette démarche doit en effet également
prendre en compte les aspects organisationnels, humains et juridiques qui se posent
inévitablement lors d’un projet SIEM.
Cependant ; le SIEM a pour objectif de
 Vérifier le niveau de protection du SI

 Fournir des éléments graphiques d’analyse pertinents
 Améliorer la gestion des risques
 Contrôler la vulnérabilité
 Protéger (pare-feu, IDS, antivirus)
Enfin un système de SIEM ne permet pas de bloquer les attaques. Le SIEM n’est pas une
solution miracle mais, combiné avec une équipe d’experts et d’analystes, il en devient les
yeux, les oreilles et la tour de contrôle de la sécurité de l’organisation. Panorama des acteurs
de marché. Même si l’outil de SIEM n’est qu’une partie d’une démarche plus globale, il en est
également une brique technique indispensable.
2.3 Fonctionnement du SIEM
Le SIEM est le point central pour analyser les journaux et autres données de sécurité des
équipements, des applications, des systèmes d'exploitation, etc... Il est un ensemble de
composants, indépendants les uns des autres (chacun effectue une tâche spécifique) mais si un
seul de ces composants ne fonctionne pas, c’est l’ensemble du système qui est bloqué
Figure 1 Fonctionnement d’un SIEM
Le principe d’un SIEM (Security Information and Event Management) est de gérer les
événements d’un système d’information tout en corrélant les fichiers de journalisation
appelés Logs. Vue les difficultés rencontrées pour gérer les événements provenant des
différents éléments qui le composent. Les différentes fonctionnalités d’un SIEM sont :
• La collecte : les SIEM font la collecte des événements d’un SI, les journaux des
équipements (pare-feu, serveurs, routeurs, poste de travail…). Ces derniers prennent en
compte différents formats de fichiers approuvés par l’IETF. Cette collecte peut se faire de de
manière active c’est-à-dire en mode écoute ou de manière active en mettant des agents sur les
machines cibles.
• La normalisation : les traces sont stockées sans modification pour des vérifications
judiciaires. Ces dernières sont copiées puis normalisées sous un format lisible. Ces
événements seront associés à d’autres données puis envoyés au moteur de corrélation.
• L’agrégation : on peut appliquer plusieurs règles de filtrage. Ils vont être agrégés
puis envoyés au moteur de corrélation.
• La corrélation : elle permet d’identifier un événement qui a causé une attaque ou
des problèmes au niveau du SI. Ces règles permettent de remonter des alertes via un e-mail,
• Le reporting : toutes les solutions SIEM génèrent des rapports et des tableaux de bord
pour des activités de tous les utilisateurs qui ont accès au SI.
• L’archivage : pour des raisons juridiques et de traçabilité, l’archivage permet de garder
toutes traces provenant du SI.
• Le Rejeu des événements : la plupart des solutions permettent de faire des simulations
pour des enquêtes post-incidents.
Figure 2 Principe d’un SIEM
Les entreprises utilisent principalement les systèmes de gestion des informations et des
événements de sécurité (SIEM) pour établir des rapports de conformité iso27001 ou dans le
cadre d’enquêtes après incident. Mais les fournisseurs d'infrastructure essaient de développer
une nouvelle génération de plates-formes SIEM puissantes, permettant aux équipes
informatiques d'appliquer des analyses de données des systèmes
La croissance rapide des réseaux a fait que la surface d’attaque du SI a progressivement

augmenté pour les cybercriminels ce qui doit à son tour déclencher une évolution des
technologies de corrélation et de détection des menaces. L’enquête menée par Log Logic, a
montré que la plupart des rapports générés par les SIEM sont actuellement utilisés par
les auditeurs de systèmes d’information, les DSI et autres cadres supérieurs. Ces rapports
montrent que les SIEM servent de fondations à des systèmes complets d’analyse des données
du système d’information. Les systèmes SIEM regroupent un large éventail d'outils de
sécurité informatique tels que les pare-feu, la sécurité des postes de travail, la prévention des
intrusions et l’intelligence des menaces. Au lieu qu’un administrateur de sécurité ait à
ouvrir plusieurs applications et tenter d'associer les différentes alertes, chaque SIEM
fournit une gestion, une intégration, une corrélation et une analyse en un seul endroit. Bien
que chaque fournisseur de SIEM dispose de ses propres motivations, une entreprise de
référence comme Gartner a donné les principales fonctionnalités d’un SIEM pour
entreprise que sont : l’ingestion de données à partir de sources multiples, l’interprétation des
données, l’incorporation des flux de renseignements sur les menaces, la corrélation d'alerte,
l’analytique, le profilage, l’automatisation et la synthèse des menaces potentielles. Dans les
lignes qui vont suivre nous allons essayer de présenter quelques solutions puis faire un tableau
comparatif.
2.4 ETUDE COMPARATICE DES DYFFERENTS TYPE DE DE SIEM
Une solution SIEM doit avant tout être évolutive car la réglementation et les sources de
données peuvent évoluer. Elle doit être donc relativement simple à déployer et à maintenir, et
doit pouvoir apporter le stockage à long terme des rapports associés.
Nous allons nous intéresser ici aux principales solutions SIEM du marché OpenSource et
Propriétaires.
2.4.1 IBM Security QRadar
IBM Security QRadar SIEM est une plate-forme de gestion de la sécurité réseau qui
fournit une prise de conscience de la situation et de la conformité. QRadar SIEM utilise
une combinaison de la connaissance du réseau basé sur le flux, de la corrélation des
événements de sécurité et de l'évaluation de la vulnérabilité basée sur les actifs. Le produit
comprend l'ingestion et l'interprétation des journaux (plus de 400 modules de support pour
l'ingestion de données), la connexion aux flux de renseignements mis à jour, la corrélation et
l'analyse, le profilage, les alertes de sécurité, la présentation des données et la conformité. Il
utilise l'automatisation pour détecter les sources de données de journal de sécurité pour
découvrir le nouveau trafic de flux du réseau associé à de nouveaux actifs apparaissant sur le
réseau. Selon Patrick Vandenberg, directeur de programme, IBM Security QRadar «de
nombreuses organisations qui cherchent la gestion des journaux et les produits SIEM
essayent simplement d'obtenir une visibilité centralisée sur ce qui se passe dans le réseau ».
Un SIEM fait partie d'une plate-forme de sécurité plus intelligente qui aide les clients à
détecter les comportements à risque et à gérer de manière proactive les mauvaises
configurations des pare-feu, des passerelles, des routeurs et des commutateurs. QRadar
emploie un moteur de règles de corrélation et une technologie de profilage comportemental
pour réduire jusqu'à des milliards de points de données brutes dans une liste gérable.
Sa conception de base de données fédérée empêche le réseau d'être martelé avec des
transferts de données ou d'informations qui ne sont pas associés à une recherche
d'activité malveillante actuelle. On dit qu'il n'y a pas de limites rigoureuses quant à la quantité
de traitement de données de sécurité pouvant être effectuée.
Il est conforme à FIPS, Normes de sécurité des données de l'industrie de la carte de paiement
(PCI, DSS), NERC, GBLA, FISMA, Sarbanes-Oxley (SOx), GPG13, HIPPA, ISO 27001.
Les équipes de sécurité affinent ces règles définies pour leurs environnements. La technologie
de détection en temps réel avertit l'équipe lorsque des surprises ou des anomalies se
produisent. QRadar est capable d'acquérir des données à travers de nombreux mécanismes et
peut fonctionner entièrement sans agent si nécessaire. Cependant, il peut également utiliser
des agents s'il existe des conditions environnementales qui imposent ou bénéficient de leur
utilisation.
QRadar repose sur les points suivants:
 Journalisation (log Activity) : Dans IBM® Security QRadar SIEM, vous pouvez
surveiller et afficher des événements réseau en temps réel ou effectuer des recherches
avancées.
L’onglet Activité de journal affiche les informations d'événement comme des

enregistrements provenant d'une source de journal, comme un pare-feu ou un périphérique de
routeur. À l'aide de l’onglet Activité de journal, vous pouvez effectuer les tâches suivantes:
o Etudiez les données d’événements

o Enquêter sur les journaux d'événements qui sont envoyés à QRadar
o SIEM en temps réel.
o Rechercher l'événement.
o Surveiller l'activité du journal en utilisant des tableaux de séries chronologiques
configurables.
o Identifiez les faux positifs pour régler QRadar SIEM.
 Activité Réseau : Dans IBM Security QRadar SIEM, vous pouvez rechercher les
sessions de communication entre deux hôtes. L’onglet Activité de réseau affiche des
informations sur la communication du trafic réseau et sur ce qui a été communiqué, si
l'option de capture de contenu est activée. À l'aide de l’onglet Activité réseau, vous
pouvez effectuer les tâches suivantes:
o Enquêter sur les flux qui sont envoyés à QRadar SIEM en temps
o réel.
o Rechercher des flux de réseau.
o Surveiller l'activité du réseau en utilisant des tableaux de séries
o chronologiques configurables.
 Asset : QRadar SIEM crée automatiquement des profils d'actifs en utilisant des
données de flux passif et des données de vulnérabilité pour découvrir vos serveurs et hôtes de
réseau.Les profils d'actifs fournissent des informations sur chaque élément connu de votre
réseau, y compris les services en cours d'exécution. L'information sur le profil d'actif est
utilisée à des fins de corrélation, ce qui contribue à réduire les faux positifs.
À l'aide de l'onglet Assets, vous pouvez effectuer les tâches suivantes :
o Recherchez des actifs

o Voir tous les atouts savants
o Afficher les informations d'identité pour les biens apprises
o Synchroniser les faux positifs.
 Infractions : Dans IBM Security QRadar SIEM, vous pouvez enquêter sur les
infractions pour déterminer la cause racine d'un problème de réseau. En utilisant l’onglet
Infractions, vous pouvez afficher toutes les infractions qui sont sur votre réseau et effectuer
les tâches suivantes: Étudier les infractions, les adresses IP source et de destination, les
comportements du réseau et les anomalies sur votre réseau, corriger les événements et les flux
de provenance divers vers la même adresse IP et Déterminer les événements qui ont causé
ladite infraction.
 Rapports: Avec IBM Security QRadar, on peut avoir des rapports personnalisés ou
des rapports prédéfinis. Les modèles de rapport sont regroupés en types de rapports, tels
que les rapports sur la conformité, le périphérique, l'exécutif et le réseau. Utilisez l’onglet
Rapports pour effectuer les tâches suivantes :
o Créer, distribuer et gérer des rapports pour le SIEM QRadar

o Créer des rapports personnalisés
o Combiner les informations de sécurité et de réseau en un seul rapport
o Utiliser ou modifier les modèles prédéfinis
o Marquer vos rapports avec des logos personnalisés
o Définir un calendrier pour générer des rapports
o Gestion des rapports dans différents formats
2.4.1.1 Architecture
La collecte de données constitue la première couche, où des données telles que des
événements ou des flux sont collectées depuis votre réseau. Le dispositif tout-en-un vous
permet de collecter les données directement depuis votre réseau ; vous pouvez aussi
utiliser des collecteurs tels que QRadar Event Collectors ou collecteurs QRadar QFlow
Collector pour collecter des données d'événement ou de flux. Les données sont analysées et
normalisées avant d'être transmises à la couche de traitement. Lorsque les données brutes sont
analysées, elles sont normalisées en vue de leur présentation dans un format structuré et
utilisable. Après la collecte de données, dans la deuxième couche ou couche de traitement des
données, les données d'événement et de flux sont exécutées dans le moteur de règles
personnalisées (CRE), qui génère des infractions et des alertes, puis les données sont
enregistrées dans l'espace de stockage. Les données d'événement et de flux peuvent être
traitées par un dispositif tout-en-un sans qu'il ne soit nécessaire d'ajouter des processeurs
d'événement ou des processeurs de flux. Si la capacité de traitement du dispositif tout-en-un
est dépassée, il peut être nécessaire d'ajouter des processeurs d'événement, des processeurs
de flux ou tout autre dispositif de traitement afin de gérer les exigences
supplémentaires. Il se peut également que vous ayez besoin de plus de capacité de
stockage, que vous pouvez obtenir en ajoutant des nœuds de données. Dans la troisième
couche ou couche supérieure, les données qui ont été collectées et traitées par QRadar
(recherches, analyses, rapports, alertes et enquêtes sur les infractions) sont mises à la
disposition des utilisateurs. Les utilisateurs peuvent rechercher et gérer les tâches
d'administration de la sécurité pour leur réseau depuis l'interface utilisateur dans QRadar
Console. Dans un système tout-en-un, toutes les données sont collectées, traitées et stockées
sur le dispositif tout-en-un. Dans les environnements répartis, QRadar Console ne procède pas
au traitement des événements et des flux, ni à leur stockage. A la place, la console est utilisée
principalement comme interface utilisateur, dont les utilisateurs peuvent se servir pour les
recherches, les rapports, les alertes et les enquêtes.
Figure 3 Architecture de QRadar
2.4.1.2 Forces
 QRadar fournit une vue intégrée des données logarithmiques et événementielles, avec
des flux de réseau et des paquets, des informations sur les vulnérabilités et des actifs et
l'intelligence de la menace.
 L'analyse du comportement du trafic réseau peut être corrélée entre NetFlow et les
événements de journal.
 L'architecture modulaire de QRadar prend en charge les événements de sécurité

et la surveillance des journaux dans les environnements IaaS, y compris la surveillance native
pour AWS CloudTrail et SoftLayer.
 La technologie et l'approche architecturale de QRadar rendent relativement simple de

déployer et de maintenir, qu'il s'agisse d'un appareil tout-en-un ou d'un environnement
multisite à grande échelle.
 IBM Security App Exchange fournit un cadre pour intégrer les capacités des
technologies tierces dans les tableaux de bord SIEM et le flux de travail d'investigation et de
réponse.
2.4.1.3 Faiblesses
Malgré la richesse de cette solution, elle dispose de quelques inconvénients :
 La surveillance des points d'extrémité pour la détection et la réponse des

menaces ou l'intégrité basique des fichiers nécessite l'utilisation de technologies tierces.
 Les clients de Gartner rapportent que le processus d'engagement des ventes avec IBM
peut être complexe et nécessite une persistance.
2.4.2 RSA NetWitness Suite
RSA NetWitness Suite est une plateforme de détection et de réponse de menaces qui permet
aux équipes de sécurité de détecter et de comprendre la portée d'un compromis en
exploitant les journaux, les paquets, les points d'extrémité et l'intelligence de menace. Il
comprend l'apprentissage par machine, l'analyse comportementale, l'orchestration axée sur les
rôles et le flux de travail pour la détection des menaces. Il prend en charge la surveillance,
l'alerte et la manutention des incidents, l'analyse et la réponse des infractions, la corrélation
des événements et l'évaluation de la posture. Le modèle de prix principal est basé sur le débit,
évalué par incréments de 50 Go par jour pour les journaux et incréments de 1TB par jour pour
les paquets. Le prix est structuré en niveau, avec des niveaux de volume plus élevés offrant
des prix de plus en plus élevés par incréments de 50 Go ou 1 To.
 Bénéficiez d'une visibilité absolue pour identifier et analyser les attaques
o Éliminez les « angles morts » qui permettent aux menaces de s'implanter grâce
à cette visibilité sur les logs, les réseaux et les points d'accès
o Inspectez chaque réseau, chaque session de paquets et chaque événement de log

pendant la collecte grâce à l'enrichissement des données au moment de la capture
o Renforcez la visibilité en augmentant la conformité.
 Détectez et analysez jusqu'aux attaques les plus avancées en temps réel, au lieu des
jours ou même des semaines que demandent les solutions concurrentes
o Découvrez les attaques non interceptées par les outils SIEM et basés sur les
signatures traditionnelles en procédant à la corrélation des paquets réseau, du flux réseau, des
points d'accès et des logs.
o Commencez immédiatement à détecter des incidents à l'aide de fonctions de reporting,

de renseignement et de règles prêtes à l'emploi
o Identifiez les indicateurs de danger à haut risque en exploitant la puissance du Big

Data et des techniques de science des données
 Prenez des mesures ciblées sur les incidents les plus importants
o Hiérarchisez les investigations et rationalisez plusieurs workflows d'analyse en

un seul outil, afin de permettre la mise en place immédiate d'une stratégie de réaction aux
incidents et de remontée des informations, et de rendre l'avantage du temps au défenseur
o Basculez instantanément des incidents à un point de vue détaillé approfondi des

points d'accès et des paquets réseaux, afin de procéder à une détection des intrusions réseaux
et de comprendre la nature et l'étendue véritable du problème. Distinguez les menaces du bruit
blanc, économisez des heures ou des jours de processus de détection des menaces et
éliminez les pertes de temps occasionnées par les faux positifs
o Le reporting conjoint sur la conformité et les menaces permet à votre équipe de gérer
la conformité et de défendre proactivement votre réseau et vos ressources.
Figure 4 Architecture de RSA NetWitness Suite
2.4.2.2 Forces
Aujourd’hui les principaux avantages de ce SIEM sont
 Les organisations peuvent déployer la solution sur des zones géographiques et

des typologies de réseaux diverses et la faire évoluer en fonction de leurs besoins en matière
de capture de données et de performances
 L’analyse comportementale automatisée offre des informations sur les tactiques,

les procédures et les techniques des pirates pendant qu’ils exécutent leurs attaques.
 Recréée des sessions complètes (navigateur Web, FTP, e-mail, etc.), afin que les
analystes puissent voir exactement ce qu’il s’est produit lors d’une attaque (y compris ce qui a
été volé pendant une exfiltration) et en identifier les causes premières.
2.4.2.3 Faiblesses
Les principaux inconvénients de cette technologie sont :
 Le prix élevé est pour les petites et moyennes entreprises.
 Beaucoup plus adapté pour les grandes entreprises.
2.4.3 SPLUNK
Splunk Enterprise Security (ES) est un SIEM fournissant des renseignements sur les
données machine générées par des technologies de sécurité, et notamment des informations
concernant les réseaux, les terminaux, les accès, les logiciels malveillants, les vulnérabilités et
les identités. Elle permet de détecter les attaques internes et externes et d'y réagir rapidement ;
les équipes de sécurité peuvent ainsi gérer plus simplement les menaces, minimiser les risques
et assurer la protection de leur activité. Splunk Enterprise Security rationalise l'ensemble des
processus de sécurité au travers tous types d’organisations quels que soient leur taille et leur
domaine d'expertise. Que ce soit pour assurer une surveillance continue en temps réel, pour
prendre rapidement en charge les incidents, pour équiper un centre des opérations de
sécurité (SOC), ou pour donner aux décideurs une visibilité sur les risques encourus par
leur entreprise, Splunk ES offre la flexibilité nécessaire pour personnaliser des recherches de
corrélations, des alertes, des rapports et des tableaux de bord, afin de répondre à des besoins
spécifiques.
Une étude plus détaillée de l’architecture met en évidence trois composants fondamentaux
destinés à simplifier une implémentation très distribuée dans un pur esprit « Big Data
»:
* Les « Splunk Search Heads » jouent le rôle de Master Nodes et concrétisent les
recherches à travers tous les « Data Store ». Les Search Heads savent quel nœud « Splunk
Indexer » appeler et quel index interroger. Les serveurs « Search Heads » exécutent le
CLI et l’interface Web.
* Les « Splunk Indexers » sont les « slave nodes » typiques d’une architecture
BigData. Typiquement, ils sont dédiés à l’exécution du Daemon Splunk. Ils analysent la
donnée reçue, ils l’indexent selon une syntaxe spécifique (transformant le flux de
caractère en « évènements »)
* Les « Splunk Forwarders » sont les agents collecteurs de logs. Installés au plus proche
des sources de données, ils sont chargés de transférer les données vers les « Indexers ».
Splunk dispose de quelques Forwarders atypiques qui, plutôt que de balayer les
journaux, permettent de directement capturer des données sur un flux réseau par exemple.
Dans un même ordre d’idées, depuis la version 6.3, Splunk propose des API HTTP/JSON
pensées pour l’IoT et les processus DevOps afin d’ingérer directement des données à raison
de millions d’évènements par seconde sans passer par des agents. L’implémentation
distribuée de Splunk permet ainsi à certaines entreprises d’ingurgiter et indexer quelques
1,2 Pétaoctets de logs par jour. L’une des particularités de Splunk, c’est qu’au final toute
opération se concrétise par une requête sur le moteur de recherche sous-jacent, véritable cœur
du logiciel, dans le langage propre au logiciel : SPL.
Avec le temps, SPL s’est considérablement enrichi et demeure l’un des grands atouts du
produit. C’est un langage particulièrement adapté à l’exploration d’une immense collection
de données non structurées offrant des opérations statistiques et analytiques avancées (y
compris du Machine Learning) applicables à des contextes donnés. Certes, il est aussi
possible de se contenter de saisir un mot clé (comme un nom d’utilisateur, un code erreur ou
un nom de programme) et découvrir combien de fois il apparaît sur une période donnée. Mais
SPL aspire à des requêtes à la fois plus élaborée et plus parlante notamment lorsqu’on
combine les instructions capables de mettre en exergue d’éventuelles corrélations entre
des données de sources aussi variées qu’indépendantes.En pratique, demander à Splunk
d’afficher une vue distribuée au fil du temps des applications qui prennent le plus de temps à
démarrer, en évaluant la moyenne des temps de démarrage de chaque application.
Splunk retourne alors un graphisme dynamique et interactif qui permettra de zoomer, à l’aide
de la souris, sur certaines applications ou certaines périodes temporelles et de réaliser de
l’analyse en profondeur jusqu’au contenu des Logs. Splunk limite le nombre de nouvelles
données pouvant être indexées par jour. Il existe bien une version gratuite mais celle-ci
plafonne à 500 Mo/jours. Lorsque l’on acquiert une licence Splunk Enterprise, on achète un
droit d’indexation pour un certain volume de données ajoutées quotidiennement à Splunk, peu
importe la durée de rétention des données, le nombre d’utilisateurs ou de serveurs.
Figure 5 Architecture de SPLUNK
2.4.3.2 Forces
Aujourd’hui, le SIEM Splunk dispose de quelques atouts qui sont les suivants :
 L'investissement de Splunk dans les cas d'utilisation de la surveillance de la sécurité

permet une visibilité importante.
 Les fonctionnalités d'analyse de sécurité avancées sont disponibles à partir des

fonctionnalités d'apprentissage mécanique natives et de l'intégration avec l'UBA Splunk pour
des méthodes plus avancées, offrant aux clients les fonctionnalités nécessaires pour
implémenter une surveillance avancée de la détection des menaces et des cas d'utilisation des
menaces internes.
 La présence de Splunk et l'investissement dans les solutions de surveillance des

opérations informatiques fournissent aux équipes de sécurité une expérience interne,
ainsi que des infrastructures et des données existantes à mettre en place lors de la
mise en œuvre de capacités de surveillance et de sécurité.
2.4.3.3 Faiblesses
 Splunk Enterprise Security fournit uniquement des corrélations basiques basées

sur la prévisualisation des utilisateurs et les exigences en matière de rapports, par rapport à un
contenu plus riche pour les cas d'utilisation fournis par les principaux concurrents.
 Les modèles de licence Splunk sont basés sur le volume de données en giga-octets
indexé par jour. Les clients rapportent que la solution est plus coûteuse que les autres produits
SIEM où des volumes de données élevés sont attendus et recommandent une planification et
une hiérarchisation prioritaires des sources de données afin d'éviter de trop consommer des
volumes de données autorisés. Au cours des 12 derniers mois, Splunk a lancé des
programmes de licences pour répondre aux utilisateurs de données à volume élevé.
 Les acheteurs potentiels de l'UBA de Splunk devraient planifier de manière

appropriée, car cela nécessite une infrastructure distincte et exploite un modèle de licence
différent de la façon dont Splunk Enterprise et Enterprise Security sont autorisés.
2.4.4 MCAFEE Enterprise Security Manager
McAfee Enterprise Security Manager est une solution de gestion des événements et
des informations de sécurité (SIEM, Security Information and Event Management) qui
propose une cyberveille directement exploitable et des intégrations pour identifier,
analyser et neutraliser efficacement les menaces. McAfee Enterprise Security Manager
assure à l'entreprise une connaissance en temps réel du monde extérieur, par des
informations sur les menaces et des flux de données de réputation. Il lui procure en outre une
visibilité sur ses systèmes, ses données, les risques qu'elle court et les activités se produisant
en interne. Votre équipe de sécurité bénéficie d'un accès complet et corrélé au contenu et
au contexte nécessaires pour prendre rapidement des décisions sur la base des risques, et
ainsi investir au mieux ses ressources dans un paysage des menaces en perpétuelle mutation
et un contexte opérationnel dynamique. Disposer de telles informations est indispensable
pour étudier les attaques lentes et furtives, rechercher les indicateurs de compromission ou
corriger les problèmes mis au jour par les audits. La solution s'intègre à l'ensemble de votre
infrastructure de sécurité, offrant ainsi une visibilité sans précédent et en temps réel sur le
niveau de sécurité de votre entreprise. McAfee Enterprise Security Manager est capable de
collecter des données pertinentes à partir d'équipements d'autres fournisseurs de solutions
de sécurité, de même que des flux de cyberveille sur les menaces. Étant donné qu'elle est
intégrée avec McAfee Global Threat Intelligence (McAfee GTI), la solution peut s'enrichir
des données recueillies par McAfee Labs à partir de ses sondes réparties à travers le monde
(plus de 100 millions) et ainsi bénéficier d'un flux d'informations constamment actualisé sur
les adresses IP malveillantes connues. Elle peut également assimiler les informations sur les
menaces transmises au format STIX/ TAXII et/ou par le biais d'URL de sites web de tiers, et
ensuite les analyser pour appliquer les mesures appropriées.
La solution McAfee SIEM est composée de plusieurs plates-formes basées sur des
appareils fonctionnant conjointement pour offrir une valeur et des performances
inégalées aux professionnels de la sécurité au sein d'une entreprise. Une multitude de
configurations de déploiement permettent d’avoir l'architecture SIEM la plus évolutive et
riche en fonctionnalités disponible, la fourniture de forensic en temps réel, la surveillance
complète des données et du trafic de la base de données et des applications, une
corrélation avancée fondée sur les règles et le risque pour l'incident en temps réel et
historique la détection et l'ensemble le plus complet de fonctionnalités de conformité
de chaque SIEM sur le marché. Tous les appareils sont disponibles dans une gamme
de modèles physiques et virtuels.
Le McAfee REC est utilisé pour la collecte de toutes les données d'événement et de flux de
tiers. La collecte d'événements est prise en charge par plusieurs méthodologies :
o Push - devices renvoie des événements ou des flux à l'aide de SYSLOG, NetFlow, etc.
o Pull - Event / log data est collecté à partir de la source de données à l'aide de
SQL, WMI, etc.
o Agent - les sources de données sont configurées pour envoyer des données
d'événement /journal / flux à l'aide d'un agent de petite taille tel que McAfee SIEM
Event Collector, SNARE, Adiscon, Lasso, etc.
Le Récepteur d'événements peut également être configuré pour collecter les résultats
d'analyse à partir de plateformes d'évaluation de vulnérabilité existantes telles que
McAfee MVM, Nessus, Qualys, eEye, Rapid7, etc. En outre, le REC prend en charge la
configuration de la corrélation des événements basée sur des règles en tant qu’application
s'exécutant sur le récepteur. La corrélation basée sur le récepteur comporte plusieurs
limitations. La corrélation, l'écart et les flux de corrélation basés sur le risque ne sont
pas pris en charge sur un récepteur. De plus, en règle générale, la corrélation basée sur le
récepteur impose une pénalité de performance d'environ 20% sur votre récepteur. Pour la
plupart des environnements d'entreprise, McAfee recommande d'utiliser une ACE pour
centraliser la corrélation et fournir des ressources suffisantes pour cette fonction. Les
récepteurs d'événements McAfee viennent dans des appareils physiques avec des
évaluations EPS allant de 6k à 26k événements par seconde ainsi que des modèles
basés sur VM avec des taux de collecte d'événements allant de 500 à 15k EPS. Plusieurs
appareils REC (ou plates-formes VM) peuvent être déployés centralement pour fournir
un environnement de collecte consolidé ou peuvent être répartis géographiquement
dans toute l'entreprise. Des scénarios de déploiement typiques trouveront un récepteur
d'événements dans chacun des centres de données, qui transmettront leurs événements
collectés à un ESM centralisé(ou à plusieurs appareils ESM à des fins de redondance et de
reprise après sinistre).
Le McAfee ELM stocke les données sur les événements / logs de qualité et de litige
collectés à partir des sources de données configurées sur Event Receivers. Dans les
environnements SIEM où la conformité est un facteur de réussite, l'ELM est utilisé pour
maintenir la chaîne de détention de l'événement et assurer une non-répudiation complète. En
plus de fournir des archives d'événements brutes de qualité conforme, l'ELM prend également
en charge l'index de texte intégral (FTI) pour tous les détails de l'événement. Le McAfee
SIEM supporte la possibilité d'effectuer des recherches ad hoc sur les données non structurées
conservées dans l'archive.
L'ADM fournit un décodage d'application de couche 7 du trafic d'entreprise via quatre

interfaces de réseau promiscues. Il est utilisé pour suivre la transmission des données
sensibles et l'utilisation des applications, ainsi que de détecter le trafic malveillant et
secret, le vol ou l'utilisation abusive des informations d'identification et des menaces de
couche d'application. À ne pas confondre avec un DLP vrai, l'intégration avec le SIEM
fournit une valeur forensique avancée en préservant les détails transactionnels complets
pour les sessions violant la politique définie par l'utilisateur gérée dans l'interface
utilisateur commune de McAfee ESM. La corrélation des règles complexes peut tirer parti des
violations de la politique ou des événements d'utilisation des applications suspectes pour
identifier les incidents de sécurité potentiels en temps réel.
Le DEM fournit une solution réseau pour la découverte en temps réel et le suivi
transactionnel de l'activité de la base de données via deux ou quatre interfaces réseau
promiscues. Il fonctionne en lieu et place d’or en parallèle avec la solution d'activité de base
de données McAfee (Sentrigo) pour fournir une surveillance complète de la base de données
au niveau de la transaction de l'utilisation de l'utilisateur ou de la DB d'application.
McAfee ESM est le « cerveau » de la solution McAfee SIEM. Il héberge l'interface

Web par laquelle toutes les interactions SIEM sont exécutées ainsi que la base de données
principale des événements analysés utilisés pour la forensique et les rapports de conformité. Il
est alimenté par la base de données intégrée McAfee EDB intégrée par l'industrie, qui offre
des vitesses supérieures à 400% plus rapidement que n'importe quelle base de données
commerciale ou open source de premier plan.
Figure 6 Architecture McAfee Entreprise
2.4.4.2 Forces
Les atouts que disposent McAfee SIEM sont les suivants :
 Les clients avec McAfee Policy Orchestrator (sécurité informatique) de Intel

Security valorisent l'intégration profonde avec ESM.
 Enterprise Security Manager dispose d'une bonne couverture de la technologie

opérationnelle (systèmes de contrôle industriels [ICS]), et des dispositifs de contrôle de
supervision et d'acquisition de données (SCADA).
 La couche d'échange de données McAfee (DXL) de la sécurité d'Intel permet
des intégrations avec des technologies tierces sans l'utilisation d'API. Cette approche est
prometteuse pour permettre l'utilisation d’ESM en tant que plate-forme SIEM
2.4.4.3 Faiblesses
Malgré ses atouts, McAfee a cependant quelques petites faiblesses :
 Les fonctionnalités SIEM avancées de la sécurité d'Intel dans des domaines tels que
l'intelligence d'extrémité et la réponse automatisée nécessitent des intégrations ou d'autres
investissements dans d'autres produits de portefeuille Intel.
 Intel fournit des fonctionnalités et des intégrations d'analyse avancées et limitées avec
des outils tiers. Les lignes de base et les écarts sont identifiés, et les analyses axées sur les
risques sont disponibles via l'ACE. Cependant, il n'existe pas d'analyse prédictive, et d'autres
fonctionnalités intégrées ne sont pas aussi fortes que celles des principaux concurrents.
 ESM fournit de solides fonctionnalités de flux de travail. Cependant, l'intégration

hors connexion est disponible. Le support d'autres produits de flux de travail est limité au
courrier électronique ou au développement avec l'API ESM.
 Les commentaires des utilisateurs et des clients Gartner concernant la stabilité et les
performances médiocres avec ESM se sont poursuivis au cours des 12 derniers mois.
2.4.5 ALIEN VAULT OSSIM
2.4.5.1 Forces
OSSIM (Open Source Security Information and Event Management) est un SIEM open
source d’AlienVault fait spécialement pour la collecte d’événements, la normalisation et la
corrélation. Ce SIEM a été conçu pour répondre aux difficultés que font face les
professionnels de la sécurité, qu’il soit libre ou propriétaire un SIEM est inutile s’il ne sait
pas gérer les contrôles de base nécessaire à la sécurité de l’entreprise.
OSSIM aborde cette réalité en fournissant une plateforme unifiée avec une multitude
de fonctionnalités de sécurité essentielles dont vous avez besoin comme :
 Découverte d’actifs
 Evaluation de la vulnérabilité
 Détection d’intrusion
 Surveillance comportementale
 SIEM
OSSIM exploite le pouvoir d’AlienVault open Threat Exchange en permettant aux utilisateurs
de contribuer et de recevoir des informations concernant les différentes menaces en temps réel
dans le monde. Alien Vault a conçu OSSIM en pensant que tout le monde devait avoir droit
à la haute technologie pour leur sécurité à tout le monde.
2.4.5.2 Faiblesses
OSSIM présente quelques limites tel que :
 Pas de manipulation des logs
 Difficultés à mettre en place
 Complexité relative d’amélioration vue son potentiel élevé de manipulation et son

utilisation assez lourde d’outils puissants en documentation.
2.5 Tableau comparative des différents types de SIEM cités
Capacité
Produit Lieu d’utilisation Intelligence livraison Prix
d’enregistrement
UBA, Forensics,
Plus de 400 sources
Industries Et inspection de Machine, logiciel, À partir de
IBM Qradar de données et des
Entreprises paquets et et VM $10,400
millions EPS
Intégration Watson
Analyse en directe, Machine physique,

RSA Gouvernement, 30000 EPS ,10GB, 50 GB de logs Et 1
apprentissage VM, cloud et
Netwitness Energie, télécoms de stockage TB de paquets
automatique hybride
Intègre Splunk
Ingestion des
Entreprises Et UBA Et
Splunk Données Logiciel Et Cloud $1800/GB/jour
Industries apprentissage
journalièrement
Automatique
50000 EPS, des

Secteur public, Tache automatique
billions Machine physique
McAfee éducation et Et Modification À partir $39,995
d’événements ou VM
Hôpital des spolitiques
stockés
Réseaux de
AlienVault Entreprise Et À partir de 15 000 partages de plus de
Cloud ,logiciel Produit gratuit
OSSIM PME EPS 1M menaces par
jour
CHAPITRE 3 : PRESENTATION DE LA SOLUTION
CHOISIE
3.1 Introduction
Dans ce chapitre, nous allons parler de la solution OSSIM, de ses différentes fonctionnalités,
de son fonctionnement en interne, expliquer son architecture, de ses limites et avantages.
3.2 Présentation de Alien Vault OSSIM
OSSIM (Open Source Security Information and Management) est une solution open source
de sécurité des informations et de gestion des événements(SIEM). Il permet de faire la
collecte d’informations provenant de divers fichiers de journalisation au sein d’une entreprise
telle que les contrôles de sécurité d'entreprise, les systèmes d'exploitation et les applications.
Il convertit les données collectées en format qu’il comprend. Il illustre une mise en œuvre de
la cartographie pour améliorer la détection d’intrusions. Son atout principal est que
OSSIM n’est qu’un seul outil contenant plusieurs outils open source existants permettant
d’avoir une meilleure gestion de la sécurité réseaux. Avec OSSIM il est possible de définir
des règles de sécurité relatives à la politique de sécurité adoptée, de connaître la cartographie
du réseau et de corréler les différents outils pour optimiser la supervision (réduire les faux
positifs par exemple). On cherche à exploiter les caractéristiques des différents outils déjà
existants pour collecter le plus d’information nécessaire pour une meilleure vision du réseau.
OSSIM garantit l’interopérabilité des différents outils
OSSIM assure toutes les fonctionnalités d’un SIEM que sont :
 La collecte des Logs

 L’agrégation
 La normalisation
 La corrélation
 Le reporting
 L’archivage
 L’interprétation des évènements
De plus, il intègre plusieurs outils open source tels que :
 Des détecteurs d’intrusions : Snort (NIDS), Ossec, Osiris (HIDS)

 Un détecteur de vulnérabilités : Nessus, OpenVas
 Des détecteurs d’anomalies : Arp Watch, p0f, pads.
 Un gestionnaire de disponibilité : Nagios.
 Un outil de découverte du réseau : Nmap.
 Un inventaire de parc informatique : OCS-Inventory
 Un analyseur de trafic en temps réel : Ntop, TCPTrack, NetFlow.
3.3 Principe de la solution OSSIM
OSSIM est une plateforme centralisée fédérant plusieurs outils open source au sein
d’une infrastructure complète de supervision de sécurité. Elle a pour objectif de centraliser,
d’organiser et d’améliorer la détection et l’affichage pour la surveillance des évènements liés
à la sécurité du système d’information d’une entreprise. OSSIM est constitué de
composants de supervision suivants :
 Un panneau de contrôle
 Des moniteurs de supervision de l’activité et des risques.
 Des moniteurs de supervision réseau et des consoles d’investigation
Ces éléments s’appuient sur des mécanismes de corrélation, de gestion des priorités et
d’évaluation des risques afin d’améliorer la fiabilité et la sensibilité des détections au sein de
la solution.
3.4 Architecture de OSSIM
OSSIM repose principalement sur trois composants :
 Le serveur : contenant les différents moteurs d’analyse, de corrélation et les

bases de données.
 L’agent : prenant en charge la collecte et l’envoie des évènements au serveur OSSIM.
 Le Framework : regroupant les consoles d’administrations et les outils de
configuration et de pilotage et permettant également d’assurer la gestion des droits d’accès.
Le fonctionnement de la solution Ossim se base sur ces deux principales étapes suivantes :
 Le prétraitement de l’information: géré par des équipements comme des

systèmes détections d’intrusion(IDS), des sondes de collecte d’information(SENSOR)
consiste à collecter les logs (fichiers de journalisation) de toutes les machines du parc
informatique et de normaliser les différents logs reçus.
 Le post traitement de l’information: assuré par l’ensemble des processus interne de
la solution et qui vont prendre en charge l’information brute telle quelle a été collecté pour
ensuite l’analyser, la traiter et en fin la stocker dans une base de données.
Toutes ces informations collectées sont spécifiques et ne représentent qu’une petite

quantité d’information circulant sur le réseau de l’entreprise. La possibilité d’utiliser les
informations remontées par les détecteurs en utilisant un nouveau niveau de traitement,
de compléter et d’améliorer le niveau d’information est appelée : la corrélation. Son objectif
est de rendre cette remontée d’information plus efficace par rapport à la quantité
d’information disponible sur le réseau de l’entreprise.
3.5 Fonctionnement interne de OSSIM
Pour une meilleure compréhension du fonctionnement de notre solution, la figure suivante

sera l’illustration parfaite de son fonctionnement :
Figure 7 Fonctionnement de OSSIM

Les détecteurs traitent les évènements jusqu’à ce qu’une alerte soit identifiée soit par
signature, soit par la détection d’une anomalie.
 Le collecteur récupère les différentes alarmes provenant de divers protocoles (P2P,

SNMP…)
 Le parseur se charge de normaliser les alarmes et de les stocker dans une base de
données d’événements, ensuite de les situer par priorité en fonction des politiques de sécurité
mises en place.
 Le parseur évalue aussi les risques immédiats inhérents à l’alerte et remonte si besoin
une alarme au niveau de panneau de contrôle.
 Les alertes une fois priorisées sont envoyées à chaque processus de corrélation, qui
met à jour leurs variables d’état et renvoie éventuellement de nouvelles alertes aux
informations plus complètes ou plus fiables. Ces nouvelles alertes sont renvoyées au parseur
pour être à nouveau stockées, priorisées et évaluées par rapport aux politiques de risques et
ainsi de suite.
 Le parseur de risque affiche périodiquement l’état de chaque index de risque
selon la méthode de calcul CALM (Compromise and Attack Level Monitor).
 Le panneau contrôle quant à lui remonte les alarmes les plus récentes, met à jour l’état
de toutes les métriques qu’il compare à leurs seuils, et envoie alors de nouvelles alarmes ou
effectue les actions appropriées selon les besoins.
 L’administrateur peut également voir et/ou établir un lien entre tous les évènements
qui se sont produit à l’heure de l’alerte à l’aide de la console d’investigation.
 L’administrateur peut enfin vérifier l’état de la machine impliquée en utilisant les
consoles d’utilisation, de profil ou de session.
3.6 Fonctionnalité de OSSIM
Dans cette sous-partie, nous énumérerons les diverses fonctionnalités qu’offrent OSSIM en
les classant par niveau.
Figure 8 Fonctionnalité de OSSIM
 Niveau 1 : La détection par modèles (Pattern Detector)
Cette méthode est depuis longtemps utilisée par les IDS (Intrusion Detection System) pour
détecter les modèles d’attaque en utilisant les signatures ou des règles bien définis. La
recherche de motif est ce qui permet à un NIDS de trouver le plus rapidement possible les
informations dans un paquet réseau.
 Niveau 2 : La détection par anomalies (Anomaly Detector)
Le principe n’est pas d’indiquer au système de détection ce qui est bon et ce qui ne l’est pas.
En fait, le système doit apprendre un modèle de référence qu’il considère comme une
situation normale et remonter une alerte quand le comportement dévie de ce modèle de
référence. C’est cette fonction qui le différencie de la détection par modèles. Par exemple,
dans le cas d’une nouvelle attaque pour laquelle il n'y a toujours aucune signature qui
produirait une anomalie évidente pourtant ignorée par les systèmes de détection de modèle.
 Niveau 3 : La centralisation et la Normalisation
La centralisation et la normalisation ont pour objectif de réunir tous les événements de

sécurité au sein d’une plateforme afin de faciliter leurs manipulations. Cette plateforme
permettra d’avoir une vue plus détaillée sur l’entreprise. Ainsi, grâce à l’ensemble des
fonctionnalités d’OSSIM disponibles par le panneau de contrôle, il est possible d’établir des
procédures pour détecter des scénarii d’attaques plus complexes et fragmentées. De cette
façon, il est donc possible d’observer tous les évènements de sécurité pendant une période
donnée (qu’ils viennent d’un routeur, d’un firewall, d’un IDS, ou d’un serveur) sur le même
écran et dans le même format. La normalisation est donc une composante essentielle et
pour cela OSSIM s’appuie sur le standard IDMEF.
L’utilisation de ce standard est vivement encouragée par la communauté de développeur

d’OSSIM et bon nombre d’acteurs de la sécurité en général.
L’IDMEF est un standard établi par l’IETF. Le modèle de données de l’IDMEF est une
représentation orientée objet au format XML des alertes envoyées par les équipements de
détection vers OSSIM. Les équipements qui vont émettre les alertes sont divers et variés.
 Niveau 4 : La gestion des priorités
La gestion de priorités est pour ainsi dire un processus de contextualisation, en d'autres

termes, l'évaluation de l'importance d'une alerte par rapport à l'environnement de l’entreprise,
qui est décrit dans une base de connaissance (KDB) pour le réseau comportant :
o Un inventaire des machines et réseaux (marques, systèmes d'exploitation, services,

etc.)
o Une politique d'accès (si l'accès est autorisé ou interdit…) :
Les processus de gestion des priorités dans OSSIM sont définis au niveau du framework où
sont configurés les éléments suivants :
o Les politiques de sécurité et des flux de données

o Inventaire du parc informatique
o Définition des alarmes
o Evaluation de la fiabilité des alertes
 Niveau 5 : L’évaluation des risques
Au niveau de la solution OSSIM, l’importance d’une alerte dépend de trois principaux

facteurs:
o La valeur des équipements associée à l'événement

o Le degré d’occurrence
o L’impact de l'événement
On distingue d’une part des risques intrinsèques ou internes qui sont des risques qu’une
entreprise assume en vertu à la fois des équipements qu’elle possède afin de développer ses
affaires mais également des menaces circonstancielles liées à ces équipements. Le poids d’un
risque peut être corrigé par un dispositif de maitrise des risques (DMR). OSSIM prend en
compte le DMR dans son fonctionnement. La figure suivante présente la mesure de risque :
Figure 9 Mesure opérationnelle de contrôle automatisé (OSSIM)
D’autre part on a les risques immédiats qui peut donc être définit par l’état de risque produit
quand une alerte est reçue et évaluée instantanément comme une mesure des dommages
qu’une
Attaque pourrait produire, pondérée par la fiabilité du détecteur qui a remonté

l’information.
OSSIM calcule le risque immédiat de chaque évènement reçu, et utilise cette mesure objective
pour évaluer l’importance de l’évènement en termes de sécurité. OSSIM utilise cette mesure
seulement pour évaluer la nécessité d’agir.
 Niveau 6 : La corrélation
La corrélation est le noyau de la solution OSSIM. Le mécanisme de corrélation peut donc être
vu comme la possibilité d’utiliser les informations remontées par les détecteurs et, en
utilisant un nouveau niveau de traitement, pour compléter et améliorer le niveau
d’information.
Le but étant de rendre cette remontée d’information le plus efficace possible par rapport à
l’étendue de la quantité d’information disponible sur le réseau d’entreprise.
Figure 10 Système de corrélation de OSSIM
En entrée, les moniteurs fournissent normalement des indicateurs et des détecteurs des alertes.
En sortie Nous retrouvons également l’un de ces deux éléments : alertes ou indicateurs.
Les fonctions de corrélation deviennent en fait de nouveaux détecteurs et moniteurs.
Elle a pour objectif sous OSSIM de : développer des algorithmes pour avoir une vue générale
de la sécurité au sein de l’entreprise, fournir la capacité de lier des détecteurs et des moniteurs
pour objets plus détaillés et plus utiles.
Pour pouvoir voir les objectifs qui ont été fixés, OSSIM a mis en place plusieurs
méthodes de corrélation tel que :
o La Corrélation en utilisant des séquences d’évènements

À la base, la détection d’une séquence par modèle est simple, il suffit de rédiger des règles.
OSSIM
utilise évidemment des séquences plus complexes dans lesquelles sont corrélées les
alertes produites par des signatures avec le comportement caractéristique d’une attaque
spécifique.
o La Corrélation par les algorithmes heuristiques
Cette méthode permet de compenser les imperfections de la corrélation par séquences

d’évènements en détectant des situations sans connaitre ou montrer les détails. Ceci est utile
pour détecter des attaques inconnues et montrer une vue générale de l’état de la sécurité pour
un grand nombre de systèmes. Ossim utilise un algorithme heuristique appelé CALM.
CALM (Compromise and Attack Level Monitor) est un algorithme d’évaluation qui
emploie l’accumulation d’évènements et leur rétablissement dans le temps. En entrée, il
récupère un volume élevé d’évènements, et en sortie il fournit un indicateur unique de l’état
général de la sécurité. Cette accumulation est valable pour n’importe quel objet sur le réseau
(n’importe quelle machine, groupe de machines, segments de réseau, etc.) que l’on souhaite
surveiller. CALM est donc prévu pour la surveillance en temps réel, de ce fait l’algorithme
doit accorder de l’importance aux évènements les plus récents et jeter les plus vieux.
o La Corrélation croisée
Ce procédé permet d’augmenter la priorité d’une alerte Snort lorsque l’attaque définie par
celle-ci aura été découverte comme possible par Nessus. Les associations entre les alertes de
Snort et les règles de Nessus sont affichées dans la console d’administration d’OSSIM
 Niveau 7 : Les Consoles ou Moniteurs
Ils ne sont considérés comme des fonctionnalités, parce qu’ils font une représentation des
différents processus. Au sein de OSSIM, on distingue différents types moniteurs tels que :
o Moniteur de risque : il montre les résultats de l’algorithme CALM.

o Moniteurs d’utilisation, de session et de profil
o Moniteur de chemin : permet de montrer la traçabilité des machines au niveau du
réseau.
 Niveau 8 : La Console d’investigation (forensic)
C’est une console qui permet de faire la recherche d’événements sur la base de données de
OSSIM. Cette console est un moteur de recherche qui opère sur la base de données
d'événement (EDB).
Elle permet à l’administrateur d’analyser des évènements de sécurité par rapport à tous les
éléments critiques du réseau a posteriori et d’une façon centralisée.
✓ Niveau 9 : Le Panneau de contrôle (Control Panel)
Le panneau de contrôle permet de regarder l’état de la sécurité du réseau au niveau le plus

haut. Il surveille une série d'indicateurs qui mesurent l'état de l'entreprise par rapport à la
politique de sécurité mise en place.
Le panneau de contrôle est le « thermomètre » général pour tout qui se produit sur le réseau.
Il permet également d’accéder à tous les outils de surveillance pour inspecter n'importe quel
problème qui a été identifié. La manière dont l'information est affichée dans le
panneau de contrôle est importante, ainsi elle doit être aussi concise et simple que possible.
Seule l'information qui est appropriée au moment qui nous intéresse doit être affichée.
3.7 Mise en place de la solution
Dans cette partie, nous allons mettre en place les différents outils utilisés lors de ce projet en
les illustrant par les différentes captures d’écran qui ont été faites.
PARTIE 2: IMPLEMENTATION ET TESTS
CHAPITRE 4: IMPLEMENTATION DE LA
SOLUTION
4.1 Introduction
Dans ce chapitre, nous allons essayer de mettre l’architecture sur laquelle la solution sera
déployée, puis en donnant les spécificités des machines physiques qui seront utilisés et enfin
en présentant l’environnement logiciel qui sera utilisé dans le lieu de travail.
4.2 Architecture implémentée
Figure 11 Architecture implémentée
4.3 Environnement Matériel et logiciel
L’implémentation de ce projet a nécessité l’utilisation plusieurs ressources matériels et les

différents logiciels et systèmes d’exploitation qui sont présentées dans le tableau suivant :
Matériel/Logiciel Caractéristiques
DELL 8Go Ram, utilise comme serveur OSSIM
HP Elitebook 8Go Ram, disque dur 500Go, utilise pour l’accès WEB
Workstation4 Pour l’environnement virtuel
Windows 10 Système d’exploitation Windows utilisé comme client
Ubuntu 16.04 Système Linux utilisé comme client
AlienVault
OSSIM Plateforme de gestion de la sécurité et de management des logs
Ossec Système de détection d’intrusion hôtes
Métasploitable Machine vulnérable à des fins de test
Logiciel open source permettant l’analyse en temps réel du trafic avec des
NetFlow graphiques
4.4 Mise en place de la solution
Dans cette partie, nous allons mettre en place les différents outils utilisés lors de ce projet en les
illustrant par les différentes captures d’écran qui ont été faites.
4.5 Installation de OSSIM
Tout d’abord, nous avons téléchargé l’image de AlienVault sous forme de système d’exploitation.
L’installation se fera sur une machine DELL, considérée comme notre serveur OSSIM.
Les caractéristiques de la machine sont les suivants :
• Adresse IP : 192.168.1.25/24
• Ram : 8192 MB
• Disque dur : 8Go
Après avoir terminé l’installation, nous nous sommes connecte au serveur via SSH, on devrait
nous demander d’entrer le login et le mot de passe comme le montre la figure ci-dessous.
Figure 12 Console OSSIM
Dans la figure ci-dessous, nous avons la console d’administration qui nous permettra de
configurer la plateforme correctement.
C’est à partir d’ici qu’on va configurer toutes les informations et les sources de données
nécessaire.
Figure 13 Console d’administration
Dans la figure suivante, nous avons l’interface web de la plateforme où se fera la gestion de
notre parc informatique.
Figure 14 Interface de connexion web
Figure 15 Interface WEB du serveur OSSIM
Après nous avoir loggé, on voit que OSSIM présente cinq grandes parties que sont la
configuration, les rapports, l’environnement, l’analyse et le tableau de bord(Dashboard) qui
présente différentes manières de présenter les résultats des informations collectées par les
agents.
Ci-dessous, nous retrouvons les différents événements et alarmes selon leurs types et leurs
catégories
Figure 16 Dashboard OSSIM
Dans la figure suivante, nous avons l’ensemble des journaux en temps réel qui proviennent de
nos agents installés sur les machines du réseau selon leur source et leur destination. Dans la
rubrique Analyse, on dispose des fonctionnalités comme les tickets qui affichent les
vulnérabilités sur certaines machines, les alarmes qui montrent les différentes qui ont été
subies par notre parc informatique et la gestion des logs << Raw Log >> qui permet de faire
du forensic mais qui n’est pas disponible pour la version libre.
Figure 17 Analyse des logs reçus
Dans la figure suivante, on a la rubrique rapport <<Reports>> qui permet de générer des
rapports d’audits en conformité avec les différents normes et standards internationaux comme
la norme ISO 27001 et PCI DSS.
Figure 18 Génération de rapport

La figure suivante présente la rubrique d’<<Administration>> qui permet de gérer les
comptes utilisateurs et la restauration.
Ici, nous avons créé un autre utilisateur : Analyste
Figure 19 Création d’un autre utilisateur
La figure ci-dessous nous montre les assets actifs du réseau
Figure 20 Les utilisateurs Actifs du réseau

4.6 Installation et Configuration de OSSEC
OSSEC est une plateforme pour surveiller et contrôler vos systèmes. Il combine tous les
aspects de HIDS (détection d'intrusion basée sur l'hôte), la surveillance des journaux, et la
gestion des incidents de sécurité (SIM) / Information de sécurité et gestion des événements
(SIEM) ensemble dans une solution simple, puissante et open source. Ces principales
fonctionnalités sont les suivantes : Surveillance des journaux, détection de rootkit,
Vérification d’intégrité et la réponse active.
4.5.1 Déploiement sous Windows
La figure ci-dessous montre la clé extraite pour Windows.
Figure 21 Clé extraite pour l’agent OSSIM sur Windows
Figure 22 Interface de management OSSEC

4.5.2 Déploiement sous Windows
Le déploiement sous linux est un peu plus difficile que sur les machines Windows. Il faut
d’abord télécharger la dernière version de OSSEC puis lancer le script et enfin coller la clé
extraite de la plateforme comme suit :
Figure 23 Installation OSSEC sous linux

CHAPITRE 5 : EXPLOITATION ET TESTS
Dans ce chapitre, nous parlerons en premier lieu de la conformité de nos rapports d’audit par
rapport aux normes et standards internationaux et d’autre part faire des tests comme des
attaques sur notre réseau interne pour montrer la fiabilité de notre solution.
5.1 Conformité de standard (ISO27001)
La norme ISO 27001 définit les exigences de sécurité d’un système de management de la
sécurité d’une entreprise. Elle propose un modèle pour établir, implémenter, exploiter,
surveiller, maintenir et améliorer le système de management de la sécurité de
l’information(SMSI). La norme 27001se focalise sur l’implémentation d’un système de
management de la sécurité basé sur une structure formalisée et des contrôles à effectuer. Elle
se base sur le modèle PDCA(Plan-Do-Check-Act) qui signifie Planifier-Développer-Vérifier-
Réagir) et chacune de ces étapes entraine l’autre au niveau de la solution Ossim, plusieurs
normes ou standards ont été définies dont ISO27001 pour permettre à l’entreprise de se passer
du travail fastidieux effectuer par les auditeurs, il génère tous les rapports de l’état du SI en
fonction des standards.
La figure suivante montre comment activer ces fonctions pour qu’ils puissent générer ces
rapports en fonction de la norme 27001.
Figure 24 Conformité de OSSIM par rapport à ISO27001

Ci-dessous une partie du rapport concernant notre machine cliente ayant comme adresse
192.168.1.250, nous allons procéder comme suit :
Figure 25 Rapport de conformité
5.2 Test de scan de vulnérabilités : OPENVAS
Openvas est un outil de sécurité informatique qui permet de faire un audit d’une machine ou
d’un réseau entier. Openvas est sans doute le logiciel phare dans la catégorie des scanners de
vulnérabilité et ce dernier est un dérivé de Nessus. Sur notre plateforme OSSIM, on fera des
scans de vulnérabilité sur deux machines de notre réseau.
Machine:
 Systéme d’exploitation: Windows 10
 Adresse IP : 192.168.1.141
Sur cette figure, on voit les résultats de scans sur notre machine Windows.
Figure 26 Scan de vulnérabilités
Scan de vulnérabilités
Scan de vulnérabilités
Interface montrant les événements et vulnérabilité de la machine Windows

Á la fin un rapport est généré sous format pdf qui va vous montrer comment faire pour
résoudre les problèmes de votre système ou de votre réseau comme suit:
5.3 Supervision reseau : NETFLOW
NetFlow est une architecture de surveillance réseau développée par Cisco qui permet de
collecter des informations sur les flux IP. Elle définit un format d'exportation d'informations
sur les flux réseau nommé NetFlow services export format (format d'exportation des services
NetFlow, en abrégé protocole NetFlow). Elle permet de superviser de façon fine les
ressources du réseau utilisées. La figure suivante va montrer l’analyse du trafic réseau réalisée
par NetFlow.
Figure 27 Capture d’écran du trafic réseau par Netflow

5.4 Test scan de port : NMAP
Dans la figure suivante, nous allons lancer un scan de port sur notre machine ubuntu16.04.
Interface montrant les événements et vulnérabilité de la machine Windows
Figure 28 Scan de port sur la machine Windows

Á la fin un rapport est généré sous format pdf qui va vous montrer comment faire pour
résoudre les problémes de votre systéme ou de votre réseau comme suit :
Figure 29 Rapport de scan de port

5.5 Test attaque de type scan de port avec METASPLOIT
NMAP est un scanner de ports libre créé par Fyodor et distribué par Insecure.org. Il est conçu
pour détecter les ports ouverts, identifier les services hébergés et obtenir des informations sur
le système d'exploitation d'un ordinateur distant. Lors de ce test, on tentera de scanner
l’ensemble des ports ouverts, système d’exploitation et noyau de la machine métasploitable :
 Machine Ubuntu : 192.168.1.15

 IP : 192.168.1.23, OS : Metasploit
Dans la figure qui va suivre nous allons lancer un scan à partir de notre machine ubuntu16.04
vers la machine métasploitable
Figure 30 Installation de NMAP
Lancement de scan réseau à partir d’une machine Ubuntu

Lancement de scan réseau à partir d’une machine Ubuntu
Figure 31 Détection de l’attaque par OSSIM

CONCLUSION
La sécurité d’un système d’information est une chose primordiale pour la survie d’une entreprise
quel que soit son domaine d’activité.
L’étude réalisée dans le cadre de ce mémoire, m’a permis de découvrir et de comprendre des
solutions de management de la sécurité de l’information.
OSSIM est une solution composée de trois briques.
 Une partie serveur : qui contient les différents moteurs d’analyse, de corrélation et les
bases de données.
 Une partie agent qui prend en charge la collecte et la mise en forme des événements
 Une partie Framework : qui regroupe les consoles d’administrations et les outils de
configuration et de pilotage. Le Framework assure également la gestion des droits d’accès.
Cette solution offre une grande modularité grâce à sa capacité à s’appuyer sur des outils de
sécurité open-source. OSSIM est en quelque sorte le chef d’orchestre des différentes solutions
déjà existante et permet de fédérer, d’agréger, d’analyser et de stocker les informations de
manière centralisée et normalisée.
OSSIM est outil très fiable au niveau de l’administration du système d’information. Il permet
de détecter et analyser les attaques et les menaces à son réseau et hosts.
PERSPECTIVES
Le projet a ouvert de nouvelles pistes toujours dans le domaine de la sécurité.
D’une part, nous devons poursuivre l’étude afin de nous familiariser beaucoup plus avec
l’étude.
D’autre part, nous prévoyons de faire des études poussées pour faire du forensic, c’est-à-dire
relier notre plateforme avec la pile elastic stack composée de elasticsearch, de logstash et de
Kibana.
BIBLIOGRAPHIE
(B1) Internet
(B2) Sécurité Informatique et réseaux 1er édition DUNOD Auteur Solange Ghernaouti
(B3) Hacking, sécurité et tests d’intrusion avec Métasploit Auteur PEARSON

WEBOGRAPHIE
Mise-en-Place-d'une-Solution-SIEM-OpenSource-OSSIM.pdf
https://dumas.ccsd.cnrs.fr/file/index/docid/1066307/filename/2012.TH_18187.Bidanel_Jacqu
es.pdf
Mise-en-place-d’un-système-de-management-des-logs-avec-OSSIM.pdf
http://www.philippe-martinet.info/ossim-project/Rapport-OSSIM-Philippe-Martinet.pdf
https://repo.zenk- security.com/Protocoles_reseaux_securisation/IDS%20intrusion
%20detections%20snort.pdf https://www.snort.org/downloads/snort/snort-2.9.11.1.tar.gz
https://www.gartner.com/reviews/customer-choice-awards/security-information-event-
management
https://www.esecurityplanet.com/products/top-siem-products.html
https://fr.wikipedia.org/wiki/Security_information_management_system

Video 2-Converti

Transféré par

Informations du document

Description :

Titre original

Copyright

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Description :

Droits d'auteur :

Video 2-Converti

Titre original :

Transféré par

Description :

Droits d'auteur :

Université Cheikh Anta DIOP de Dakar Laboratoire d’Algèbre de Cryptologie de

Faculté des Sciences et Techniques

Master Transmission de Données et Sécurité

de et Déploiement d’un système de management d

Présenté et soutenu par:

Membres : Dr. Elhadj Modou MboupEnseignant, Ingénieur SSI

Dr. Demba Sow Enseignant-Chercheur à l'UCAD

 A tous mes amis et proches.

 A tous mes enseignants et professeurs qui sont la source de mon savoir.

 A tous mes camarades de promotion.

 Qu’ils trouvent à travers ce travail ma sincère reconnaissance.

Je tiens à exprimer ma plus profonde reconnaissance à :

 A toute la promotion TDSI sortante 2017/2018.

Le laboratoire LACGAA a pour objectifs :

Les principaux domaines de recherche sont l’algèbre et ses différentes applications :

APT African Promising Technology

CALM Compromise and Attack Level Monitor

CEI Commission Electronical International

CLI Console Line Interface

DEM Database Event Monitor

DDOS Distributed Deny of Service

DSI Direction Système d’Information

FIPS Federation Information Processing Standard

FTP File Transfer Protocole

GTI Global Threat Intelligence

HIDS Host Intrusion Detection System

HIPPA Health Insurance Portability and Accounting

ICS Système de contrôle industriel

IDS Intrusion Detection System

IDMEF Internet Detection Message Exchange Format

IETF Internet Engineering Task Force

ISO International Standard Organization

KDB Knowledge Database

OSSIM Open Source Security Information and Event Management

OTX Open Threat Exchange

P2P Peer To Peer

PCIDSS Payement Card Industry Data Security Standard

PDCA Plan Do Check Act

SIEM Security Information And Event Management

SIM Security Information Management

SMSI System Management System Information

SNMP Simple Network Management Protocol

SOC Security Operation Center

SPL Search Programing Language

XML Extensible Markup Language

TABLE DES MATIERES

La multiplication et la diversification des systèmes techniques mis en œuvre induit une

La fin de la formation de master de transmission de données et de sécurité de l’information est

La présentation du mémoire s’articule autour de deux parties. La première partie, intitulée

Tout au long de ce premier chapitre, nous allons essayer de parler de la présentation et du

1.2 Présentation et contexte du sujet

➢ Comment faire pour se prémunir de certaines attaques ?

➢ Comment éviter le vol de données dans un système d’information ?

➢ Comment faire pour découvrir l’origine d’une attaque ?

➢ Comment éviter la perte de temps quand le système d’information est paralysé ?

➢ Quelle solution adéquate faut-il adapter ?

 Trouver une solution de prévention d’attaques

La non-répudiation : aucun utilisateur ne doit pouvoir contester les opérations qu'il a

Au cœur de ce chapitre, l’objectif sera de définir la notion de SIEM et de son fonctionnement,

2.2 Définition d’un SIEM

Figure 1 Interconnexion d’un SIEM

Le SIEM est avant tout un système de supervision centralisé de la sécurité. Il se compose de