1.

AlienVault OSSIM
OSSIM pour Open Source Security Information Management est un S.I.E.M. (Security
Information and Event Management). Il intègre une belle sélection d'outils sur mesure ayant
pour but d'aider les administrateurs du réseau dans la sécurité informatique, la prévention et la
détection d'intrusion. En tant que gestionnaire d'évènements, OSSIM a pour mission de
fournir en temps réel une analyse détaillée de la sécurité et des rapports administratifs de tous
les aspects relatifs à la sécurisation du système en combinant la gestion des logs et la gestion,
découverte des ressources avec les informations des systèmes de contrôles de l'information et
de détection dédiés. Ces données sont alors mises en corrélation pour fournir un aspect de
l'information alors invisible par l'analyse d'une seule pièce. OSSIM dispense ces fonctions en
utilisant d'autres logiciels libres bien connus et en les unifiant sous une unique interface
utilisateur. C'est cette interface qui fournit les graphiques les outils d'analyse relatifs aux
informations collectées via ces logiciels libres et permet une gestion centralisée des options de
configuration.

Les objectifs d'OSSIM sont :

· Fournir un cadre de gestion centralisé ;

· Fournir une console d'organisation ;

· Améliorer la détection et l'affichage des alarmes de sécurité.

Le but commun des trois principaux objectifs décrits ci-dessus est de permettre une réduction
des faux positifs et des faux négatifs. Ce but est d'autant plus difficile à atteindre du fait qu'un
volume considérable d'alarmes est présent. Il est donc nécessaire de relier ces différentes
alarmes entre elles afin d'obtenir des informations pertinentes et d'éliminer les alarmes inutiles
(levées pour rien). Cet objectif peut être atteint à l'aide d'un procédé d'analyse des données
nommé « Corrélation ». Le principe de fonctionnement d'OSSIM est forme de trois grandes
catégories :

· La detection;

· L'analyse et le monitoring ;

· La gestion.

1.1. La détection
Celle-ci est effectuée à l'aide de sondes capables de traiter l'information en temps réel et
d'émettre des alarmes lorsqu'une situation à risque est détectée.

 Méthodes de détection :

Une sonde peut utiliser différentes approches afin de déterminer si un évènement est à risque
ou non. En effet, deux grands principes complémentaires sont présents dans la détection
d'intrusions : la détection basée sur les signatures et la détection basée sur les anomalies.

 La détection par signatures

La détection par signatures identifie des évènements de sécurité qui tentent d'utiliser un
système de façon non standard. Les représentations d'intrusions sont donc stockées et
comparées à l'activité' du système. Lorsqu'une intrusion connue est repérée lors de l'utilisation
du système, une alarme est levée.

La détection par signatures a des limites. Elle ne connait pas l'objectif de l'activité
correspondant à une signature et va donc déclencher une alerte même si le trafic est normal.
De plus, la détection par signature exige de connaitre préalablement l'attaque afin de générer
la signature précise correspondante (fonctionnement par liste noire comme dans le cas des
antivirus par exemple). Ceci implique qu'une attaque encore inconnue ne pourra pas être
détectée par signature.

 Détection d'anomalies

La détection d'anomalies identifie une activité suspecte en mesurant une activité normale du
système sur un certain temps. Une alerte est ensuite générée lorsque le modèle s'éloigne de
l'activité normale du système.

Le principal avantage de la détection d'anomalies est qu'elle n'exige aucune connaissance

préalable des attaques. Si le module de détection par anomalie détermine qu'une attaque
diffère de façon significative de l'activité normale, il peut la détecter.

La détection d'anomalies possède ses limites. Toute la difficulté réside dans la période de
collecte des données correspondant à une activité désignée' comme normale pour alimenter la
base de données de référence.

1.2. L'analyse

La méthode de traitement des données peut être décomposée en trois phases distinctes :

• le preprocessing ou la génération des alarmes et envoi de celles-ci ;

• le rassemblement où toutes les alarmes précédemment envoyées (preprocessing) sont

emmagasinées dans un serveur central ;

• le Post-processing ou le traitement des données que l'on a emmagasiné.

Les deux premières étapes (preprocessing et rassemblement) ne présentent rien de nouveau
dans le cadre d'OSSIM. Celles-ci font principalement partie des méthodes de détection
mentionnées ci-dessus. OSSIM offrira uniquement de nouvelles méthodes d'analyse et

d'affichage des données récoltées. Il n'apportera en aucun cas de nouvelles solutions dans la
détection et le rassemblement des données.

Différentes méthodes d'analyse sont implémentées dans le cadre d'OSSIM :

• définition de la priorité des alarmes ;

• évaluation des risques ;

• corrélation.

 Définition de la priorité des alarmes :

Ce procédé permettra de déduire la priorité d'une alarme en fonction de son type, de la source
de l'éventuelle attaque ainsi que de sa cible. Les exemples suivants illustrent facilement
l'utilité de cette étape d'analyse :

• Une machine fonctionnant avec le système d'exploitation UNIX et hébergeant un serveur

Web Apache est mentionnée comme cible d'une attaque. Cette attaque a précédemment été
détectée comme possible à l'aide d'un scanner de vulnérabilités. La priorité de l'alerte sera
donc maximale puisque le serveur Web est vulnérable à l'attaque en question ;

 Evaluation des risques :

Le risque peut être défini comme étant la probabilité qu'une attaque survienne. En d'autres
termes, cette étape tente de définir si une menace est réelle ou pas. L'importance à donner à un
évènement dépend principalement de trois facteurs :

• La valeur du bien attaqué ;

• La menace représentée par l'attaque ;

• La probabilité que l'attaque apparaisse.

 Corrélation :

Ce procédé permet notamment de retrouver certaines relations entre différentes alarmes

indépendantes. Ceci permettra par exemple de découvrir des attaques noyées dans le flot des
alarmes ou encore de discréditer des alarmes (découverte de faux positifs).

1.3. Le monitoring :

Le monitoring consiste en l'affichage des informations fournies. Les consoles de monitoring

utilisent les différentes données produites par les procédés de corrélation pour la construction
d'un affichage efficace.
 1.4. Architecture d'OSSIM

L'architecture d'OSSIM est divisée en 2 principaux étages :

• Pre-processing, remontée d'évènements des moniteurs et détecteurs dans une base de

données commune ;

• Post- processing, analyse centralisée.

La figure 1 illustre le fonctionnement en 2 étages (comme mentionné ci-dessus). Il est à

remarquer que ces deux étages disposent de différentes bases de données permettant la
sauvegarde des informations intermédiaires (corrélées).

Figure 1 : Architecture d'OSSIM

• EDB est la base de données des évènements (la plus grande), stockant toutes les alarmes
individuelles ;

• KDB est la base de données des connaissances, sauvegardant les configurations établies par
l'administrateur en charge de la sécurité ;

• UDB est la base de données des profils, stockant toutes les informations du moniteur de
profil.

Afin d'aider à la compréhension, le cheminement d'une alarme dans l'architecture définie par
la figure précédente sera détaillé. Le schéma de la figure 15 illustre le fonctionnement décrit
ci-dessous :

1. détection d'un évènement suspect par un détecteur (par signatures ou par l'heuristique).

2. si nécessaire, des alarmes sont regroupées (par le détecteur) afin de diminuer le trafic
réseau.

3. le collecteur reçoit la/les alarme(s) via différents protocoles de communications ouverts.

4. le parseur normalise et sauvegarde les alarmes dans la base de données d'évènements

(EDB).
5. le parseur assigne une priorité aux alarmes reçues en fonction de la configuration des
politiques de sécurité définies par l'administrateur sécurité.

6. le parseur évalue le risque immédiat représenté par l'alarme et envoie si nécessaire une
alarme interne au `'panneau de contrôle».

7. l'alerte est maintenant envoyée à tous les processus de corrélation qui mettent à jour leurs
états et envoient éventuellement une alerte interne plus précise (groupe d'alerte provenant de
la corrélation) au module de centralisation.

8. le moniteur de risque affiche périodiquement l'état de chaque risque calcules par les
algorithmes heuristiques.

9. le panneau de contrôle affiche les alarmes les plus récentes et met à jour les indices des
états qui sont comparés aux seuils définis par l'administrateur. Si les indices sont supérieurs
aux seuils configurés, une alarme interne est émise.

10. depuis le panneau de contrôle, l'administrateur a la possibilité de visualiser et rechercher

des liens entre les différentes alarmes à l'aide de la console forensic.

Figure 2 : Flux de données du serveur OSSIM

1.5. Mode de fonctionnement d'OSSIM

Quand il est déployé, un serveur OSSIM commence par faire un scan complet du réseau pour
détecter et localiser ses utilisateurs. C'est l'étape de « l'assets discovering ». Son travail
débutera vraiment quand il commencera par respecter les lignes directrices et de définition
d'un S.I.E.M. Ses traits caractéristiques sont :

LMS (Log Management System). C'est un système qui collecte et conserve des fichiers
d'enregistrement log (des systèmes d'exploitation, applications...) de plusieurs hôtes et
systèmes de manière centralisée. Il peut permettre l'accès à ces données sur un serveur central
ou depuis chacun des systèmes.
SLM/SEM (Security Log/Event Management). C'est un système un peu comme un LMS,
mais commercialisé vers des analystes de sécurité plutôt que des administrateurs système.
SEM consiste à mettre en évidence les entrées de journal comme étant plus importantes pour
la sécurité que d'autres.

SIM (Security Information Management). C'est un système de gestion d'actifs, mais avec des
fonctionnalités pour intégrer des informations de sécurité aussi. Les hôtes peuvent avoir des
rapports de vulnérabilité répertoriés dans leurs résumés, les alertes de détection d'intrusion et
d'antivirus peuvent être montrées mappées aux systèmes concernés.

SEC (Security Event Corrélation). Pour un logiciel particulier, trois tentatives de connexion
échouées au même compte d'utilisateur provenant de trois clients distincts ne sont que trois
lignes dans leur fichier journal. Pour un analyste, il s'agit d'une séquence particulière
d'événements dignes d'investigation, et de log Corrélation (recherche de motifs dans les
journaux), ce qui est un moyen d'augmenter les alertes lorsque ces choses se produisent.

1.6. Outils Open Source :

 Nfsen et Nfdump

NfSen permet de générer des graphes qui correspondent au trafic réseau circulant sur des
élémentsactifs (commutateurs, routeurs, serveurs). Il est nécessaire que ces éléments
supportent le protocole Netflow ou le protocole Sflow, pour récolter des données de trafic.
NfSen se présente sous la forme d'une interface web permettant la consultation du volume des
données de trafic des éléments actifs qui sont récupérées par le collecteur associé à Nfdump.

 FProbe

outil qui collecte des données de trafic réseau et les émet comme NetFlow vers le collecteur
spécifié.

 Munin

est un outil de surveillance système et réseau open source sous licence publique générale
GNU. Il présente ses résultats sous forme de graphiques disponibles via une interface web. Il
possède une structure de plugins particulièrement simple qui permet d'enrichir rapidement
l'outil. Des plugins sont actuellement disponibles pour les systèmes d'exploitation suivants:
GNU/Linux, FreeBSD, NetBSD, Solaris et AIX.

 Nagios

Le logiciel de supervision Nagios, c’est un programme modulaire qui se décompose en trois

parties:
1. Le moteur de l’application qui vient ordonnancer les tâches de supervision.
2. L’interface web, qui permet d’avoir une vue d’ensemble du système d’information et des
possibles anomalies.
3. Les plugins, une centaine de mini programmes que l’on peut compléter en fonction de nos
besoins pour superviser chaque service ou ressource disponible sur l’ensemble des ordinateurs
ou éléments réseaux de notre SI.
  OpenVAS

OpenVAS est capable de scanner un équipement (machine ou matériel réseau), un ensemble

d'équipements (à partir d'un fichier ou d'une plage IP) ou encore un réseau entier. Le résultat
du scan fournira :

 la liste des vulnérabilités par niveaux de criticité,

 une description des vulnérabilités,
 et surtout la méthode ou un lien pour corriger le problème.

 OSSEC

Ossec est l'un des HIDS le plus utilisés.

 PRADS

PRADAS est synonyme de Système Passif de Détection d'actifs en temps réel. PRADS écoute
passivement le trafic réseau et recueille des informations sur les hôtes et les services qui
envoient du trafic. Une utilisation potentielle de ces données consiste à cartographier votre
réseau sans effectuer d'analyse active (aucun paquet n'est jamais envoyé), ce qui vous permet
d'énumérer les hôtes et les services actifs. Il peut également être utilisé avec votre
configuration IDS / IPS préférée pour la corrélation "événement à application".

 Snort

Snort est le premier Système de Prévention des Intrusions (IPS) Open Source au monde. Snort
IPS utilise une série de règles qui aident à définir l'activité réseau malveillante et utilise ces
règles pour trouver les paquets qui correspondent à eux et génère des alertes pour les
utilisateurs. Snort peut également être déployé pour arrêter ces paquets.

 TCPTrack

tcptrack affiche l'état des connexions TCP qu'il voit sur une interface réseau donnée. tcptrack
surveille leur état et affiche des informations telles que l'état, les adresses source / destination
et l'utilisation de la bande passante .

AlienVault
OSSIM
Product Availability Open Source Software Download

Pricing Open Source

Security Monitoring On-premises Physical & Virtual
Environments

Deployment Architecture Single Server Only

Asset Discovery & Inventory yes

Vulnerability Assessment yes

Intrusion Detection yes

Behavioral Monitoring yes

SIEM event Correlation yes

Log Management no

AWS & AZURE Cloud monitoring no

Cloud Apps Security Monitoring no

Security Orchestration & Automation no

Integration With Third-party Ticketing no

Software (JIRA, ServiceNow)
Community Support via product Forums yes

Powered by the Open Threat Exchange yes

Continuous Threat Intelligence no
Dedicated Phone & Email support no

Online Product Documentation & Knowledge no

Base
Rich Analytics Dashboards & Data no
visualization

2. SIEMonster :
SIEMonster est le fruit d'une équipe de hackers professionnels avec plus de 20 ans
d'expérience dans le piratage d'entreprises du monde entier. En utilisant cette expérience, SIE
Monster a construit des outils SIEM de sécurité modernes pour les entreprises souhaitant
détecter les menaces et les risques pour leur organisation.

2.1 Caractéristiques :

 Comportement Humain

Chaque utilisateur a une empreinte comportementale, c'est-à-dire une façon unique et nuancée
d'utiliser son propre ordinateur. Les empreintes comportementales peuvent être surveillées
pour détecter lorsque quelque chose change et que le risque augmente, lorsque l'utilisateur ne
se comporte tout simplement pas comme il le fait habituellement. SIEMonster propose
désormais des options de corrélation des comportements humains pour enrichir vos alertes et
minimiser les faux positifs.

 Renseignements Sur les Menaces

SIE Monster fournit des informations sur les menaces en temps réel avec des flux
commerciaux ou opensource pour arrêter les attaques en temps réel

 Apprentissage Profond

En utilisant l'apprentissage automatique, l'analyse du comportement basée sur l'homme

montre que l'apprentissage DIE Monster Deep Learning diminue automatiquement les
attaques.

2.2 Outils Open Source :

 Open Distro

pour Elasticsearch fournit un système de surveillance et d'alerte d'événements puissant et

facile à utiliser, vous permettant de surveiller vos données et d'envoyer automatiquement des
notifications à vos parties prenantes. Avec une interface Kibana intuitive et une API
puissante, il est facile de configurer et de gérer les alertes. Créez des conditions d'alerte
spécifiques à l'aide des fonctionnalités de requête et de script d'Elasticsearch. Les alertes
aident les équipes à réduire les temps de réponse pour les événements opérationnels et de
sécurité.

 Shuffle SOAR
 The Hive

est utilisée dans la plate-forme SIEMonster comme système de réponse aux incidents / de
gestion des evenement. Il est harmonise avec Alerting, MISP, OpenCTI, Patrowl and Cortex
pour automatiser le processus de création d'incidents. Pour simplifier la vie des SOC, des
CSIRT et des CERT, toutes les informations relatives à un incident de sécurité sont présentées
les pour examinées. Tout en évaluant et en excluant les faux positifs, l'équipe SOC reçoit une
indication des prochaines étapes à suivre.

 Cortex

Cortex peut analyser (et trier) les observables à grande échelle en utilisant plus de 100
analyseurs. vous pouvez réagir activement aux menaces et interagir avec d'autres partis grâce
aux répondeurs Cortex. Au sein de la plate-forme de SIEMonster, Cortex est pré-intégré à
TheHive et MISP pour vous permettre de fonctionner.

 MITRE ATT&CK

MITRE ATT & CK est une base de connaissances mondialement accessible sur les tactiques
et les techniques de l'adversaire basée sur des observations du monde réel. L'intégration au
sein de la plate-forme SIE Monster fournit des informations détaillées sur les attaques.

 MISP Framework

est une plate-forme de renseignement sur les menaces permettant de partager, de stocker et de
corréler des indicateurs de compromission d'attaques ciblées, des renseignements sur les
menaces, des informations sur la fraude financière, des informations sur les vulnérabilités ou
même des informations antiterroristes .L'intégration au sein de la plate-forme SIEMonster est
préconfigurée pour Cortex et OpenCTI.

 Ni-FI

NiFi est utilisé pour ingérer les données du journal des événements entrants de la file d'attente
des messages Kafka. Divers modèles ont été fournis pour différents types de points de
terminaison, y compris, mais sans s'y limiter, Active Directory, les dispositifs de pare-feu et
VPN courants, les agents HIDS et les flux IDS.Tous les flux de données sont visualisés, ce
qui permet à l'analyste de visualiser en temps réel les flux de journaux et les métriques. Des
modèles sont également fournis pour aider à ajouter de nouvelles sources avec des options de
débogage.
  PatrOwl

Patrol est une plate-forme avancée pour orchestrer les opérations de sécurité telles que les
tests d'intrusion, l'Évaluation des vulnérabilités, la révision du Code, les contrôles de
conformité, la Recherche/la Recherche de Cybermenaces et les Opérations SOC. Au sein de la
plate-forme SIEMonster, Patrowl est intégré à Cortex et TheHive. L'actif à évaluer peut être
ajouté seul ou en bloc à l'aide de la fonction d'importation d'actif.

 OpenCTI

Open CTI est une plate-forme open source permettant aux organisations de gérer leurs
connaissances et observables en matière de cybermenaces. Il a été créé afin de structurer,
stocker, organiser et visualiser des informations techniques et non techniques sur les
cybermenaces. OpenCTI est intégré à MISP, TheHive et MITRE ATT & CK au sein de la
plate-forme SIEMonster et dispose d'un connecteur pour les informations CVE.

 Alerting

est fournie par Open Distro Kibana .Plus de 30 types d'alertes pré-prédéfinies sont fournis
pour vous aider à être opérationnel. Les requêtes typiques incluent celles pour les anomalies,
les agrégations, la correspondance de modèles ainsi que la corrélation entre les menaces
intel/Mitre, les indicateurs de compromis (IOC), la correspondance des signatures NID et les
vulnérabilités des actifs. Les alertes peuvent être configurées pour créer automatiquement des
tickets dans le module de réponse aux incidents TheHive.

 Message Queuing – Kafka

apache Kafka est un système de mise en file d'attente de messages de publication/abonnement

qui est utilisé dans SIEMonster. Les événements entrants sont initialement stockés dans
Apache Kafka avant d'être traités dans Nifi, puis envoyés à Elasticsearch. Cela fournit un
tampon en cas de rafales d'activité tout en fournissant un système de gestion de point de
terminaison par sujet avec des options pour la création de flux d'alertes en temps réel.

 Reporting

Cet outil permet de générer des rapports automatisés et de les envoyer à la personne
appropriée sur tout événement, tel que MacAfee Anti-Virus, qui a détecté un virus mais n'a
pas nettoyé et d'envoyer ces éléments de suivi dans un rapport. Les rapports sont disponibles
au format PDF ou XLS.

 Wazuh

Wazuh est une plate-forme libre et open source pour la détection des menaces, la surveillance
de la sécurité, la réponse aux incidents et la conformité réglementaire. Il peut être utilisé pour
surveiller les points de terminaison, les services cloud et les conteneurs, et pour agréger et
analyser des données provenant de sources externes. Wazuh est utilisé pour collecter, agréger,
indexer et analyser des données de sécurité, aidant les organisations à détecter les intrusions,
les menaces et les anomalies comportementales.Wazuh est intégré au module Tableaux de
bord de SIEMonster et des alertes pré-prédéfinies sont également configurées.

 Suricata

Suricata est un moteur de détection de menaces open source développé par l'Open
Information Security Foundation (OISF). Suricata peut agir comme un système de détection
d'intrusion (IDS) et un système de prévention d'intrusion (IPS), ou être utilisé pour la
surveillance de la sécurité du réseau. Il a été développé aux côtés de la communauté pour
aider à simplifier les processus de sécurité. En tant qu'outil gratuit et robuste, Suricata prend
également en charge les scripts Lua pour surveiller les menaces plus complexes.SIEMonster
fournit un pipeline Suricata qui effectue la capture et l'analyse de paquets sur l'interface réseau
locale, agissant comme un ID basé sur l'hôte. Les données résultantes sont ensuite envoyées à
Kafka avant d'être ingérées par Elasticsearch.
 3. Wazuh :
Wazuh est une solution open source pour l'entreprise permet la détection des menaces, la
surveillance de l'intégrité, la réponse aux incidents et la conformité.

31. Les services :

 Analyse de Sécurité

Wazuh est utilisé pour collecter, agréger, indexer et analyser des données de sécurité, aidant
les organisations à détecter les intrusions, les menaces et les anomalies comportementales.À
mesure que les cybermenaces deviennent de plus en plus sophistiquées, une surveillance et
une analyse de sécurité en temps réel sont nécessaires pour une détection et une correction
rapides des menaces. C'est pourquoi notre agent fournit les capacités de surveillance et de
réponse nécessaires, tandis que notre composant serveur fournit les informations de sécurité et
effectue l'analyse des données.

 Détection D'Intrusion

Les agents Wazuh analysent les systèmes surveillés à la recherche de logiciels malveillants,
de rootkits et d'anomalies suspectes. Ils peuvent détecter des fichiers cachés, des processus
masqués ou des écouteurs réseau non enregistrés, ainsi que des incohérences dans les
réponses aux appels système.En plus des capacités de l'agent, le composant serveur utilise une
approche de détection d'intrusion basée sur les signatures, en utilisant son moteur d'expression
régulière pour analyser les données de journal collectées et rechercher des indicateurs de
compromission.

 Analyse des Données du Journal

Les agents Wazuh lisent les journaux du système d'exploitation et des applications et les
transmettent en toute sécurité à un gestionnaire central pour une analyse et un stockage basés
sur des règles. Les règles de Wazuh aident à vous informer des erreurs d'application ou de
système, des erreurs de configuration, des tentatives et / ou des activités malveillantes
réussies, des violations des règles et de divers autres problèmes de sécurité et opérationnels.

 Surveillance de l'Intégrité des Fichiers

Wazuh surveille les fichiers et identifie les modifications du contenu, des autorisations, de la
propriété et des attributs des fichiers que vous devez surveiller. De plus, il identifie
nativement les utilisateurs et les applications utilisés pour créer ou modifier des fichiers.

 Détection des Vulnérabilités

Les agents Wazuh extraient les données d'inventaire des logiciels et envoient ces informations
au serveur, où elles sont corrélées avec des bases de données CVE (Common Vulnerabilities
and Exposure) continuellement mises à jour, afin d'identifier les logiciels vulnérables bien
connus. L’évaluation automatisée des vulnérabilités vous aide à trouver les points faibles de
vos actifs critiques et à prendre des mesures correctives avant que des attaquants ne les
exploitent pour saboter votre entreprise ou voler des données confidentielles.

 Évaluation de la Configuration

Wazuh surveille les paramètres de configuration du système et de l'application pour s'assurer

qu'ils sont conformes à vos politiques de sécurité, normes et / ou guides hardening. Les agents
effectuent des analyses périodiques pour détecter les applications qui sont connues pour être
vulnérables, non corrigées ou configurées de manière non sécurisée.

 Intervention en Cas d'Incident

Wazuh fournit des réponses actives prêtes à l'emploi pour effectuer diverses contre-mesures
pour faire face aux menaces actives, telles que le blocage de l'accès à un système à partir de la
source de la menace lorsque certains critères sont remplis.En outre, Wazuh peut être utilisé
pour exécuter à distance des commandes ou des requêtes système, identifier des indicateurs de
compromission (IOC) et aider à effectuer d'autres tâches de criminalistique en direct ou de
réponse aux incidents.

 Conformité Réglementaire

Wazuh fournit certains des contrôles de sécurité nécessaires pour se conformer aux normes et
réglementations de l'industrie. Ces fonctionnalités, combinées à son évolutivité et à sa prise en
charge multiplateformes, aident les organisations à répondre aux exigences de conformité
technique.

 Sécurité dans le Cloud

Wazuh aide à surveiller l'infrastructure cloud au niveau de l'API, en utilisant des modules
capables d'extraire des données de sécurité de fournisseurs de cloud bien connus, tels
qu'Amazon AWS, Azure ou Google Cloud. De plus, Wazuh fournit des règles pour évaluer la
configuration de votre environnement cloud, en détectant facilement les faiblesses. De plus,
les agents et multiplateformes Wazuh sont couramment utilisés pour surveiller les
environnements cloud au niveau des instances.

 Sécurité des Conteneurs

Wazuh fournit une visibilité de sécurité sur vos hôtes et conteneurs Docker, surveillant leur
comportement et détectant les menaces, les vulnérabilités et les anomalies. L'agent Wazuh a
une intégration native avec le moteur Docker permettant aux utilisateurs de surveiller les
images, les volumes, les paramètres réseau et les conteneurs en cours d'exécution.
 1.7. Architecture :

L'architecture Wazuh est basée sur des agents, exécutés sur les points de terminaison
surveillés, qui transmettent les données de sécurité à un serveur central. De plus, les
dispositifs sans agent (tels que les pare-feu, les commutateurs, les routeurs, les points d'accès,
etc.) sont pris en charge et peuvent soumettre activement des données de journal via Syslog,
SSH ou en utilisant leur propre API. Le serveur central décode et analyse les informations
entrantes et transmet les résultats à un cluster Elasticsearch pour l'indexation et le stockage.Un
cluster Elasticsearch est un ensemble d'un ou plusieurs nœuds qui communiquent entre eux
pour effectuer des opérations de lecture et d'écriture sur des index. Les petits déploiements
Wazuh, qui ne nécessitent pas de traitement de grandes quantités de données, peuvent
facilement être gérés par un cluster à nœud unique. Les clusters multi-nœuds sont
recommandés lorsqu'il existe un grand nombre de points de terminaison surveillés, lorsqu'un
grand volume de données est anticipé ou lorsqu'une haute disponibilité est requise.Pour les
environnements de production, il est recommandé de déployer le serveur Wazuh et

Elasticsearch sur différents hôtes. Dans ce scénario, Filebeat est utilisé pour transférer en
toute sécurité des alertes Wazuh et/ou des événements archivés vers le cluster Elasticsearch
(nœud unique ou nœud multiple) à l'aide du cryptage TLS.

 L'agent Wazuh envoie en continu des événements au serveur Wazuh pour

analyse et détection des menaces. Afin de commencer à les expédier, l'agent
établit une connexion avec le service serveur pour la connexion des agents.
 Le serveur Wazuh utilise Filebeat pour envoyer des données d'alerte et
d'événement au serveur Elasticsearch, en utilisant le cryptage TLS. Filebeat lit
les données de sortie du serveur Wazuh et les envoie à Elasticsearch .Une fois
les données indexées par Elasticsearch, Kibana est utilisé pour extraire et
visualiser les informations.L'interface utilisateur web de Wazuh fonctionne à
l'intérieur de Kibana, en tant que plugin.
 4. Conclusion :
SIEM Avantages
AlienVault  OSSIM offre la possibilité de faire
l'expérience des fonctionnalités
OSSIM SIEM de base sans dépenser autant
en coûts de licence.
 OSSIM peut être déployé sur site
sur des environnements physiques
ou virtuels, mais l'installation est
limitée à un seul serveur.
 Le soutien de la communauté est
fourni via des forums de produits.
SIEMonster  L'édition communautaire est
l'édition de serveur unique open
source gratuite pour les entreprises
comptant jusqu'à 100 points de
terminaison.
 L'édition communautaire prend en
charge les fonctionnalités de
renseignement et de signalement
des menaces en temps réel.
 Il peut être déployé sur le cloud à
l'aide de conteneurs Docker, ainsi
que sur des machines physiques et
virtuelles (mac OS, Ubuntu,
CentOS et Debian).
Wazuh  Gestion centralisée des journaux de
sécurité pour tous les journaux des
points de terminaison (serveurs,
appliances réseau, Clients et
applications).
 Il dispose d'un agent propriétaire,
qui peut être installé sur des points
de terminaison Linux ou Windows
pour collecter des journaux de
sécurité et les envoyer formatés au
gestionnaire Wazuh pour des
analyses de journaux.
 L'agent extrait les données
d'inventaire des logiciels sur les
points de terminaison et envoie ces
informations au gestionnaire, où
elles sont évaluées par rapport aux
bases de données CVE open source
telles que NVD, qui sont
continuellement mises à jour. Il
Désavantages
 OSSIM est difficile à
configurer et à
personnaliser, en particulier
dans les environnements
Windows.
 Il dispose également d'une
gestion limitée des
journaux, des applications et
de la surveillance des bases
de données.
 n'est pas facilement
évolutive.
 n'offre pas d'analyse
comportementale des
utilisateurs, d'apprentissage
automatique et, surtout, de
support.
 sa capacité de production de
rapports est limitée à deux
rapports seulement.
 Bien que Wazuh fournisse
des réponses actives prêtes à
l'emploi pour effectuer
diverses contre-mesures
pour faire face aux menaces
actives, telles que bloquer
l'accès à un système à partir
de la source de la menace
lorsque certains critères sont
remplis, ce domaine est
encore nouveau dans
Wazuh et il n'est pas encore
assez mature pour l'activer
dans un environnement de
production réel.
 Manque de matériel de
formation suffisant pour
l'ensemble de la pile. Par
exemple, dans de nombreux
cas, il faut continuer à
 fournit une détection complète des définir ses propres
vulnérabilités basée sur les agents décodeurs (des
sur l'ensemble de vos systèmes correspondances basées sur
surveillés. des expressions régulières
 La surveillance de l'intégrité des pour extraire les champs
fichiers (FIM) est un autre aspect obligatoires) et des règles
intéressant de Wazuh. Ici, vous pour ces décodages, et
pouvez définir des fichiers ou des croyez-moi, ce n'est pas si
chemins spécifiques, même avec facile! Cependant, cela vaut
leur niveau de récursivité, et laisser la peine d'apprendre.
leur contenu être surveillé. Dès
qu'un changement sur eux se
produit, vous verrez dans le
gestionnaire, qui, quand, a changé
quoi et comment (quelle
commande).
 L'évolutivité est une autre
caractéristique très importante.
Comme il s'agit d'Elasticsearch,
vous pouvez ajouter vos nœuds et
construire votre cluster à mesure
que vos points de terminaison
grandissent.