Vous êtes sur la page 1sur 31

PARTIE 2 : ADMINISTRATION ET SUPERVISION DES RESEAUX

DOSSIER PROJET MASTER 2 RESEAUX et TELECOMMUNICATIONS

Prsent par : Habib BALE Thillo TALL

TABLE DES MATIRES


Introduction .........................................................................................................................3 1. LogLogic .........................................................................................................................4 A. Presentation ................................................................................................................4 B. Collecte .......................................................................................................................4 C. Normalisation ..............................................................................................................4 D. Agrgation ..................................................................................................................4 E. Corrlation ..................................................................................................................4 F. Gestion des alertes .....................................................................................................5 2. Prelude ...........................................................................................................................6 A. Prsentation ................................................................................................................6 B. Collecte .......................................................................................................................6 C. Normalisation ..............................................................................................................6 D. Agrgation ..................................................................................................................7 E. Corrlation ..................................................................................................................7 F. Gestion des alertes .....................................................................................................7 3. Net Report ......................................................................................................................9 A. Presentation ...............................................................................................................9 B. Net Report Monitoring Center .....................................................................................9 C. Net Report Tool Kit .....................................................................................................9 D. Net Report appliances ................................................................................................9 E. L offre Net Report en contexte ..................................................................................10 F. Collecte .....................................................................................................................11 G. Filtrage et Enrichissement des donnes ...................................................................11 H. Base de donnes ......................................................................................................11 I. Gnration de tableaux de bord ................................................................................12 J. Customisation des Rapports ......................................................................................12 K. Corrlation et Alerting ...............................................................................................12 4. Log One de NS One .....................................................................................................14 A. Presentation ..............................................................................................................14 B. Principe de fonctionnement .......................................................................................14 C. Collecte.....................................................................................................................14 D. Rapatriement, filtrage, corrlation et stockage ..........................................................14 E. Elaboration de rapports dtaills ...............................................................................15 5. Cisco Security Mars .....................................................................................................16 A. Presentation ..............................................................................................................16 B. Les appliances CS MARS .........................................................................................16 C. La gestion des problmatiques STM .........................................................................18 D. La gestion des alarmes avec CS MARS ...................................................................20 E. Gestion de l'archivage avec CS MARS .....................................................................21 F. Les rapports sous CS MARS.....................................................................................21 G.Quelques considrations d'architecture .....................................................................24 6. Arcsight ESM ................................................................................................................25 A. Presentation:.............................................................................................................25 B. Arcsight manager ......................................................................................................27 C. Collecte.....................................................................................................................27 D. Arcsight Base de Donnes........................................................................................28 E. Analyse de la securit avec la console arcsight ........................................................28 F. Gestion des alertes ...................................................................................................29 G. Corrlation ................................................................................................................29 H. Automatisation de conformit....................................................................................30 Conclusion : ......................................................................................................................31

INTRODUCTION
Depuis quelques annes, les entreprises peroivent l'intrt d'exploiter les nombreuses traces, vnements et autres donnes d'audit logicielles, pour obtenir une image plus objective de leur scurit informatique. A ce besoin, les diteurs ont rpondu par une gamme de produits communment appels SIEM. Sans entrer dans le dbat smantique consistant utiliser cette appellation gnrique ou une typologie plus pointue distinguant les SEM (Security Event Management) qui n'exploitent que des donnes vnementielles (logs), des SIM (Security Information/Incident Management) qui prennent en compte d'autres sources (rsultats de scans par l'antivirus, par exemple), le SIEM-type est une couche de collecte filtrant diffrentes sources pour ne conserver que les vnements de scurit informatique. C'est aussi une couche de stockage souvent centralis, une couche de valorisation (corrlation, alerte, reporting) permettant d'exploiter les vnements de scurit et une couche de prsentation. Les SIEM ont une architecture souvent complexe, une centralisation frquente des donnes qui n'est pas toujours compatible avec les contraintes d'utilisation d'une grande entreprise (organisation gographiquement distribue) et une orientation trop SSI, limitant le ROI la source (filtrage lors de la collecte), mme si les SIEM ont trouv un second souffle bienvenu, avec les grands projets de conformit de type SOX. Ces critiques rcurrentes ont conduit l'mergence des solutions dites de Log Management ou Gestion des Logs, conciliant des possibilits de collecte beaucoup plus larges, des capacits de stockage ad hoc et des fonctionnalits basiques de requte et de reporting. Ce nouveau march s'articule aussi bien autour de pure players - LogLogic tant le plus connu d'entre eux - que d'diteurs de SIEM ayant senti la tendance et compltant leur offre avec des composants ddis au log management : ArcSight avec ArcSight Logger et ArcSight Connectors,CS-MARS avec certaines appliances de la srie, Log One, etc. Malgr cette effervescence marketing, les diffrents acteurs du march semblent converger plus ou moins rapidement vers une architecture gnrique qui s'appuie sur des appliances plutt que sur des composants logiciels (simplicit d'installation puis d'administration, rduction des cots matriels et de fonctionnement). Nous dans les lignes qui suivent allons faire une tudes comparative des differentes solution SIEM

1. LOGLOGIC

A. PRESENTATION
Loglogic, anciennement Exaprotect a t cr en 2004 par la socit franaise Exaprotect. Celle-ci a t rachete en 2009 par l entreprise amricaine LogLogic et est donc devenu LogLogic par la mme occasion. De plus, LogLogic est une appliance , c'est--dire que le logiciel est indissociable du matriel.

B. COLLECTE
Loglogic fonctionne en mode actif, il faut donc dployer des agents sur les quipements surveiller pour qu ils ralisent la collecte. Les agents n ont presque pas de configuration, ils dterminent lors de l installation le format des logs collecter et agissent ensuite en autonomie. C'est--dire qu ils collectent les logs, les normalisent, puis les envoient de faon scurise au SIEM. Si un agent n est pas nativement compatible avec un quipement, il faut alors configurer l agent pour qu il puisse comprendre ceux-ci l aide de rgles pour parser ceux-ci. L avantage de Loglogic est sa simplicit de mise en oeuvre. Les agents s installent facilement et la configuration est simplifie. La configuration peut de surcroit tre ralise distance depuis le manager de Loglogic. Les changes entre les agents et le SIEM sont scuriss par TLS.

C. NORMALISATION
Loglogic utilise le format normalis IDMEF. Les Logs sont normaliss par les agents avant qu ils envoient les alertes au manager. Le choix d un format normalis (IDMEF) permet que les logs soient comprhensibles par le SIEM et facilement trait par celui-ci.

D. AGREGATION
LogLogic possde un moteur d agrgation paramtrable l aide de rgles. C est une tape importante qui dtermine comment les vnements seront regroups avant d tre envoys au corrlateur. En plus d tre affichs dans la console graphique de LogLogic, les vnements agrgs sont regroups par critres dfinis au pralable, ce qui permet une meilleure corrlation car les vnements sont dj rassembls pour tre corrls, et peuvent mme tre fusionns ou redfinis.

E. CORRELATION
Toutes les alertes reues par LogLogic sont transmises au moteur d agrgation, puis au corrlateur et celui-ci les traite en fonction de ses rgles de corrlation. Quand une alerte de corrlation est cre, elle est stocke dans la base de donnes et est affiche dans la console graphique. LogLogic permet de dfinir des scnarios qui sont des regroupements d alertes de corrlation. Cela ajoute un traitement supplmentaire par le SIEM.

F. GESTION DES ALERTES


Loglogic peut raliser un reporting en fonction du type d alerte dtecte. On peut donc dcider que pour un type d attaque dtect on ralise une action particulire. Les actions ralisables par Loglogic sont nombreuses : on peut envoyer un mail, un SMS, envoyer l incident un autre serveur, ou mme crer un trap SNMP De plus Loglogic ralise automatiquement des rapports dynamiques, qui sont composs de graphiques et de rsumes des attaques rpertories. La rponse se fait par l envoi d incidents IODEF ou Alertes de corrlation IDMEF un moteur de raction quelconque. Celui-ci agira en fonction des vnements reus.

Figure 1 : schma de fonctionnement d'un SIEM dans LogLogic

2. PRELUDE

A. PRESENTATION
Prelude est un SIEM issu d un projet open source qui fut cr en 1998 par Yoann Vandoorselaere. Ce projet est n de l ide que le nombre de systmes de dtection d intrusion augmentait mais qu il n existait pas de systme pour les faire communiquer entre eux, ce qui diminuait leur efficacit.

B. COLLECTE
Prelude fonctionne en mode actif, c est dire qu il utilise des agents qui sont installs sur les systmes surveiller et qui vont s occuper de la phase de collecte. Dans un premier temps, l agent (appel Prelude-LML) doit tre configur, Il faut indiquer celui-ci les formats de logs des logiciels surveiller pour que celui-ci puisse les prendre en compte. Ensuite, l agent dmarr peut collecter les logs de deux faons diffrentes : soit il surveille les journaux systmes de l hte sur lequel il est install, soit il reoit les journaux venant de diffrentes machines places sur le rseau. Ces messages sont scuriss (en TLS) et possdent un mcanisme d'autorgulation pour ne pas surcharger le rseau. L intrt de cette deuxime mthode est de permettre aux systmes ne supportant pas l agent Prelude de pouvoir tre surveills en envoyant leurs logs un agent distant. Une fois les informations rcupres, l agent les compare avec ses jeux de rgles (bass sur des expressions rgulires) et si une condition prcise est reconnue, un vnement de scurit est cr. L avantage de cette mthode de collecte est la flexibilit par rapport au rseau. Les mcanismes mis en place empchent la perte de paquet (autorgulation, rmission) et assurent leurs intgrits. Par contre, la confidentialit (chiffrement TLS) n est pas assure totalement car seuls les changes entre l agent et le manager sont scuriss, contrairement aux changes entre l agent et les systmes distants, qui lui envoient leurs logs. Un autre avantage est le mode sonde : ce mode permet qu un agent soit directement patch au code source d un logiciel de scurit (ils sont alors indissociables).

C. NORMALISATION
Prelude a particip au projet Intrusion Detection Message Exchange Format (IDMEF). C est donc evidement ce format qui fut choisit pour le SIEM. La normalisation est ralise par l agent Prelude-LML qui formate les vnements avant de les envoyer au manager. L IDMEF est un format de message pour les vnements de scurit et les alertes de corrlation. Il sert donc uniquement mettre en forme ceux-ci. Les vnements et alertes sont donc dcrits par ce format de manire tre trait plus facilement par le SIEM. L atout principal de faire normaliser les logs par l agent est d allger le traitement ralis par le manager. De plus, le choix d un format normalis permet une comprhension simplifie et une plus grande adaptabilit.

D. AGREGATION
Prelude ne fait pas d agrgation car il n y a aucun traitement sur les vnements, cependant il possde un systme pour amliorer le traitement des informations par les utilisateurs.

E. CORRELATION
Tous les vnements envoys au manager sont stocks puis transmis au moteur de corrlation appel Prelude-Correlator. Ce moteur se base sur des rgles (crites en langage python) pour analyser les vnements de scurit et ainsi crer des alertes de corrlation . Ces alertes sont alors renvoyes au manager qui les stocke. Le systme de corrlation est encore instable, on pourra mettre en avant que l criture des rgles est complexe, car elle demande une bonne comprhension du langage python, de la norme IDMEF, du rseau surveill et des attaques surveilles.

F. GESTION DES ALERTES


Prelude peut raliser le reporting de trois faons : Lorsque que des vnements sont dtects, il affiche les alarmes via sa console graphique Prewikka. Il peut aussi prendre la dcision de transmettre l alerte un autre manager Prelude (dans le cas d un fonctionnement hirarchique). Il peut galement, grce un plugin , envoyer des mails d alerte contenant l alerte dtecte. Prelude possde des ajouts transmettant les alertes des moteurs de raction.

Figure 1 : Schma du fonctionnement du SIEM Prelude

3. NET REPORT

A. PRESENTATION
La socit Net Report a t cre en 2001 dans le but de fournir une solution globale l exploitation des vnements logs et pour donner une lisibilit aux vnements. En 2003, Net Report a fusionn avec la socit DataSet. DataSet est spcialise dans les solutions de Business Intelligence depuis plus de 10 ans. En 2004, Net Report fournit : Des solutions complte d exploitation des logs : produits Net Report. Outils d analyse de logs et gestion proactive des vnements de scurit. Il offre deux offres pour les entreprises :

Net Report Log Analyser Net Report Monitoring Center Net Report Tool Kit Net Report appliance
Net Report Log Analyser permet de centraliser et stocker l ensemble de vos logs en un point central, c est l outil indispensable pour l analyse de l activit de vos quipements Firewalls, IPS, UTM, Proxy, Web, Domains Windows, Serveur de Messagerie et Serveur Anti-Virus... Avec plus d une centaine de tableaux de bord.

B. NET REPORT MONITORING CENTER


Net Report Monitoring Center rpond l ensemble des problmatiques d exploitation des logs. Centralisant l ensemble des vnements en un point central. Net Report analyse en temps rel l activit de votre infrastructure scurit et rseaux. Vritable solution de Business Intellignce, elle gnre des alertes, offre un reporting avanc grce des tableaux de bords dcisionnels, ainsi que des outils d investigation volus (cubes OLAP) afin de vous apporter une vision complte de vos vnements en temps rel.

C. NET REPORT TOOL KIT


Analyse des volumes importants de donnes sous plusieurs angles sur de multiples sources de donnes, crez des requtes ad hoc et des rapports personnaliss avec la charte graphique de l entreprise.

D. NET REPORT APPLIANCES


Les Appliances Net Report offrent une souplesse de configuration dans un chssis 2U et sont destins aux socits qui souhaitent une capacit de traitement maximum dans un espace minimum.

E. L OFFRE NET REPORT EN CONTEXTE


Le diagramme ci-dessous illustre les parties propres chacun de nos 3 produits : Net Report Log Analyser, Net Report Monitoring Center* et Net Report Tool Kit dans une architecture :

F. COLLECTE
La collecte se fait : A partir de priphriques htrognes Net Report supporte les principales catgories d quipements du march : Firewall, Proxy, Serveurs, IPS (Intrusion Prevention System), IDS (Intrusion Detection System), Serveur E-mail, Serveur d Authentification, Passerelle Anti-Virus, Serveur Web. A partir de diffrents format de logs / mdia Les donnes peuvent tre collectes soit en Syslog*, partir de fichier Flat File ou travers certains protocoles propritaires tels que CheckPoint LEA, Windows WMI ou Radius. Les logs en fonction des mdias peuvent tre collectes en temps rel ou en temps diffr. * Net Report est lui-mme serveur Syslog Centralisation en 1 point unique Toutes les donnes sont centralises dans une base de donnes pour la gnration des tableaux de bords et pour l investigation. Format de logs archivables Net Report archive tous les fichiers de logs au format, syslog, fichiers plat ou API propritaires. Valeur lgales Les logs sont stocks dans leur format natif afin d tre prsents si ncessaire comme preuve lors d une enqute ou commission rogatoire. Intgrit, Compression et Chiffrement Les fichiers de logs sont signs, compresss et chiffrs de manire journalire (par type de priphrique et/ou date). Archivage Les donnes sont collectes et stockes en format brut travers le module Net Report Log Archive afin d assurer l intgrit des donnes dans le temps. Les fichiers de donnes brutes sont signs, compresss et chiffrs avant d tre archivs.

G. FILTRAGE ET ENRICHISSEMENT DES DONNEES


Le moteur Net Report ULA (Universal Log Analyser) analyse, normalise, filtre les donnes en temps rl. Les donnes peuvent tre enrichies en temps rel par des informations contenues dans des sources externes (RDNS, Annuaire LDAP, Table SQL, dictionnaires) afin d en amliorer la lisibilit. Chaque moteur Net Report permet d insrer dans la base de donnes plusieurs dizaines de millions d vnements par jour.

H. BASE DE DONNEES
Net Report agrge, consolide et purge les donnes dans la base de donnes de manire automatique. Ces actions planifies permettent de rduire de manire considrable le volume dans les bases de donnes (Coefficient de 25 pour les quipements de type proxy ou Firewalls)

I. GENERATION DE TABLEAUX DE BORD


La gnration des tableaux de bord peut tre automatise et planifie dans le temps (tche journalire, hebdomadaire ou mensuelle) Les tableaux de bord peuvent galement tre gnrs en temps rel. Des fonctions avances de Drill-Drown permettent une navigation intuitive et offrent la possibilit d aller rapidement aux informations de dtails.

J. CUSTOMISATION DES RAPPORTS


Notre tool kit (rapports) vous permet de crer vos rapports spcifiques et de personnaliser le look & feel de vos tableaux de bord.

K. CORRELATION ET ALERTING
Des fonctions avances de corrlation et d alerting vous permettent de dtecter en temps rel les attaques et d identifier les vulnrabilits. Net Report remonte en temps rel les alertes vos quipes techniques via e-mail, Trap SNMP ou sur notre propre console (Q2 2006) dans le but d isoler et de rsoudre rapidement les problmes potentiels. La Console d alerte permet de plus de grer le niveau des alertes, de les filtrer ou de les acquitter. Net Report fournit plus d une centaine d alertes et d exemples de corrlation par dfaut. Il offre des simples et multi-quipements par dfaut. Les alertes sont envoyes sur une console d alerte web ou par email, par Trap SNMP et/ou par Syslog. La Console web vous permet de facilement grer les alertes en temps rel. Les administrateurs peuvent facilement utiliser la fonction avance pour crer des alertes et des actions personnalises. Net Report corrle les vnements d une gamme importante d quipements rseaux pour faciliter la prise des dcisions et garantir un niveau lev de scurit. Net Report offre un moyen simple de dfinir certaines constantes d vnements, de rgles et des actions lies afin de simplifier le monitoring des vnements rseaux. Net Report offre quatre moyens de corrler des vnements de scurit des quipements divers pour identifier des incidents de scurit et le dclenchement des alertes : Dclencher une alerte quand les modles / les conditions / les relations prdfinis sont atteints / satisfaits. Dclencher une alerte quand un seuil est atteint avec un timeout de session prdfini (Compteur de mmoire). Dclencher une alerte si une des actions ci-dessus est identifie, et corrle avec des donnes dans la base de donnes, ou dans un dictionnaire. Dclencher une alerte quand le rsultat d une requte dans la base de donnes atteint certains des critres dfinies dans la rgle. Cette requte peut tre planifier. Ce moyen facilite l analyse sur les priodes tendues, par exemple pour les scans de ports. Les avantages de la corrlation des vnements sont nombreux. La corrlation vous permet d augmenter l efficacit de votre quipe informatique, elle vous permet d optimiser votre Business Continuity et d empcher la perte du revenu cause de downtime . Net Report collecte, archive et analyse des volumes de donnes importantes. Ces donnes doivent tre analyses en temps rel et elles sont utiles dans plusieurs scenarios de scurit.

Figure 1 : schma de fonctionnement du SIEM Net Report

4. LOG ONE DE NS ONE

A. PRESENTATION
Net Secure devenue NS One est un acteur spcialis offrant une solution de scurit globale personnalisable rpondant lensemble des besoins de scurit applicative des entreprises mais galement une solution de supervision globale de la scurit. NS One propose pour renforcer ce positionnement sur le march et conforter la volont de lditeur de devenir en 2008 lun des acteurs majeurs de la scurit applicative, NS One marque clairement sa volont de changement en proposnt LOG One, une solution de supervision et dinterprtation des logs gnrs par lensemble des quipements installs sur le rseau de lentreprise. LOG One centralise, analyse et corrle les logs des quipements de scurit, de rseau et des serveurs. Les vnements collects sont corrls en temps rel pour produire des alarmes pertinentes et enregistres en parallle pour une analyse ultrieure. Un systme expert tudie en permanence lhistorique des vnements collects pour complter lanalyse en temps rel par des rapports. La solution couvre le cycle mthodologique complet de la gestion dincident : prvenir, d-tecter, confiner, enquter, corriger et documenter. LOG One gnre des alertes, dfinit des tableaux de bord paramtrables et gnre automatiquement des rapports utiliss pour la mise en uvre des procdures rcurrentes du suivi et du contrle de la politique de scurit.

B. PRINCIPE DE FONCTIONNEMENT
La centralisation des logs a pour objectif de pouvoir disposer d une vue unifie de toutes les sources d vnements pertinentes pour la gestion de la scurit. La nature des vnements collects, la faon de les collecter et de les centraliser ayant une influence capitale sur les fonctionnalits qui peuvent tre offertes.

C. COLLECTE
La solution Log One est base sur un systme d agents non intrusifs, distants et locaux, installs sur des botiers ddis et placs prs des quipements de scurit ou directement sur les serveurs. Ils sont ensuite envoys un collecteur universel d vnements qui les rapatrie sous les formats standards (LEA, File, OCBC, Syslog...).

D. RAPATRIEMENT, FILTRAGE, CORRELATION ET STOCKAGE


Les logs sont collects par des agents non intrusifs distants et locaux, installs sur des botiers ddis prs des quipements de scurit ou directement sur les serveurs. La normalisation, le rapatriement, le filtrage, la corrlation et le stockage sont ensuite raliss par Log Manager. Le filtrage dfini par l administrateur limine tous les vnements considrs comme inutiles. La corrlation d vnements de plusieurs quipements permet le dclenchement d alarmes et d actions paramtrables. La gnration automatique de rapports d analyse et leur transmission par e-mail ou encore l mission d alertes SNMP destination des plates-formes d administration et de supervision facilitent une exploitation 24/24 H.

La solution LOG One embarque le module Manager. Il assure : Le filtrage de tous les vnements considrs comme inutiles. La corrlation d vnements de plusieurs quipements pour permettre le dclenchement d alarmes et d actions paramtrables. La gnration automatique de rapports d analyse et la transmission par e-mail. L mission d alertes SNMP destination des plateformes d administration et de supervision. La ralisation d analyses approfondies travers un diteur de requtes paramtrable.

E. ELABORATION DE RAPPORTS DETAILLES


Afin de simplifier la mise en oeuvre d une procdure de surveillance rgulire et d alertes, LOG One permet d tablir des rapports dfinis, automatiquement diffuss aux administrateurs de scurit lorsque des alarmes sont dclenches par des comportements interdits ou par des attaques.

Figure 1 : schma de fonctionnement du SIEM Log One

5. CISCO SECURITY MARS

A. PRESENTATION
Cisco Security Monitoring, Analysis and Response System (Cisco Security MARS) est un dispositif hautes performances volutif d'administration et de surveillance, qui facilite la prise de dcision en matire de scurit. CS MARS se positionne donc clairement comme une solution de type SIEM avec pour ambition d'apporter cette rponse non seulement aux infrastructures Cisco mais aussi dans des rseaux htrognes. Attention cependant, il est important de se souvenir que le travail qu'il faudra fournir pour paramtrer CS MARS sera beaucoup plus important que sur une solution 100% Cisco. Cette remarque restera par ailleurs valable pour les produits Cisco trop rcents pour que des scnarios aient t dj intgrs (exemple le CUCM). Ce point est trait dans un des derniers paragraphes du document.

B. LES APPLIANCES CS MARS


CS MARS est livr sous forme d'appliance. Il arrive donc sous forme d'un produit pr packag ayant une plateforme physique dfinie avec un OS et un produit livr par l'diteur et non modifiable. Les utilisateurs n'auront en aucun cas accs aux fonctions sous sousjacentes de l'OS. L'interface de gestion des appliances est accessible au travers des protocoles scuriss HTTPS (TCP 443) et SSH (TCP 22). Ces protocoles sont scuriss et offrent les fonctions d'authentification, de chiffrement et d'autorisation. HTTP et Telnet sont dsactivs de faon permanente. L'OS des serveurs est bas sur un linux renforc. On trouvera par ailleurs une base Oracle et un serveur web de la famille Apache pour archiver les donnes et offrir une interface graphique (technologies web). Ces diffrents lments sont mis jour chaque nouvelle version ou patch. Les diffrents modles d'appliances sont dcrits dans le tableau de la Figure 2. Dans l'absolu, il sera prfrable de placer le CS MARS derrire des firewalls et IPS ainsi que dans une zone rserve l'administration pour lui viter d'tre la cible d'attaques externes auquel il peut tre sensible comme tout serveur. N'oublions pas qu'une fois configure, cette application contiendra de nombreuses informations sensibles sur le rseau qu'elle aide protger.

Figure 1 : Les diffrents modles d'appliance

C. LA GESTION DES PROBLEMATIQUES STM La gestion des problmes de scurit dtects ou STM. Le STM permettra d'automatiser le travail portant sur les problmatiques scurit bien identifies pour permettre aux quipes de se focaliser sur les nouvelles menaces et les rponses trouver. Les solutions STM se doivent d'tre temps rels et de proposer des contre mesures de faon pro actives de manire dfendre le rseau en lui apportant les contre mesures ncessaires au moment les plus opportun. Les technologies STM commencent au mme en collectant les informations des diffrents quipements. Les algorithmes de corrlation dtectent alors des points chauds ou une attaque se droule sur le rseau. La rponse apporte se porte alors non seulement sur les quipements directement attaqus, mais aussi sur l'ensemble des lments priphriques pouvant permettre de bloquer l'attaque en amont. La plus value des technologies STM se rsume essentiellement au travers des points suivants : Une connaissance approfondie de la topologie du rseau et de son adressage permettant de rduire le volume important de log gnrer aux lments cls permettant de cibler un incident, Apport d'une interface graphique permettant d'identifier tous les lments du rseau et leurs configurations mais aussi les emplacements d'incidents ou d'attaques, L'intgration de scnario permettant des audits amont de la solution permet de rduire le nombre de faux positifs et d'amliorer le paramtrage de la solution pour gagner en efficacit, L'apport d'une rponse en temps rel permettant de bloquer une attaque. Remarque : CS MARS possde plusieurs mthodes d'apprentissage pour connatre la topologie d'un rseau: Dcouverte du rseau (SNMP, Telnet, SSH). Il faut deux heures pour environ 300 priphriques,
Intgration de fichiers de topologie externes (support HP OV ou Cisco works),

Interprtation des logs,


Entres manuelles.

Figure 3. La gestion d'un vnement au sein de CS MARS

D. LA GESTION DES ALARMES AVEC CS MARS


Par alarme, on parle du cycle d'action dclench par une remonte d'incident. On prendra par exemple le blocage d'un paquet suspect par un IPS et la trap SNMP qui est dclenche suite cette action au systme de supervision. La liste ci-dessous donnera une indication sur les protocoles supports pour assurer les remontes d'alarmes. Avec un CS MARS, au lieu d'avoir une simple remonte d'alarme, une corrlation d'vnement (mcanisme sommairement prsent en Figure 3) sera ralise en amont de l'alarme envoye l'administrateur permettant ainsi de rduire les faux positifs, de qualifier trs prcisment le problme et de se concentrer directement sur les points essentiels, des actions correctives pouvant dj tre enclenches en fonction du paramtrage. La Figure 4 prsente un rapport remontant un premier niveau d'information suite des vnements anormaux dtects par CS MARS. Protocoles utilises pour les remontes d'alarmes : Syslog, SNMP, RDEP, OPSEC-LEA (Clear and encrypted), POP, SDEE, HTTPS, HTTP, JDBC, RPC, SQLNet. La gestion de ces alarmes pourra se faire au travers de diffrentes mthodes suivantes : SNMP, Mail, Syslog, Messages texte, SMS, Signal sonore. La gestion des incidents dtects se ferra soit de faon pro active soit sous rserve de validation par un administrateur au travers d'lments comme ceux-ci : Envoi de TCP reset, Fermeture de ports, Mise en place d'access-list, Isolation de VLAN, Politique de scurit plus globale pour le rseau, ... Ces modifications porteront en premier lieu sur les quipements impacts. Les modifications concernant un cosystme largi (voir le diagramme de l'attaque en Figure 3) seront soumises comme des alternatives complmentaires et ncessiteront une approbation. On se reportera la Figure 5 comme exemple concret. La connexion aux quipements devant tre modifis se fera au travers de SNMP, telnet ou SSH. C'est cette possibilit de provoquer une raction temps rel et adapte l'incident qui place le produit CS MARS comme un brique importante du concept de Self Defending Network (rseau se dfendant seul) pousse en avant par Cisco.

Figure 2 : Premier niveau d'information d'une alerte

E. GESTION DE L'ARCHIVAGE AVEC CS MARS


CS MARS est bas sur une base Oracle. Celle-ci est bien sur correctement configure pour l'ensemble des opration du produit et ne demandera pas de comptence particulire pour l'administre. Par consquent, l'ensemble des systmes de connexion traditionnels de ce produit ont t dsactivs et seules les oprations ralises par l'interface d'administration ou les services de CS MARS seront autorises. La structure de la base n'est pas publiquement divulgue par Cisco. On notera que le produit possde des mcanismes d'export et de sauvegarde de la base vers des NAS permettant ventuellement de restaurer le systme avec une perte minimum de donnes si un problme devait survenir sur le systme.

F. LES RAPPORTS SOUS CS MARS


Pour un outil de type STM, les problmatiques de cration de rapports et de requtes sont un point absolument essentiel regarder. En effet, si ces lments ne sont pas bien traits, le produit perdra beaucoup de sa valeur car l'essentiel de l'information ne parviendra pas aux administrateurs en temps et heure. CS MARS intgre un choix important de rapport dj construits qui permettront de traiter la plupart des cas rencontrs classiquement dans la vie d'un rseau. Ces derniers permettent

de partir d'informations globales et de relativement haut niveau pour arriver aux lments trs dtailler (voir Figure 5). CS MARS propose dsormais des rapports prenant en compte les spcificits des rfrentiels SOX, PCI et GLBA. Il est indniable que l'intgration de rapports concernant ces rfrentiels devrait fortement facilit le travail des administrateurs devant montrer les conformits. Les personnes souhaitant plus de dtails pourront se connecter l'url suivante : https://cisco.hosted.jiveso ftware.com/docs/DOC-2302 (l'enregistrement est gratuit). Les mthodologies d'audit COBIT sont elles aussi intgres. Il est intressant de constater que mme si l'accs la base de donne n'est pas accessible, un moteur de cration de requtes existe, permettant ainsi de modifier ou de crer des rapports prenant en compte les particularits d'un environnement donn. Le moteur charg d'excuter les diffrentes requtes et de gnrer les rapports pourra tre paramtr pour travailler en temps rel ou diffr si l'on souhaite viter d'accaparer trop de ressources pour cette tache certaines priodes. Intgration d'un priphrique tierce. Pour intgrer un priphrique inconnu dans CS MARS, il sera ncessaire de crer un parser personnalis. Ceci sera ralis en trois grandes tapes (Figure 6) : Dfinition du nouveau type de priphrique les noms, modles et version sont renseigns pour une bonne identification par le systme, Cration des modles ncessaires au parser il s agit ici d indiquer quel est le format des messages qui seront reu par CS MARS et comment chacun d entre eux devront tre interprts, Dfinition des rgles cette tape est optionnelle si l on souhaite simplement intgrer les messages de l quipement dans certains rapports. Par contre, s il est destin tre intgr dans la gestion d incidents, il est absolument ncessaire d effectuer cette tape avec srieux et minutie. C est d elle que viendra la pertinence des ractions de CS MARS pour le priphrique,

Figure 5. Exemple de rapports

Figure 6. Intgration d un priphrique tierce

G. QUELQUES CONSIDERATIONS D'ARCHITECTURE


La faon la plus simple de travailler avec la solution CS MARS est de dployer un seul contrleur, soit une seule appliance collectant l'ensemble des logs gnrs par les priphriques rseaux ou les serveurs et assurant l'analyse des donnes. La seconde possibilit ncessite l'utilisation de deux briques appeles contrleur global et local. Dans ce cas, des contrleurs locaux sont placs sur diffrents sites. Les priphriques intgrs pour travailler avec CS MARS envoient les logs vers ces derniers. Les priphriques superviss ne pourront jamais envoyer directement des donnes au contrleur global. La supervision de la solution complte est effectue depuis le contrleur global. Chaque contrleur local n'ayant qu'une vision limite son primtre. L'utilisation du modle utilisant deux types de contrleur devra prendre en compte les lments suivants : Le volume de log total gnr par les priphriques superviss ne peut tre absorb par un seul serveur (20 000 logs/s et 600 000 netflows/s). Le listing 3 donnera quelques chiffres indicatifs permettant de calculer le volume gnr par un rseau. Il est couramment considr que si 60% de la capacit d'EPS du serveur est atteinte, il devient ncessaire d'envisager une mise jour pour assurer le bon fonctionnement, L'architecture rseau comprend des sites distants relis l'aide de liens WAN. Dans ce cas, le contrleur global demande uniquement les informations ncessaires au contrleur local et vite ainsi de saturer le lien WAN, La socit est compose de nombreux dpartements ou filiales avec des besoins spcifiques. Les contrleurs locaux permettront chaque dpartement de rpondre ses propres exigences tandis que le contrleur global amnera une vision globale et pourra tre plac dans un SOC. Il sera absolument ncessaire par ailleurs de calculer l'espace disque ncessit pour archiver l'ensemble des logs qui seront gnrs par l'installation supervise. On pourra considrer que la taille moyenne d'un log sera de 300 octets. La formule suivante permettra alors un premier calcul : Nbre de jour archivs = Taille rserve l'archivage / (Taille du log (donc ici 300 en moyenne) * EPS * 86,400).

Figure 7. Synoptique d'architecture avec les deux types de contrleurs

6. ARCSIGHT ESM

A. PRESENTATION:
ArcSight, une socit HP, a t fonde en 2000 et est une socit technologique qui fournit des informations de scurit et de gestion des vnements (SIEM) des solutions. ArcSight est en pole position du Quadrant magique de Gartner concernant les principaux diteurs de solutions SIEM pour Mai 2010 ArcSight Enterprise Security Manager (ESM): moteur d'analyse de base pour grer les menaces et les risques au sein de la plate-forme ArcSight constitue de : * ArcSight Logger: stockage des journaux de la plateforme et la solution de recherche * ArcSight Express: la corrlation et la gestion des logs * ArcSight IdentityView: suivi des activits des utilisateurs * Connecteurs ArcSight: la collecte des donnes provenant de diverses sources de donnes * Applications vrificateur ArcSight: surveillance continue des contrles automatiss La plate-forme ArcSight supporte galement la virtualisation, les environnements informatiques mobiles et de nuages ArcSight ESM assure l analyse et la corrlation de l ensemble des vnements survenant dans l entreprise connexions, dconnexions, accs aux fichiers, requtes de bases de donnes, etc. et, ainsi, une dfinition prcise des priorits de contrle des risques de scurit et des violations de conformit. ArcSight ESM constitue une application unique en matire de matrise du type d utilisateurs du rseau, des donnes qu ils voient, des actions dans lesquelles ils sont engags avec quelles donnes et de comprhension de la manire dont cela affecte le risque d affaires.
AVANTAGES DE CETTE SOLUTION:

La plate-forme ArcSight SIEM est un ensemble intgr de produits pour collecter, analyser et grer les informations relatives aux vnements d'entreprise. Ces produits peuvent tre achets et dploys sparment ou ensemble, selon la taille des entreprises et des besoins. Elles comprennent des logiciels et appareils pour: Collection vnement Gestion des journaux Automatisation Conformit Surveillance d'identit Offrant des avantages tels que : performance, paramtrage, fiabilit adapt aux besoins des grandes entreprises procdures et les priorits de l organisation cre une liaison entre les exigences techniques de scurit et l objectif commercial possibilits compltes d application et fonctions add-on non seulement les informations sur la scurit sont regroupes, mais elles sont galement prsentes par rapport leur influence sur les processus commerciaux

corrlation tridimensionnelle : informations de scurit des diffrents produits, informations de vulnrabilit, caractristiques d actifs identification automatique des modles enregistrement des donnes 100% et optimisation de l enregistrement incident Management intgr et contre-mesures automatiques contre les attaques identifies peut-tre install sur tous les systmes d exploitation courants permet le temps rel et l analyse lgale des informations accs base de rles fonctions d analyse hautement dveloppes l efficacit et la performance du dpartement scurit sont renforces

ArcSight SIEM plateforme

B. ARCSIGHT MANAGER
Le gestionnaire ArcSight est le c ur de l'ESM ArcSight. Le gestionnaire ArcSight est un systme bas sur le serveur qui fournit une gestion des donnes, la logique de corrlation et les moniteurs d'affichage d'informations et de contrles. Il constitue la base de diffrencier clairement les troubles de workflows. Cela permet la dtection des problmes et le temps de rsolution requise peut tre rduite de manire drastique. FONCTIONNALITES CLES * Composante centrale de la corrlation en temps rel, l'analyse et le workflow * Encapsul application Java, fonctionnant sur diffrents systmes d'exploitation * Rdaction du flux de donnes d'vnements provenant du connecteur ArcSight ArcSight Smart dans la base de donnes * Pr-filtres, rgles, moniteurs de donnes, des tableaux de bord et des rapports

C. COLLECTE
ArcSight Smart Connector collecter des vnements du journal partir de diffrentes sources et de les passer travers l'utilisation de l'infrastructure rseau existante pour le gestionnaire ArcSight. Une grande organisation a environ plusieurs centaines de diffrents Logdatenquellen qui surveille, doivent tre consolids et fusionns. ArcSight connecteurs intelligents sont capables de collecter des milliers d'vnements par seconde et l'envoyer au gestionnaire ArcSight. Pour l'analyse, l'affichage, l'analyse et de reporting de ArcSight Manager stocke les vnements reus dans la base de donnes ArcSight. Connecteurs ArcSight isole votre scurit et analyse de la conformit de vos choix technologiques. En recueillant les journaux dans des formats de priphrique natif, puis normaliser ces donnes dans un format commun, connecteurs ArcSight produit une structure unique pour la recherche, la corrlation et de reporting sur les informations de l'vnement. En consquence, la plate-forme d'analyse est l'preuve des nouvelles technologies rseau. Swap sur un seul fournisseur de pare-feu pour une autre, et tous les rapports de conformit, de corrlation et continuera travailler comme dfini. Les connecteurs sont disponibles en tant que logiciel installable, les appareils du centre de donnes, ou des appareils branch-office/store petits. Connecteurs ArcSight dcouple la capacit d'une organisation pour analyser les risques de vulrabilit des priphriques rseau.

FONCTIONNALITES CLES * Analyse et la normalisation des vnements du journal * Les collecteurs de donnes pour divers Logdatenquellen * Filtrage et agrgation d'vnements Catgorisation * des vnements dans un gnrique (fabricant indpendant) de format

D. ARCSIGHT BASE DE DONNEES


La base de donnes est une base de donnes ArcSight relationnelle Oracle optimise pour le stockage de tous les vnements du journal. Une indexation efficace et efficiente des donnes fournit un accs rapide des vnements historiques dans l'analyse des journaux de scurit, ou lors de la gnration de rapports. Outre le stockage des vnements du journal est stock dans la base de donnes et la configuration de l'ESM ArcSight ArcSight - tels que Les utilisateurs, groupes, les paramtres d'autorisations, rgles, filtres, tableaux de bord, la modlisation des rseaux, rapports, etc

FONCTIONNALITES CLES * Rfrentiel central pour tous les vnements du journal normalis * Stockage efficace par compression, partitionnement et l'archivage * Base de donnes relationnelle base sur Oracle 10g * Fournir des donnes en fonction du volume DB-volume et de donnes dans la plage allant jusqu' plusieurs mois

E. ANALYSE DE LA SECURITE AVEC LA CONSOLE ARCSIGHT


La console ArcSight fournit l'interface globale pour tous les utilisateurs d'ArcSight ESM alors que l'utilisation de la zone de la console ArcSight comprend l'exploitation d'une exploitation COS (Centre d'Opration de Scurit) qui se concentre sur le suivi des indicateurs d'alerte et le signalement des incidents est, ainsi que les Cration de contenu ArcSight (telles que le filtrage, les rgles de corrlation, tableaux de bord, rapports, etc) pour l'analyse de la scurit en aval. La console ArcSight est galement l'outil central pour grer et administrer le dar ESM ArcSight. FONCTIONNALITES CLES * une interface base sur Java, conu pour Operation Center de scurit * Fournit des outils pour la dfinition des filtres, rgles, rapports, affiche, alarmes, etc.. * Permet de contrler l'accs bas sur les rles, partir d'un tableau de bord simple de crer des rgles de corrlation complexes

F. GESTION DES ALERTES


ArcSight produit de log management, ArcSight Logger, est un appareil autonome pour stocker, grer et rapports contre les donnes du journal d'entreprise. Un seul appareil peut effectivement stocker jusqu' 35 To de donnes journal, sans besoin de rglage ou d'optimisation. ArcSight Logger offre de recherche et de reporting, ainsi que d'alerte par e-mail, SNMP ou d'une console Web. Contrairement aux autres produits de gestion des logs, ArcSight Logger fournit drill-down partir des alertes et des rapports sur les vnements source derrire l'alerte ou de rapport. En consquence, mme les clients qui n'ont besoin que simple bnfice d'alerte et de reporting de Forensics la volesont servis.

G. CORRELATION
Corrlation avance ESM utilise une varit de techniques sophistiques pour passer au crible millions des vnements pour trouver les incidents qui peuvent avoir un impact vritable sur l entreprise. Corrlation effective est trs importante; rsultats de corrlation pauvres soit manque menaces ou de trop nombreux faux positifs et donc, gaspillage de temps et d'argent. ArcSight ESM fournit "Forensics sur le Fly "en temps rel par l'intermdiaire de corrlation sur plusieurs systmes et des millions d'vnements, avec drill down partir d'un complexe d'alerte aux vnements qui il a caus. Rponse automatique Lorsque ArcSight ESM dtecte un problme potentiel via la corrlation des vnements, le moteur de rponse guide facultative, Threat Response ArcSight Manager (TRM) peut fournir aux administrateurs pilotes par les processus des conseils pour endiguer le problme. Par exemple, si ArcSight ESM dtecte un employ potentiellement accder des enregistrements dans un de manire non autorise, ArcSight TRM peut dterminer quels actifs Annuaire en compte pour dsactiver, ce qui la session VPN dbrancher, etc et ensuite un guide de l'administrateur travers les mesures appropries. ESM est disponible comme logiciel configurable ou comme un appareil (ArcSight ESM E7100), et peut tre dploy sur ses propres ou avec ArcSight Logger et connecteurs ArcSight. En utilisant ESM et ArcSight Logger ensemble, les clients peuvent trouver des anomalies en temps rel, puis les comparer aux donnes historiques pour plus de contexte. ArcSight ESM rend les organisations plus efficaces et plus scuriss par filtrer le bruit et en se concentrant sur les incidents les plus importants.

H. AUTOMATISATION DE CONFORMITE
ArcSight conformit Forfaits Insight est un moyen idal pour lancer un projet de conformit ou d'automatiser le suivi du manuel existant contrles de conformit. Installable sur le dessus de la plate-forme ArcSight SIEM, Ces modules fournissent de pr-emballs rgles, rapports, tableaux de bord et alertes mapps des rglementations spcifiques. Grce l'automatisation et la meilleure pratiques, ArcSight conformit Forfaits Insight peut rduire considrablement le cot et les efforts de conformit.

Figure 1 : Scema de fonctionnement du package ArcSight ESM

CONCLUSION :
L objectif de ce rapport tait d apporter des rponses quant au fonctionnement des SIEM dans le cadre d une gestion centralise. Pour cela, nous avons commenc par expliquer le contexte : l intrt de l utilisation de cette mthode centralis. Nous avons ensuite tudi le fonctionnement thorique de cette mthode, ainsi que deux implmentations concrtes. Notre tude nous a aussi permis d tudier les principaux avantages de la gestion centralise : la simplicit de configuration du manager la visibilit globale du rseau par le manager la cohrence des alertes et des dcisions menes Cependant cette technique possde aussi des faiblesses. Par exemple la centralisation peut amener rapidement un problme de disponibilit du service si le manager est dfaillant. Nous pouvons conclure que les SIEM en gestion centralise permettent une relle scurisation du systme, mais que l on doit s assurer de leur disponibilit, et qu il semble malvenu d utiliser les envois non scuriss de logs. Les SIEM tudis ont chacun leurs particularits. Prelude que nous avons jug utile de faire l tude vient du monde open-source, ce qui lui permet une trs large compatibilit avec d autres logiciels et quipements. Les autres produits tel que LogLogic, ArcSight, CS-MARS sont des produits issus de l industrie et possde un systme de traitement des alertes trs performant. Le reporting est presque identique, puisque Prelude en version professionnelle a de nombreux ajouts. Les SIEM sont de plus trs volutifs car leurs auteurs permettent aux diverses entreprises de demander des amliorations et modifications surmesure, moyennant finance videmment. Une thorie des SIEM existe donc, ainsi que des standards. Les dveloppeurs de logiciels de SIEM ont un panel de caractristiques possibles exploiter et ceux-ci choisissent ce qui les intresse en fonction de leur politique technique, organisationnelle et commerciale. Nous pouvons donc trouver une multitude de SIEM sur le march avec aussi bien des ressemblances que des divergences qui font les faiblesses et forces de chacun. Nous conclurons sur l intrt de l utilisation d un systme tel que le SIEM pour une entreprise. En effet, la possibilit de pouvoir rcuprer et agrger la totalit des logs du rseau permet d avoir la fois une vision complte, mais aussi une comprhension affine des vnements qui se passent sur celui-ci. La combinaison de ces deux lments (vison + comprhension) fait des SIEM un lment ncessaire en terme de scurit informatique et est donc indispensable pour les entreprises.