Utilisation de La Machine Learning Dans Une Solution SIEM Open Source Pour La Prévention Des Cyberattaques

Institut National des Postes et
Télécommunications
Mémoire de Projet de Fin d’Etudes
Pour l’obtention du
Diplôme d’Ingénieur d’Etat
Spécialité
Réseau, sécurité et services

Elaboré par
LYOUBI IDRISSI Malak
Sous le thème
Utilisation de la Machine Learning dans

une solution SIEM open source pour la
prévention des cyberattaques
Soutenu publiquement à l’INPT en Octobre 2019 sous la direction de :
M. Mohamed EL HAIDI Encadrant externe
M. Abdellatif MEZRIOUI Encadrant interne
Mme. Afaf OUADDAH Encadrante interne
Année Universitaire : 2018 /2019

1
2
Dédicace
A ma chère maman.
Tu m’as tout donné et tout appris, tu as toujours eu foi en moi. Rien au monde ne
vaut ton amour inconditionnel et tes efforts fourni jour et nuit pour mon éducation et mon
bien être.
A mon cher papa.
Pour tes sacrifices, ta patience et tes efforts, nul de mot ne saura exprimer mon amour
envers toi, et ma considération pour tes sacrifices que tu as consentie pour mon
instruction. J’espère que tu trouveras en ce travail le fruit de tes efforts.
A mon cher frère.
Merci d’être toujours à mes côtés, par votre présence. En témoignage de mon amour et
de ma grande affection, je te prie de trouver dans ce travail l’expression de mon estime
et de mon sincère attachement. Je prie Dieu, le tout puissant, pour qu’il te donne
bonheur et prospérité.
A tous mes amis.
C’est grâce à votre soutien et votre amitié que cette vie prend sens, rien ne saurait
remplacer le bonheur que votre présence me procure.
A tous mes enseignants.
A toute personne qui a cru en moi.
Je dédie ce travail.
LYOUBI IDRISSI Malak
3
Remerciements
En premier lieu, je remercie Dieu qui a béni mes pas le long de cette aventure de trois
ans, et qui a voulu que ce stage se déroule à merveilles. Rien n’aurait été possible sans
Dieu.
Au terme de ce travail, je saisis cette occasion pour exprimer mes vifs remerciements à toute
personne ayant contribué, de près ou de loin, à la réalisation de ce travail.
Mes expressions de remerciements s’adressent à mes professeurs pour tout l’apport
scientifique qu’ils m’ont offert et qui m’a permis de comprendre les processus techniques et
administratifs des entreprises.
Mes sincères remerciements iront aussi à M. Benattou Driss, le directeur des services
professionnels CBI et M. El Haidi Mohamed, mon encadrant externe, pour la confiance qui
m’ont attribué et pour leurs efforts considérables, leurs orientations, leurs interventions et
leurs conseils pertinents qui m’ont aidé à orienter ce travail et à réaliser ma mission au sein de
la CBI dans les meilleures conditions.
Je saisie également l’occasion pour remercier M. Mezrioui Abdellatif et Mme. Ouaddah
Aafaf, mes encadrants académiques, pour leurs directives précieuses et leurs conseils
pertinents qui ont été d’un appui considérable dans mon travail.
Il me tient finalement à cœur de remercier mes parents qui m’ont soutenu du début jusqu’à la
fin de ma période de stage.
4
Résumé
Les réseaux actuels sont plus grands et plus complexes que jamais et leur protection contre les
activités malveillantes est une tâche très difficile. Ce que les organisations cherchent à
protéger, ce sont leurs propriétés et leurs clients, elles essaient d’éviter les perturbations de
leur activité autant que possible. Pour ce faire, elles doivent faire plus que surveiller les
journaux et les données de flux réseau, elles doivent exploiter des outils pour détecter ces
activités. Les SIEM peuvent servir de solution d'ancrage au sein du centre des opérations de
sécurité d'une petite ou grande entreprise pour collecter, normaliser et corréler les données
réseaux disponibles en utilisant la valeur des informations contextuelles. Le résultat est ce
qu'on appelle l'intelligence de sécurité. Quatre composantes principales ont été développées :
la composante analytique et conceptuelle décrivant les solutions SIEM et ses capacités en
général ; illustrant la comparaison des solutions existantes sur le marché ; une partie technique
traitant de l'aspect pratique et de la mise en œuvre de la solution et enfin un apprentissage
automatique pour améliorer nos capacités de sécurité.
5
Abstract
Today’s networks are bigger and more complex than ever and protecting them from malicious
activity is a very difficult task. What organizations are seeking to protect is their properties
and their customers, they’re trying to avoid business disruptions as most as they can, and to
do so, they need to do more than monitoring logs and network flow data, they need to leverage
advanced tools to detect these activities.
SIEMs can serve as an anchor solution within the security operations center of a small or large
organization to collect, standardize, and correlate available network data using the value of
contextual information. The result is what is called security intelligence.
A development of four major components was made: the analytical and conceptual component
describing the SIEMs solutions and its capabilities in general; A literature review Illustrating
the comparison of the existing solutions on the market; a technical part dealing with the
practical aspect and the implementation of the solution and finally machine learning to
enhance our security capabilities.
6
‫ملخص‬
‫الشبكات الحالية أكبر وأكثر تعقيدًا من أي وقت مضى وحمايتها من األنشطة الخبيثة هي مهمة صعبة للغاية‪ .‬ما تبحث‬
‫المنظمات عنه‪ ،‬هو حماية ممتلكاتهم وعمالئهم‪ ،‬ومحاولة تجنب اضطراب نشاطهم قدر اإلمكان‪ .‬من اجل ذلك‪ ،‬يجب أن‬
‫يقوموا بأكثر من مراقبة سجالت وبيانات تدفق الشبكة‪ ،‬يجب أن يستغلوا أدوات للكشف عن هذه األنشطة‪ .‬يمكن استخدام‬
‫"س ي ي م" كحل مرساة داخل مركز عمليات أمن شركة صغيرة أو كبيرة لجمع وتوحيد وربط البيانات الشبكات المتاحة‬
‫باستخدام قيمة المعلومات السياقية‪ .‬والنتيجة هي هذا ما يسمى بالمخابرات األمنية‪ .‬تم تطوير أربع مكونات رئيسية‪ :‬المكون‬
‫التحليلي والمفاهيمي الذي يصف حلول"س ي ي م" وقدراته على العموم؛ توضيح المقارنة بين الحلول الموجودة في‬
‫السوق؛ التعامل مع الجانب العملي وتنفيذ الحل واخيرا تعلم اآللة لتحسين قدراتنا األمنية‬
‫‪7‬‬
Table des matières
Dédicace ...................................................................................................................................... 3
Remerciements ............................................................................................................................ 4
Résumé ........................................................................................................................................ 5
Abstract ....................................................................................................................................... 6
‫ ……ملخص‬...................................................................................................................................... 7
Table des figures ........................................................................................................................ 11
Liste des Acronymes ................................................................................................................... 13
Chapitre I : ................................................................................................................................ 14
Présentation de l’organisme d’accueil ......................................................................................... 14
Introduction ............................................................................................................................... 15
I- Présentation de l’organisme d’accueil .............................................................................. 15
1- Présentation générale de CBI .................................................................................................... 15
2- Les métiers de CBI : ................................................................................................................... 16
2.1- Division software .................................................................................................................... 16
2.2- Division systèmes ................................................................................................................... 16
2.3- Division Télécoms ................................................................................................................... 17
2.4- Division éditique..................................................................................................................... 17
2.5- Division sécurité ..................................................................................................................... 18
3- Les partenaires stratégiques ..................................................................................................... 18
4- Organigramme de l’entreprise .................................................................................................. 19
5- Organigramme des services professionnels .............................................................................. 20
Conclusion ................................................................................................................................. 20
Chapitre II : .............................................................................................................................. 21
Problématique et expression des besoins ............................................................................. 21
I- Présentation de Projet..................................................................................................... 22
1- Contexte générale : ................................................................................................................... 22
2- Problématique : ......................................................................................................................... 22
3- Objectif : .................................................................................................................................... 23
4- Planification : ............................................................................................................................. 23
Conclusion .................................................................................................................................. 24
Chapitre III : ............................................................................................................................. 25
Benchmarking des solutions SIEM et état de l'art ................................................................. 25
Introduction ............................................................................................................................... 26
I- Généralités ..................................................................................................................... 26
8
1- Définition d’un SIEM.................................................................................................................. 26
2- Objectifs d’un SIEM ................................................................................................................... 28
2.1- Objectifs ................................................................................................................................. 28
2.2- Principe de fonctionnement .................................................................................................. 28
3- Analyse de logs – suivie des traces............................................................................................ 28
3.1- Les raisons : ............................................................................................................................ 28
3.2- Objectifs de l’analyse des logs :.............................................................................................. 29
3.3- Les outils d’analyse de log : .................................................................................................... 29
II- Sécurité des systèmes d’informations : ............................................................................ 34
III- Benchmark des solutions SIEM open-source : ................................................................... 35
Conclusion ................................................................................................................................. 39
Chapitre IV : ............................................................................................................................. 40
Description de la solution SIEM de OSSIM ............................................................................. 40
Introduction ............................................................................................................................... 41
I- Présentation ................................................................................................................... 41
1- Principe de base d’OSSIM :........................................................................................................ 41
2- L’architecture d’OSSIM : ............................................................................................................ 42
3- Le flux de fonctionnement d’OSSIM :........................................................................................ 44
4- Les fonctionnalités d’OSSIM : .................................................................................................... 46
5- Manipulation de la Framework d’OSSIM .................................................................................. 53
Conclusion ................................................................................................................................. 55
Chapitre V : .............................................................................................................................. 56
La mise en place de la solution ............................................................................................... 56
1- Description technique de la phase d’installation : .................................................................... 57
1- Configuration et paramétrage de la solution OSSIM : .............................................................. 60
2- L’ajout de notre machine Windows 10 : ................................................................................... 61
3- Quelques tests de vulnérabilités : ............................................................................................. 64
Conclusion ................................................................................................................................. 65
Chapitre VI : ............................................................................................................................. 66
Machine learning ..................................................................................................................... 66
Introduction ............................................................................................................................... 67
1- Architecture attaque DDOS :............................................................................................ 67
2- Les types des attaques DDOS : ......................................................................................... 68
3- extraction des données utiles :................................................................................................ 68
1- Nombre de packets : ................................................................................................................. 68
2- Nombres de bits : ...................................................................................................................... 69
9
3- Average packet size : ................................................................................................................. 69
4- Packet-rate and Byte-rate : ....................................................................................................... 69
5- Time-interval variance : ............................................................................................................. 70
6- Packet Classification : ................................................................................................................ 70
7- K-NN classifier :.......................................................................................................................... 70
8- DDoS Attack Classification : ....................................................................................................... 71
9- Bloquer la menace : ................................................................................................................... 71
Conclusion ................................................................................................................................. 72
Conclusion générale ................................................................................................................ 73
Bibliographie ............................................................................................................................ 74
10
Table des figures
Figure 1 : Les métiers de CBI................................................................................................................. 16
Figure 2 : différentes agences de la société CBI................................................................................... 17
Figure 3 : partenaires de CBI ................................................................................................................ 18
Figure 4 : organigramme de CBI ........................................................................................................... 19
Figure 5 : Organigramme des services professionnels ........................................................................ 20
Figure 6: Diagram de Gant (Février - Avril) .......................................................................................... 24
Figure 7 : Diagram de Gant (Avril - Juin) .............................................................................................. 24
Figure 8 : Diagram de Gant (Juin - Aout) .............................................................................................. 24
Figure 9 : Schéma de collecte des logs ou des alertes ......................................................................... 27
Figure 10 : Etapes de collections des logs ............................................................................................ 30
Figure 11 : Les mécanismes du SIEM.................................................................................................... 30
Figure 12 : Règles de corrélation .......................................................................................................... 33
Figure 13 : les trois notions de la sécurité de l'information ................................................................ 34
Figure 14 : prélude ................................................................................................................................ 35
Figure 15 : ELK ....................................................................................................................................... 36
Figure 16 : Splunk light ......................................................................................................................... 36
Figure 17 : OSSIM .................................................................................................................................. 36
Figure 18 : tableau comparatif ............................................................................................................. 38
Figure 19 : Suite du tableau comparatif............................................................................................... 38
Figure 20 : Architecture d'OSSIM ......................................................................................................... 42
Figure 21 : flux d’information dans OSSIM ......................................................................................... 44
Figure 22 : Les étapes de fonctionnement d’OSSIM ............................................................................ 46
Figure 23 : table d’identification des risques....................................................................................... 49
Figure 24 : transformation d’un risque Inhérent à un risque résiduel ............................................... 49
Figure 25 : L’étape de corrélation ........................................................................................................ 51
Figure 26: Authentification auprès du serveur .................................................................................... 53
Figure 27 : interface Web d’OSSIM. ..................................................................................................... 53
Figure 28: Inventaire du VMware Esx .................................................................................................. 57
Figure 29 : Début de l’installation ........................................................................................................ 57
Figure 30: Choix d’adresse IP. .............................................................................................................. 58
Figure 31: création de mot de passe pour « root ». ............................................................................ 58
Figure 32: fin d’installation................................................................................................................... 59
Figure 33: menu principale de OSSIM .................................................................................................. 59
Figure 34: terminal de OSSIM............................................................................................................... 60
Figure 35: interface graphique de OSSIM ............................................................................................ 61
Figure 36: début d’installation de OSSEC............................................................................................. 61
Figure 37: interface OSSEC ................................................................................................................... 62
Figure 38: OSSEC agent manager. ........................................................................................................ 63
Figure 39 : information sur l’agent OSSEC installé. ............................................................................. 63
Figure 40: Webserver attack - SQL Injection........................................................................................ 64
Figure 41: Exploitation & installation on webserver ........................................................................... 64
Figure 42: Suspicious behaviour SSH login .......................................................................................... 64
Figure 43 : Les évenements liés au syslog ............................................................................................ 65
Figure 44 : Architecture of DDoS Attack .............................................................................................. 67
Figure 45 : Algo part : number of packets ............................................................................................ 68
11
Figure 46 : Algo part : number of bytes ............................................................................................... 69
Figure 47 : Algo part : Average packet size .......................................................................................... 69
Figure 48 : Algo part : Packet rate ........................................................................................................ 70
Figure 49 : Algo part : Time variance ................................................................................................... 70
Figure 50 : K-NN Classifier .................................................................................................................... 71
Figure 51 : Algo part : classification ..................................................................................................... 71
Figure 52 : Final algo part : @IP block .................................................................................................. 71
12
Liste des Acronymes
D S
DNS : Domain Name Service SEM : Security Event Management
E SI : Système d'informations
EDB: Event database SIEM: Security information event manager
I SIM: Security Information Management
IDMEF: Intrusion Detection Message Exchange SMSI : Système de management de la sécurité de

Format l'information
IDS: Intrusion detection system SNMP: Simple network management protocol
IETF: Internet Engineering Task Force SQL: Structured Query language
IP: Internet Protocol T
IRC: Internet Relay Chat TCP : Transmission Control Protocol
ISO: International Organization for Standardization U
K UDB : Users database
KDB: Knowledge database UDP : User Datagram Protocol
O V
OPSEC: Operation Security VM: Virtual Machine
OSSIM: Open source security information

management
RFC : Requests For Comments
RSSI : Responsable Sécurité Système d’information
13
Chapitre I :
Présentation de
l’organisme d’accueil
14
Introduction
Dans ce chapitre, nous essayerons de donner un aperçu sur l’environnement du stage,
l’organisme d’accueil de CBI et sur ses domaines d’activité.
I- Présentation de l’organisme d’accueil

1- Présentation générale de CBI
Fondé en 1970 CBI (Compagnie de Bureautique informatique), sur la base d’un contrat de
distribution avec TOSHIBA pour OFFICE AUTOMATION et RUF pour les machines
mécanographiques, Depuis sa création l’offre globale solutions (produit et services) de CBI est
restée centré sur les technologies de l’information et n’a cessé de s’enrichir en intégrant les
innovations technologiques afin de pouvoir répondre aux besoins de ses clients et d’être
toujours en avance dans un monde en perpétuelle mouvance.
Elle s’est ensuite imposée comme un intégrateur de référence dans le secteur des TIC au Maroc
et en Afrique avec un chiffre d’affaire de 415M Dhs en 2016, un capital de 60.000.000 Dhs et
270 employés. Grâce à son expertise technologique et sa connaissance sectorielle pointue, CBI
sert des clients dans différents secteurs : Services financiers, Télécoms, Défense et Sécurité,
Médias et Services...
Elle offre des solutions et des produits dans des marchés complémentaires (bureautique,
informatique, système d’information, télécommunications, Internet/Intranet) mais toujours
orientées vers les nouvelles technologies et les outils de productivité. [1]
Cette constituée de produit de haute technologie leaders sur leurs marchés, est construite grâce
à des partenaires très étroits, ainsi qu’avec des fournisseurs internationaux, représente une
consolidation continue de savoir-faire et de compétences.
CBI répond aux besoins du marché grâce à ses équipes propres et aux partenariats
internationaux ou locaux passés avec les acteurs majeurs du marché.
15
2- Les métiers de CBI :
Figure 1 : Les métiers de CBI
Aujourd’hui, CBI est structuré en 5 divisions à savoir Software, Système, Télécoms, Éditique
et Sécurité.
2.1- Division software
CBI software assure la mise en œuvre d’une infrastructure logicielle globale répondant à
différentes problématiques de l’entreprise quant à la génération et la disponibilité de son
information. CBI software propose des solutions dans les domaines suivants :
• Business Information Management

• Décisionnel
• CRM
• Process
• ERP
2.2- Division systèmes
CBI systèmes a pour vocation de mettre à disposition de ses clients les meilleures solutions
répondant aux différents besoins suivants :
• Le Traitement de l’Information
• La Disponibilité de l’Information
• La Pérennité de l’Information
CBI systèmes s’assure par ailleurs, que ses produits & services fournissent un haut niveau
d’efficacité et de rendement, valorisant de façon optimale l’infrastructure informatique de ses
clients. Les solutions fournies relèvent des domaines suivants :
• Poste utilisateur
• Serveurs
• Stockage
• Virtualisation
• Datacenter
16
2.3- Division Télécoms
CBI Télécoms s’est, depuis sa création, positionnée comme le spécialiste dans la mise en place
des solutions Réseau et Télécommunications. Par le biais de ses partenariats, CBI Télécoms
accompagne ses clients dans la mise en œuvre d’une véritable politique collaborative de la façon
la plus efficiente possible. Le Pôle propose une gamme complète de solutions :
• Réseaux
• Sécurité
• Solution opérateur
• Communications unifiées
2.4- Division éditique

CBI éditique a su développer son savoir-faire en intégrant les enjeux de la gestion du document
dans des Systèmes d’information (SI) les plus complexes. Par ailleurs, à travers sa présence sur
les six plus grandes villes du royaume, CBI est à même d’assurer la plus large couverture
géographique.
A ces divisions s’ajoute une unité administrative et logistique qui supporte l’ensemble des
activités de l’entreprise.
Le travail au sein de la CBI s’organise aussi bien au niveau du siège que par l’intermédiaire
d’un réseau de 8 agences réparties à travers les grandes villes du Royaume : Casablanca, Rabat,
Fès, Tanger, Marrakech, ainsi qu’au Sénégal et en côte d’ivoire.
Figure 2 : différentes agences de la société CBI
17
2.5- Division sécurité
CBI, à travers un écosystème de partenaires leaders dans les solutions de sécurité, propose une
offre complète pour répondre à l’ensemble des risques et problématiques identifiés par les
entreprises.
CBI accompagne ainsi ses clients dans la mise en place d’une politique de sécurité efficace
visant à assurer un système d’information sûr et fiable, répondant aux exigences de la norme
ISO 27 001, à savoir :
• Confidentialité,
• Traçabilité,
• Disponibilité,
• Intégrité,
• Authentification.
3- Les partenaires stratégiques

CBI s'appuie sur un réseau de partenaires stratégiques afin de combiner leurs expertises et
fournir à leurs clients des solutions innovantes, en figure 2 les partenaires les plus importants :
Figure 3 : partenaires de CBI
CBI, est le 1er intégrateur marocain de solutions globales IT et Cisco Gold Partner depuis 2012,
et a été désignée « Africa commercial partner 2015 » par Cisco. [1]
18
Une distinction qui confirme le leadership de CBI et son expertise pointue sur les technologies
proposées par le géant mondial des solutions télécommunications et réseaux. A travers cette
reconnaissance, Cisco distingue l’expérience et les compétences poussées de CBI pour adapter
ses solutions technologiques aux besoins de sa clientèle.
4- Organigramme de l’entreprise
L’entreprise CBI comprends plusieurs pôles à savoir le pôle commercial, Services et Produits,
Pole Opérations et Pole support présenté dans la figure 3.
Figure 4 : organigramme de CBI
19
5- Organigramme des services professionnels
Figure 5 : Organigramme des services professionnels
Conclusion
Dans ce chapitre, nous avons présenté l’organisme d’accueil, sa création, son domaine
d’activité, l’environnement de travail.
20
Chapitre II :
Problématique et
expression des
besoins
21
I- Présentation de Projet
1- Contexte générale :
Notre objectif consiste à faire un déploiement d’un SIEM adapté aux besoins de l’entreprise
afin de mettre en place une plateforme de gestion de la sécurité des réseaux offrant la prise en
charge de la géolocalisation et de la conformité grâce à la combinaison de la connaissance du
flux réseau, de la corrélation des événements de sécurité et de l'évaluation de la vulnérabilité
des actifs.
2- Problématique :
Au fur et à mesure que les systèmes informatiques évoluent, la demande sur les solutions de
sécurité informatique augmente d’où la gestion des événements/incidents de sécurité de
l'information constitue un élément essentiel du cycle de vie de la sécurité de l'information. Cette
démarche consiste à définir un ensemble de mesures techniques et organisationnelles pour faire
face aux différentes menaces qui pèsent sur le patrimoine informationnel d'une organisation.
Dans le cadre de mon projet de fin d’étude, ma société d’accueil m’a proposé de faire un
benchmarking sur les solutions SIEM open-source sur le marché, choisir la meilleure solution,
proposer une architecture cible adéquate en se basant sur l’existant et réaliser une intégration
du SIEM qui permettra d’avoir une visibilité complète de la sécurité de l’infrastructure.
La solution proposée qui est le SIEM (pour Security Information and Events Management)
apportera un ensemble de moyens permettant d'agréger, normaliser, corréler, consolider,
superviser, analyser, notifier et capitaliser les événements de sécurité de l'information.
De ce fait, la démarche SIEM apporte un double bénéfice à l’entreprise du fait qu'elle constitue
une tour de contrôle des événements de sécurité de l'information pour alimenter le processus de
réponse aux incidents de sécurité mais aussi un moyen pour mettre le doigt sur le manque
d'efficacité des contrôles de sécurité mis en place.
Ainsi, les entreprises ont de plus en plus besoin de mettre en place un moyen pour centraliser
la supervision et par conséquent la gestion des événements/incidents de la sécurité de
l'information. Ceci, afin de faire face au volume exorbitant des événements de sécurité généré
par l'introduction de ces nouvelles tendances mais aussi assurer la conformité par rapport aux
exigences réglementaires relatives au reporting, à la rétention des logs, au droit à la notification,
etc.
Préserver l'image et asseoir la réputation d'une entreprise dans un domaine d’activité stratégique
et hautement technique nécessite de renforcer la capacité à protéger les données de l’entreprises,
et de ses clients, d'où l'exigence d'être conforme à ISO 27001.
22
La norme ISO 27001 définit les exigences pour établir, implémenter, exploiter, surveiller,
réviser, gérer et améliorer un SMSI (système de management de la sécurité de l'information)
dans le contexte des risques métiers globaux d'une organisation. Les exigences définies dans
cette norme sont génériques et destinées à être applicable à toutes les organisations, quels que
soient son type, sa taille et sa nature. Car aujourd’hui même les petites et moyennes
organisations ont généralement besoin d’un SIEM pour leurs exigences de conformités
réglementaires – afin de générer automatiquement des rapports prouvant le respect de ces
impératifs.
Ainsi le reporting sur les équipements définis dans les recommandations de la norme en
question devient obligatoire pour répondre aux exigences réglementaires.
3- Objectif :
Les entreprises sont exposées à des menaces et des risques de non-conformité de plus en plus
nombreux et divers. L’objectif principal est d’avoir un haut niveau de sécurité interne des actifs
qui répond aux normes internationales et utiliser des techniques pour identifier les menaces plus
rapidement, à prioriser les risques plus efficacement et à automatiser les activités liées à la
conformité.
Durant le stage, on m’a confié l’importante tâche d’installer une solution SIEM et de l’optimiser
de telle façon à répondre aux exigences du besoin interne.
L’objectif principal qu’on avait au début du stage était de réussir les tâches suivantes :
• Etude générale sur les SIEM et leur fonctionnement basique.
• Faire un benchmarking sur les solutions SIEM open source sur le marché.
• Réaliser un prototype de la solution choisie (OSSIM by ALIENVAULT).
• Implémentation de la solution choisie à l’infrastructure interne de la société
• Optimiser la plateforme et automatiser les tâches et les règles d’intervention au cas

d’une anomalie.
4- Planification :
La réussite de chaque projet repose principalement sur la méthodologie de travail adoptée pour
atteindre les objectifs. Le bon déroulement d’un projet est, donc, impérativement dépendant
d’une bonne planification. La planification du projet est une phase importante d'avant-projet.
Elle consiste à prévoir le déroulement de ce dernier tout au long des phases constituant le cycle
de développement. Pour garantir une bonne gestion du temps ainsi des ressources investies dans
ce travail.
23
Elle consiste à déterminer et ordonnancer les tâches du projet et estimer leurs charges pour avoir
une vision claire sur le point de départ et surtout sur ce que l’on souhaite atteindre tout en
respectant les contraintes temporelles afin de mener le projet dans les bonnes conditions.
Etalé sur une période de 6 mois, le stage a suivi la chronologie présentée dans le diagramme de
Gant de la figure 6-7-8 :
Figure 6: Diagram de Gant (Février - Avril)
Figure 7 : Diagram de Gant (Avril - Juin)
Figure 8 : Diagram de Gant (Juin - Aout)
Conclusion
Dans ce chapitre, nous avons défini le contexte général du projet, la problématique et
les objectifs ainsi que la démarche adoptée pour le mener à bien.
24
Chapitre III :
Benchmarking des
solutions SIEM et
état de l'art
25
Introduction
La sécurité des systèmes informatiques implique la protection des systèmes d’informations par
la prévention, la détection et la réponse aux accès non autorisés depuis l'intérieur ou l'extérieur
de votre entreprise. L'accès incorrect peut engendrer la modification, la destruction et la
mauvaise utilisation des informations ou peut engendrer l'endommagement ou la mauvaise
utilisation des systèmes.
Les entreprises donc ont besoin d'une solution unique et intégrée, leur permettant de collecter,
corréler et gérer des quantités massives de données de sécurité provenant de sources
hétérogènes pour un suivi et une réponse en temps réel. Les projets SIEM sont souvent au cœur
d’une stratégie de sécurité d’entreprise efficace tant ils apportent une vision complète sur
l’activité du réseau et une connaissance optimale de son système IT, de ses utilisateurs et de ses
vulnérabilités. Cette connaissance approfondie permet notamment une détection et une réaction
plus rapide face aux menaces et une meilleure définition de l’infrastructure et des règles de
sécurité.
Ce chapitre présentera le SIEM comme solution adéquate qui s'adapte facilement à un

environnement croissant et changeant. Cette solution SIEM reliera toutes les données de
sécurité en un système intelligent permettant aux équipes de sécurité de gérer les exigences de
conformité réglementaires, de communiquer l'état de la sécurité à un public plus large et de
clarifier les menaces internes, tout en garantissant la protection du périmètre.
I- Généralités
1- Définition d’un SIEM
Connaitre l’état de la sécurité d’un système d’information requiert bien souvent la mise en place
d’un outil de gestion de ses évènements. Depuis les règles de collecte des évènements de
sécurité jusqu’à la mise en place d’un indicateur hebdomadaire de niveau de la sécurité, la
méthode qui pourra s’appliquer à une nouvelle infrastructure ou une infrastructure existante,
appelé SIEM pour « Security Information and Event Management », SEIM (« Security Event
Information Management »), SEM (« Security Event Management ») ou simplement SIM («
Security Information Management »), est un outil qui a pour ambition de traiter les nombreux
évènements générés par les composants d’un système d’information.
26
Il doit aussi assurer les principales fonctions de traitement suivantes :
• Collecte des évènements

• Normalisation des évènements
• Agrégation des évènements
• Corrélation des évènements
• Reporting des évènements
• Archivage des évènements
Les évènements (logs ou alertes) de sécurité sont en effet parmi les seules informations qui
permettent à la fois de mesurer le niveau de sécurité, de détecter d’éventuelles menaces et
d’enclencher les éventuelles actions à entreprendre, le tout en temps réel ou pas. Ne pas établir
un niveau de sécurité, ne pas analyser les évènements de sécurité, leur évolution et leurs
caractéristiques, revient à ne pas maîtriser son infrastructure réseau.
Figure 9 : Schéma de collecte des logs ou des alertes
27
2- Objectifs d’un SIEM
2.1- Objectifs
• Vérifier le niveau de protection
• Fournir des éléments graphiques d’analyse pertinents
• Améliorer la gestion des risques
• Contrôler la vulnérabilité
• Protéger (pare feu, IDS, anti-virus)
2.2- Principe de fonctionnement

• Collecte des logs sécurité/réseau en environnement hétérogène
• Centralisation, normalisation et consolidation de l’information
• Analyse à partir de requêtes paramétrables
• Corrélation d’évènements
• Génération et diffusion automatique des rapports
• Déclenchement d’alarmes et de scripts
• Activité restituée sous forme de graphique
3- Analyse de logs – suivie des traces

L’analyse de Logs est une technique cherchant à donner un sens à des enregistrements générés
par un ordinateur (aussi appelés logs, audit trails record ou encore journaux d’évènements en
français). Le processus de création de ces enregistrements s’appelle le data logging (ou
enregistrement de données)
3.1- Les raisons :
• Conformité avec les politiques de sécurité
• Conformité à des audits ou une réglementation
• Troubleshooting
• Forensics (enquêtes ou réponse à une assignation)
• Réponse aux incidents de sécurité
• Centralisation
28
3.2- Objectifs de l’analyse des logs :
• Réagir rapidement mais aussi plus efficacement
• Réduire les vulnérabilités du S.I et protéger la continuité de service
• Réduire la baisse de la bande passante
• Contrôler la productivité
• Eviter la divulgation d’information
• Se protéger contre le risque d’engagement de la responsabilité civile
• Se protéger contre le risque pénal
• Eviter la mise en cause de l’image de l’entreprise
• Collecter des preuves en cas de litige
• Être en conformité avec les obligations juridiques
• Suivi de l’activité des composants du SI et aide aux décisions d’évolutions
• Suivi de visites de sites marchands
• Suivi de production
3.3- Les outils d’analyse de log :

Le SIM : Security Information Management, qui gère les informations de sécurité du système
d’information de l’entreprise. Il vise à faciliter les contrôles de conformité aux réglementations
et politiques de sécurité, la gestion des menaces internes. Il permet de mieux présenter les
activités de sécurité aux auditeurs internes et organismes de certification.
Le SEM : Security Event Management, qui gère les évènements de sécurité pour améliorer les
capacités de réaction aux incidents de sécurité et faciliter leur traitement en temps réel.
Le SIEM : Security Information and Event Management, qui regroupe les deux notions
précédentes pour offrir une seule et même interface.
29
Figure 10 : Etapes de collections des logs
Le SIEM est le point central pour analyser les journaux et autres données de sécurité des
équipements, des applications, des systèmes d'exploitation, etc. Il représente donc un ensemble
de composants, indépendants les uns des autres (chacun effectue une tâche spécifique) mais si
un seul de ces composants ne fonctionne pas, c’est l’ensemble du système qui est bloqué
Figure 11 : Les mécanismes du SIEM
30
Le SIEM permet :
• La collecte des évènements

• La normalisation des évènements
• L'agrégation des évènements
• La corrélation des évènements
• Le reporting des évènements
• L'archivage des évènements
• Le rejeu des évènements
La première étape du processus d’exploitation des logs est :
➢ La collecte
La collecte est une fonction qui consiste à recueillir des logs et des données de contexte,
notamment des informations d’identité ou les résultats des analyses de vulnérabilité. Les
logiciels de SIEM prennent en entrée les événements collectés du SI, les journaux système des
équipements : pare-feu, routeurs, serveurs, bases de données… Ils permettent de prendre en
compte différents formats (syslog, Traps SNMP, fichiers plats, OPSEC, formats propriétaires,
etc.) ou nativement le format IDMEF (Intrusion Detection Message Exchange Format),
spécialement conçu et validé par l'IETF sous forme de RFC pour partager l'information qui
intéresse un système de détection et protection aux intrusions.
La collecte peut être de façon passive en mode écoute ou active en mettant en place des agents
directement sur les équipements ou à distance.
o La méthode active (pull) :
La méthode active implique que le SIEM doit aller chercher l’information. Un exemple de ce
type de collecte est le stockage des logs sur un partage réseau (serveur de logs). Le SIEM doit
établir une connexion au partage réseau en utilisant un identifiant auprès du partage, puis copier
les logs
• Inconvénient : avec certaines de ces méthodes (en particulier la collecte de fichiers), les logs
n’arriveront pas en temps réel.
o La méthode Passive (pull) :
La méthode passive a l’avantage de faciliter la mise en place et la configuration du SIEM. Il

suffit d’un récepteur (le SIEM) et de pointer l’envoi des logs vers ce récepteur.
31
• Inconvénient : à prendre en compte avec l’utilisation du protocole UDP (Protocol non- orienté
connexion) : un paquet perdu est perdu !
➢ La normalisation
Normalisation et catégorisation : Cette fonction convertit les logs originaux collectés dans un
format universel à des fins d’utilisation au sein du produit SIEM. Par ailleurs, les événements
sont classés dans des catégories utiles : Modifications de la configuration, Accès aux fichiers
ou encore Attaque par surcharge de tampon.
Les traces brutes sont stockées sans modification pour garder leur valeur juridique. On parle de
valeur probante. Ces traces sont généralement copiées puis normalisées sous un format plus
lisible. En effet, la normalisation permet de faire des recherches multicritères, sur un champ ou
sur une date. Ce sont ces évènements qui seront enrichis avec d'autres données puis envoyés
vers le moteur de corrélation.
➢ L’agrégation
Plusieurs règles de filtrage peuvent être appliquées. Ils sont ensuite agrégés selon les solutions,
puis envoyés vers le moteur de corrélation.
➢ La corrélation
La corrélation se base sur un moteur de règle qui permet de créer des règles dont le but est
d’avertir l’administrateur d’une attaque sur le réseau. Ceci permet une identification d’une ou
plusieurs menaces à l’origine d’un ou plusieurs événements, et ainsi alerter vos équipes (SMS,
EMAIL, SNMP).
• Exemple : règle qui déclenche une alarme quand un utilisateur se connecte à distance sur un
serveur avec des droits administrateur
32
Figure 12 : Règles de corrélation
Corrélation/ Règle : Le but du moteur de corrélation est de faire correspondre plusieurs

événements standards à partir de sources différentes dans un unique évènement corrélé. La
corrélation permet de simplifier les procédures de réponse aux incidents, en montrant un seul
évènement qui a déclenché de multiples évènements à venir, à partir d'appareils provenant de
diverses sources.
➢ Le reporting
Les SIEM permettent également de créer et générer des tableaux de bord et des rapports. Ainsi,
les différents acteurs du SI, RSSI, administrateurs, utilisateurs peuvent avoir une visibilité sur
le SI (nombre d'attaques, nombre d'alertes par jour…).
➢ L’archivage
L’archivage représente une partie très importante. Pour utiliser les logs récoltés, le SIEM a
besoin de les stocker pour des raisons de rétention afin d’avoir un historique, si l’administrateur
a besoin de regarder ce qui s’est passé quelques heures ou jours avant une attaque.
• Temps de rétention par équipement ou par type d’équipement
• Gestion de millions d’événements par seconde
• Garantie l’intégrité et la disponibilité des logs
• Preuves recevables par un juge
• Architectures distribuées
33
Les solutions SIEM sont utilisées également pour des raisons juridiques et réglementaires. Un
archivage à valeur probante permet de garantir l'intégrité des traces. Les solutions peuvent
utiliser des disques en RAID, calculer l'empreinte, utiliser du chiffrement ou autre pour garantir
l'intégrité des traces.
II- Sécurité des systèmes d’informations :

L’information est un actif qui, comme tout autre actif pour l’entreprise, a une valeur et qui doit
donc être convenablement protégée. L’approche de la sécurité de l’information permet de
protéger l’information des menaces qui pourraient corrompre sa qualité tout en garantissant la
continuité des activités de l’entreprise, en minimisant les pertes et en maximisant le retour sur
l’investissement et les opportunités.
L’information peut prendre différentes formes. Elle peut être imprimée ou écrite sur papier,
stockée électroniquement, acheminée par voie postale ou par des moyens électroniques,
transmise par des films, ou enfin verbale divulguée lors de conversations. Quelle que soit la
forme qu’elle revêt, quels que soient les moyens par lesquels elle est partagée, transmise ou
stockée, elle doit toujours être correctement protégée.
Lorsque l’on parle de sécurité de l’information, il faut avoir à l’esprit les trois notions suivantes
:
Figure 13 : les trois notions de la sécurité de l'information
34
1. Confidentialité : .il s’agit de s’assurer que l’information est seulement accessible à ceux qui
ont l’autorisation d’y accéder.
2. Intégrité : l’information doit être précise, complète et ne doit ni être altérée, ni altérable.
3. Disponibilité : l’information doit être disponible à tout moment aux seules personnes qui ont
accès à cette information précise. La sécurité de l’information requiert l’implémentation d’une
série de contrôles, de procédures, de politiques de sécurité, etc., devant être mis en place dans
un but de garantie des objectifs de l’entreprise, afin de préserver la confidentialité, l’intégrité et
la disponibilité de l’information.
III- Benchmark des solutions SIEM open-source :
Figure 14 : prélude
Il collecte, normalise, trie, agrège, corrèle et notifie tous les événements de sécurité
indépendamment des types d'équipements surveillés. Au-delà de sa capacité de traitement de
tous types de journaux d’événements (logs système, syslog, fichiers plats, etc.). Prélude est
nativement compatible avec de nombreuses sondes anti-intrusion. Il a été conçu de façon
modulaire pour s’adapter simplement à tout type d’environnement. Les principaux modules de
la version open-source sont les suivants :
• Manager, reçoit et stocke en base les alertes
• LibPrélude, connecte les différentes sondes à Prélude
• LibPréludeDB, module de mise en base
• Correlator : module de corrélation
• LML (Log Management Lackey) : module de traitement des logs
• Prewikka : interface web d'exploitation

Mais malheureusement la version open-source est stérile, il n’y a pas beaucoup d’effort investit
sur ce projet, ce qui pose un problème lors de l’utilisation de cette plateforme.
35
Figure 15 : ELK
La pile ELK est sans doute l'outil SIEM open source le plus populaire disponible, mais il y ait
lieu de débattre pour savoir si la pile ELK peut même être qualifiée de SIEM seule. ELK est
composé de trois logiciels open source, sponsorisé par la société Elastic :
• Logstash est un outil qui ingère différentes données du parc IT (logs, base de données, web
service etc..) Logstash récupère toutes les données, les ingère, les transforme et les envoie
ensuite à la base de données ElasticSearch.
• ElasticSearch est un moteur de recherche (en Json) qui permet de retrouver les données que
l’on recherche dans logstash.
• Kibana est l’interface graphique qui permet de naviguer dans les données de Elasticsearch. On
peut ensuite générer des tableaux, des graphiques, des camemberts à partir de Kibana.
Figure 16 : Splunk light
Il dispose de plusieurs versions. La version gratuite limitée à 500 Mo de données par jours ne
bénéficie pas entre autres des fonctions d’alertes et de supervision. Il faut en effet passer à la
version Splunk Enterprise si on souhaite profiter pleinement de toutes les fonctionnalités de
Splunk (alertes, monitoring, pas de limite de données...). De plus, avec la version free, en cas
de problème, Il faut en effet souscrire à un des abonnements pour bénéficier du support total de
Splunk.
Figure 17 : OSSIM
36
(Open Source Security Information Management) est un système de gestion des événements et
des informations de sécurité open source, intégrant une sélection d'outils conçus pour aider les
administrateurs réseau dans la sécurité informatique, la détection et la prévention d'intrusion.
En tant que système SIEM, OSSIM vise à donner aux analystes et administrateurs de sécurité
une vision de tous les aspects liés à la sécurité de leur système, en combinant la gestion des
journaux et la gestion des ressources.
Cette information est ensuite corrélée pour créer des contextes à l'information non visible d'une
seule pièce. OSSIM exécute ces fonctions en utilisant d'autres composants de sécurité logicielle
Open Source bien connus, en les unifiant sous une seule interface utilisateur basée sur un
navigateur. L'interface fournit des outils d'analyse graphique pour les informations collectées à
partir du composant logiciel open source et permet une gestion centralisée des options de
configuration. Le logiciel est distribué librement sous la licence publique générale GNU.
Contrairement aux composants individuels qui peuvent être installés sur un système existant,
OSSIM est distribué sous la forme d'une image ISO installable conçue pour être déployée sur
un hôte physique ou virtuel en tant que système d'exploitation principal de l'hôte. OSSIM est
construit en utilisant la distribution Debian GNU / Linux comme système d'exploitation sous-
jacent
OSSIM comprend les composants logiciels suivants :
• PRADS
• OpenVAS
• Snort
• Suricata
• Tcptrack
• Nagios
• OSSEC
• Munin
• NFSen/NFDump
OSSIM comprend également des outils auto-développés, le plus important étant un moteur de
corrélation générique avec support de la directive logique et l'intégration des logs avec les
plugins.
37
Pour avoir une vision claire sur le benchmark de ces solutions, nous nous sommes référenciés
au rapport de Gartner, malheureusement le site ne donne pas d’informations sur PRELUDE en
raison de manque d’utilisateurs qui peuvent donner des avis sur leur utilisation de ce système,
alors on va comparer les vendors de OSSIM (qui est Alienvault), ELK (Elastic) et SPLUNK.
Figure 18 : tableau comparatif
Figure 19 : Suite du tableau comparatif
38
Cette figure est extraite du rapport de Gartner qui compare les 3 vendeurs selon plusieurs
critères comme la satisfaction des utilisateurs, les capabilités, temps du réponse et l’intelligence
contre les menaces.
On voit clairement que OSSIM présente des avis très favorables, par rapport aux autres
solutions, ce qui désigne que OSSIM présente des fonctionnalités qui se comparent avec des
solutions payantes, et l’intégration de cette solution avec les nombreux outils lui a donné un
avantage incontournable.
En se basant sur l’étude comparative ci-dessus, la solution SIEM la plus adaptée aux exigences
de la CBI est OSSIM d’Alienvault.
Cette solution est beaucoup plus sophistiquée, fiable et économique que les approches
actuellement disponibles sur le marché. Elle offre un service de collecte et centralisation des
logs des différents actifs connectés, le monitoring, la découverte des assets et la détection des
attaques.
Conclusion
Dans ce chapitre, nous avons effectué une étude comparative entre les solutions SIEM open
source sur le marché, et nous avons conclu que la solution OSSIM est la plus adéquate.
39
Chapitre IV :
Description de la
solution SIEM de
OSSIM
40
Introduction
Dans ce chapitre, nous allons présenter une étude approfondie de la solution OSSIM
d’ALIENVAULT, pour bien comprendre son fonctionnement, les caractéristiques, ainsi que les
avantages de cette technologie.
Pour cela, une étude de son architecture et son flux de fonctionnement est indispensable.
I- Présentation
1- Principe de base d’OSSIM :
OSSIM est une solution fédérant d’autres produits open-source au sein d’une infrastructure
complète de supervision de la sécurité. Il est fondé sur trois briques essentielles :
• Le serveur : contenant les différents moteurs d’analyse, de corrélation et les bases de données
• L’agent : prenant en charge la collecte et la mise en forme des événements.
• Le Framework : regroupant les consoles d’administrations et les outils de configuration et

de pilotage. Le Framework a pour objectif de centraliser, d’organiser et d’améliorer la
détection et l’affichage des événements liés à la sécurité du système d’information d’une
entreprise.
Ces éléments s’appuient sur des mécanismes de corrélation, de gestion des priorités et
d’évaluation des risques afin d’améliorer la fiabilité et la sensibilité des détections au sein de la
solution.
41
2- L’architecture d’OSSIM :
Figure 20 : Architecture d'OSSIM
Nous remarquons bien qu’il existe différentes bases de données permettant la sauvegarde des
informations corrélées (intermédiaires) :
• EDB : La base de données des événements (la plus grande), stockant toutes les alarmes
individuelles.
• KDB : La base de données des connaissances, sauvegardant les configurations établies par
l’administrateur en charge de la sécurité.
• UDB : La base de données des profils, stockant toutes les informations du moniteur de
profile.
En termes de développement, la solution OSSIM est donc architecturée autour de deux éléments
: le kernel et les logiciels tiers.
42
➢ Le Kernel
Le kernel est le premier niveau de développement d’OSSIM. Il permet de définir les structures
de données. Il fournit les interfaces qui permettent de communiquer avec les différents produits
et travail sur les mécanismes de post-traitement. Ces post-traitements assurés par la solution
OSSIM s’appuient en fait sur des processus de Post-traitement d’agents connus comme :
• La détection des signatures des sondes de détection d’intrusion (IDS)
• La détection d’anomalie
• Le firewall
Le fonctionnement d’OSSIM se peut donc se décliner en deux étapes. Chaque étape

correspondant à une partie bien distincte de l’architecture technique de la solution
Post traitement (OSSIM-server) : Le post-traitement est constitué de l’ensemble des processus

interne à la solution OSSIM qui vont prendre en charge l’information brute telle quelle a été
collectée (puis normalisée), pour ensuite l’analyser, la traiter et enfin la stocker.
Les différents traitements appliqués aux informations recueillies dépendent des outils activés
au sein de la solution mais aussi de politiques définies par le biais du panneau de contrôle.
Les informations sont priorisées. Les risques sont évalués en fonction de la politique définie, et
enfin les informations sont corrélées avant d’être stockées dans la base des événements (EDB).
Prétraitement (OSSIM-agent) : Le prétraitement de l’information qui est assuré par les

moniteurs d’événements et autres éléments de détection. Les équipements qui prennent en
charge ce prétraitement peuvent être déployés en même temps qu’OSSIM ou bien faire partie
de l’architecture existante. On retrouve parmi ces équipements, les sondes de détections
d’intrusion (IDS), les Firewall4, les syslog5 , etc. …
Le prétraitement de l’information consiste en la collecte des informations de logs ainsi que la

normalisation des celles-ci afin de les stocker de manière uniforme et de pouvoir les traiter
efficacement durant l’étape de post-traitement.
43
➢ Les logiciels tiers :
L’autre niveau de développement de la solution consiste à assurer l’interconnexion de logiciels

tiers avec le kernel. Il existe actuellement deux types de logiciels tiers pris en charge par
OSSIM :
• Les produits open-source qui peuvent être modifiés et/ou patchés au besoin et qui sont
généralement fournis dans le package OSSIM
• Les produits commerciaux qui ne peuvent être modifiés et/ou patchés pour les adapter à la
solution et qui ne sont donc pas inclus dans le package OSSIM.
3- Le flux de fonctionnement d’OSSIM :

Pour bien comprendre le fonctionnement interne d’OSSIM, voici un schéma type reprenant le
flux d’information au travers de la solution.
Figure 21 : flux d’information dans OSSIM
44
• Les détecteurs (quels qu’ils soient) traitent les événements jusqu’à ce qu’une alerte soit
identifiée soit par signature, soit par la détection d’une anomalie.
• Le collecteur reçoit les alertes au travers des différents protocoles disponibles (SNMP, etc. …)
• Le parser normalise ces alertes et les stocke dans la base de données des événements (EDB)
• Le parser se charge également d’affecter des priorités aux alertes en fonction des politiques
définie dans le panneau de contrôle ainsi que de toutes les informations systèmes dans les
inventaires des équipements attaqués.
• Le parser évalue aussi les risques immédiats inhérents à l’alerte et remonte si besoin une alarme
au niveau de panneau de contrôle.
• Les alertes une fois priorisées sont envoyées à chaque processus de corrélation, qui met à jour
leurs variables d'état et renvoie éventuellement de nouvelles alertes aux informations plus
complète ou plus fiable. Ces nouvelles alertes sont renvoyées au parser pour être à nouveau
stockées, priorisées et évaluées par rapport aux politiques de risques et ainsi de suite …
• Le moniteur de risque affiche périodiquement l'état de chaque index de risque selon la méthode
de calcul CALM8 (Compromise and Attack Level Monitor)
• Le panneau contrôle quant à lui a remonté les alarmes les plus récentes, met à jour l'état de
toutes les métriques qu'il compare à leurs seuils, et envoie alors de nouvelles alarmes ou effectue
les actions appropriées selon les besoins.
• Depuis le panneau de contrôle, l'administrateur peut également voir et/ou établir un lien entre
tous les événements qui se sont produit à l'heure de l'alerte à l'aide de la console d’investigation.
• L'administrateur peut enfin vérifier l'état de la machine impliquée en utilisant les consoles
d’utilisation, de profil ou de session.
45
4- Les fonctionnalités d’OSSIM :
Figure 22 : Les étapes de fonctionnement d’OSSIM
Le fonctionnement d’OSSIM peut être représentée de manière simple et Graphique en un

découpage sur 9 niveaux tel que la montre le schéma suivant :
➢ La détection :
Cette phase est évidemment effectuée à l’aide de sondes capables de traiter l’information en
temps réel et d’émettre des alarmes lorsqu’une situation à risque est détectée.
46
Une sonde peut utiliser différentes approches dans le but de déterminer si un évènement est à
risque ou non. En effet, deux grands principes complémentaires sont présents dans la détection
d’intrusions :
• Basé sur des signatures : La détection par signatures identifier des évènements de sécurité qui
tentent d’utiliser un système de façon non standard. Les représentations d’intrusions sont donc
stockées et comparées à l’activité du système. Lorsqu’une intrusion connue est repérée lors de
l’utilisation du système, une alarme est levée.
• Basé sur la détection d’anomalie : La détection d’anomalie identifier une activité suspecte en
mesurant une norme sur un certain temps. Une alerte est ensuite générée lorsque le modelé
s’éloigne de cette norme. Le principal avantage de la détection d’anomalie est qu’elle n’exige
aucune connaissance préalable des attaques. Si le module de détection par anomalie détermine
qu’une attaque diffère de façon significative de l’activité normale, il peut la détecter.
➢ La centralisation et la normalisation :
La normalisation et la centralisation (ou l’agrégation) ont pour objectif d’unifier les événements
de sécurité de tous les systèmes critiques de l’entreprise dans un format simple et sur une seule
console. Cela permet notamment d’obtenir une vue considérablement complète de ce qui se
passe partout sur le réseau. Ainsi, grâce à l’ensemble des fonctionnalités d’OSSIM disponibles
par le panneau de contrôle, il est possible d’établir des procédures pour détecter des scénarii
d’attaques plus complexes et fragmentées.
Tous les produits de sécurité ont normalement une capacité de gestion centralisée en utilisant
des protocoles standards. C’est pour cela qu’OSSIM, en se basant sur ces protocoles, met en
œuvre un processus d’agrégation.
La normalisation exige quant à elle un parser (analyseur) ou un traducteur au courant des types
et des formats d'alertes venant de différents détecteurs. La base de données est organisée et la
console d’investigation adaptée afin d'homogénéiser le traitement et l'affichage de tous ces
événements.
De cette façon il est donc possible d’observer tous les événements de sécurité pendant une
période donnée (qu’ils viennent d'un routeur, d’un firewall, d’un IDS, ou d’un serveur) sur le
même écran et dans le même format.
La normalisation est donc une composante essentielle et pour cela OSSIM s’appuie sur le
standard IDMEF9. L’utilisation de ce standard est également vivement encouragée par la
communauté de développeur d’OSSIM et bon nombre d’acteurs de la sécurité en général.
47
L’IDMEF est un standard établit par l’IETF10. Le modèle de données de l’IDMEF est une
représentation orientée objet au format XML des alertes envoyées par les équipements de
détection vers OSSIM.
➢ Gestion des priorités :
Soit une machine qui tourne sous UNIX avec un serveur web Apache. Si OSSIM reçoit une
alerte pour cette machine au sujet d'une attaque sur Microsoft IIS, l'alerte devrait se voir
attribuer une priorité basse.
Autre exemple, si un utilisateur établit une connexion suspecte à un serveur, le système devrait
• Lui accorder une priorité maximum si l'utilisateur est externe au réseau et attaque la base de
données de client
• Lui accorder une priorité basse si l'utilisateur est interne au réseau et attaque une imprimante
réseau.
• Ignorer si l'utilisateur est quelqu'un qui test normalement des serveurs de développement.
Les processus de gestion des priorités dans OSSIM sont définis au niveau du framework dans
lequel il est possible de configurer les éléments suivants :
• La politique de sécurité, ou l'évaluation des équipements selon la topologie et des flux de

données.
• Inventaire
• Évaluation des équipements
• Évaluation des risques (Gestion de la priorité des alertes)
• Évaluation de la fiabilité de chacun alerte
• Définition d'alarme
➢ Evaluation des risques :
Dans OSSIM, l'importance donnée à un événement dépend de trois facteurs :
• La valeur des équipements associée à l'événement
• La menace représentée par l'événement (Impact)
• Le degré d’occurrence
48
Risque intrinsèque / Risque inhérent
Figure 23 : table d’identification des risques.
Traditionnellement l'évaluation des risques est concernée par des risques intrinsèques, ou des
risques latents, en d'autres termes, des risques qu'une entreprise assume en vertu à la fois des
équipements qu'elle possède afin de développer ses affaires mais également des menaces
circonstancielles liées à ces équipements.
Le poids d’un risque peut être corrigé par un dispositif de maîtrise des risques (DMR). OSSIM
tient lieu ici de DMR.
Figure 24 : transformation d’un risque Inhérent à un risque résiduel
49
Risque immédiat
Grâce aux possibilités de contrôle en temps réel qu’offre OSSIM, il est possible de mesurer le
risque lié à la situation actuelle en temps réel.
Dans ce cas-ci la mesure du risque est pondérée par les dommages qu'il produirait et la
probabilité que la menace se produise au moment présent.
Cette probabilité est en fait un dérivé de l'imperfection des sondes et s'avère n'être rien de plus
que le degré de fiabilité des sondes qui détectent une potentielle intrusion en cours.
Le risque immédiat peut donc être définit par l'état de risque produit quand une alerte est reçue
et évaluée instantanément comme une mesure des dommages qu'une attaque pourrait produire,
pondérée par la fiabilité du détecteur qui a remonté l’information.
OSSIM calcule le risque immédiat de chaque événement reçu, et utilise cette mesure objective
pour évaluer l'importance de l'événement en termes de sécurité. OSSIM utilise cette mesure
seulement pour évaluer la nécessité d’agir.
➢ Corrélation :
La fonction de corrélation peut être définie comme un algorithme qui exécute une opération sur
des données en entrée et renvoie des données en sortie.
Les informations collectées par les détecteurs et les moniteurs sont spécifiques et encore
partiels. Elles ne représentent qu’une petite partie de la quantité d’information que nous
souhaiterions obtenir finalement.
Le mécanisme de corrélation peut donc être vu comme la possibilité d’utiliser les informations
remontées par les détecteurs et en utilisant un nouveau niveau de traitement, de compléter et
d’améliorer le niveau d’information.
Le but étant de rendre cette remontée d’information le plus efficace possible par rapport à
l’étendue de la quantité d’information disponible sur le réseau d’entreprise.
Le mécanisme de corrélation est en quelque sorte un moyen de gommer un certain manque de

fiabilité ou une sensibilité insuffisante au niveau des détecteurs.
En fait, si l’on voulait obtenir un maximum d’efficacité au niveau des détecteurs, il faudrait
imaginer un détecteur capable de capter tous les événements disponibles sur le réseau. Il lui
faudrait ensuite les stocker et les afficher
50
Etant donné le volume des informations qui transitent sur un réseau d’entreprise, cette solution
n’est tout simplement pas envisageable !
Les principes de corrélation sous OSSIM sont :
En entrée (input) : Deux éléments bien définis fournissent des informations aux fonctions de
corrélation :
• Les moniteurs, qui fournissent des indicateurs
• Les détecteurs, qui fournissent des alertes.
En sortie (output) : On retrouve également l’un de ces deux éléments : alertes ou indicateurs.
Les fonctions de corrélation deviennent en fait de nouveaux détecteurs et moniteurs.
Figure 25 : L’étape de corrélation
Le modèle de corrélation d'OSSIM a pour objectif de :
• Développer des modèles spécifiques pour détecter le connu et le détectable.
• Développer des modèles non spécifiques pour détecter l'inconnu et l'indétectable
• Fournir une machine d'inférence qui peut être configurée en utilisant des règles en
corrélation et qui a la capacité de décrire des modèles plus complexes
• Fournir la capacité de lier des détecteurs et des moniteurs de manière récursive pour
créer des objets plus détaillés et plus utiles
• Développer les algorithmes pour montrer une vue générale de la situation de la sécurité
51
Pour atteindre ces objectifs, OSSIM utilise deux méthodes de corrélation très différentes, basées
sur les deux principes suivants :
Corrélation en utilisant des séquences d’événements :
Concentrées sur des attaques connues et détectables qui relie les modèles et les comportements
connus qui définissent une attaque en utilisant des règles mises en application par un état de
référence.
Corrélation en utilisant des algorithmes heuristiques :
Cette méthode utilise une approche opposée, mettant en application des algorithmes qui
essayent de détecter des situations risquées en utilisant l'analyse heuristique.
Cette méthode permet de compenser les imperfections de la corrélation par séquences

d’événements en détectant des situations sans connaître ou montrer les détails. Ceci est utile
pour détecter des attaques inconnues et montrer une vue générale de l'état de la sécurité pour
un grand nombre de systèmes
➢ Monitoring :
Le monitoring consiste en l’affichage des informations fournies. Les consoles de monitoring

utilisent les différentes données produites par les procèdes de corrélation pour la construction
d’un affichage efficace. OSSIM place une grande importance sur le monitoring détaille de
chaque machine et profil. Il existe 3 différents types de monitoring dans OSSIM :
• Monitoring d’utilisation, offrant une vue générale d’une machine.
• Monitoring de profil, offrant des informations spécifiques sur l’activité des utilisateurs.
• Monitoring de session, offre un affichage temps réel des sessions en cours d’un utilisateur.
Ces trois moniteurs sont essentiels pour un système de sécurité. En leur absence l'administrateur
de sécurité serait aveugle aux événements passés et ne pourrait pas distinguer une activité
normale d’une activité anormale.
OSSIM offre à travers ces trois consoles de surveillance la capacité, en s’appuyant sur des
produits, d’agir en tant que sniffers et de la situation du réseau au degré de détail le plus élevé.
➢ Forensic console (Console légale)
Cette console offre l’accès à toutes les informations recueillies et stockées par le collecteur.
Elle est donc un outil de recherche sur la base de données d’évènements (EDB). Celle-ci permet
une analyse détaillée et approfondie des éléments réseaux.
52
➢ Control Panel (panneau de contrôle)
Cette console offre un aperçu de haut niveau de la sécurité, cette console permet la définition
de seuils générant des alarmes de haut niveau à destination de l’administrateur réseau en charge
de la sécurité.
5- Manipulation de la Framework d’OSSIM

Après l’installation d’OSSIM, qui on a le choix de l’installer physiquement sur un serveur ou
bien sur un environnement virtuel (ESXI, Hyper-V …).
Afin d’accéder à la console d’administration d’OSSIM (au serveur OSSIM) nous connectons à
un navigateur Web (Google Chrome, etc.), et nous tapons l’adresse IP du serveur OSSIM Alors
l’interface d’authentification au serveur apparaît. Nous utilisons donc le login et le mot de passe
pour s’authentifier comme administrateur (par défaut auprès de notre serveur OSSIM).
Figure 26: Authentification auprès du serveur
Suite à l’authentification, on obtient le tableau de bord suivant :
Figure 27 : interface Web d’OSSIM.
53
➢ Dashboard :
OSSIM offre un tableau de bord intéressant avec une variété de représentations des différents
résultats collectés par l’agent. Il montre une vue d’ensemble de tous les composants du serveur
OSSIM comme la gravité de la menace, les vulnérabilités dans l’hôte des réseaux, l’état du
déploiement et des cartes de risque. Pour cette figure, nous trouvons l’état des alarmes et des
événements qui se sont produits récemment sur le réseau (dernière alarmes, événements
détectés, attaques, etc.).
➢ Analysis :
L’onglet « Analyse » est très important dans OSSIM puisqu’il indique bien les événements
effectués dans le réseau et détectés par OSSIM selon plusieurs critères. De plus, il indique les
différents types et détails d’alarmes que OSSIM détecte et stocke dans sa base de données.
Ainsi, il permet afficher les anomalies survenues dans le réseau.
➢ Environment :
Le volet Environment (en anglais) contient les actifs qu’on supervise, il donne une vue générale
sur les hôtes supervisés, leurs vulnérabilités, ainsi que les alarmes sauvegardées.
On peut également démarrer un scan de vulnérabilité basé sur la fameuse solution open source
OpenVas à partir de cet onglet, ces scans sont effectués en se basant sur une grande base de
données des CVEs, mis à jour périodiquement.
Il y a aussi ce qu’on appelle le NetFlow, c’est le centre de suivi du Traffic réseau entrant et
sortant des actifs supervisés, on peut déduire facilement le volume des données qui circulent
sur notre infrastructure. On peut également configurer le plugin Snort, qui fait office d’un
sniffeur réseau, pour superviser le réseau et non pas le traffic entrant/sortant es actifs supervisés.
➢ Reports :
L’onglet Reports c’est le centre des rapports stockés sur OSSIM et qui sont générés d’une façon
automatique une fois un scan est terminé, ou bien les rapports des alarmes, on peut les
télécharger ou bien les envoyer par E-mail.
➢ Configuration :
Le volet configuration sert à configurer et administrer la plateforme Web, comme l’ajout des
utilisateurs, effectuer des backups, automatiser pas mal de chose qu’on va voir sur le quatrième
chapitre, qui contient des étapes de configuration pour automatiser quelques fonctionnalités.
54
Conclusion
Dans ce chapitre, nous avons compris le fonctionnement d’OSSIM by Alienvault, son
architecture, son flux de fonctionnement et sa mise en place. Ainsi, nous nous sommes
familiarisées avec cet outil assez puissant et complexe vu qu’il possède plusieurs fonctionnalités
et qu’il peut intégrer plusieurs d’autres outils. Dans le chapitre suivant, nous allons implémenter
cette solution, ainsi les outils que nous avons intégrés avec. Nous allons présenter également
quelques techniques et paramétrage pour renforcer notre SIEM.
55
Chapitre V :
La mise en place de
la solution
56
1- Description technique de la phase d’installation :
Pour la phase de l’installation de OSSIM d’Alienvault, on a opté pour une installation dans un
environnement virtuel en utilisant VMware ESXi. Ceci est dû en fait que l’équipe IT dispose
déjà d’un serveur qui peut faire office d’hôte pour la solution.
Figure 28: Inventaire du VMware Esx
Figure 29 : Début de l’installation
57
On lui attribue l’adresse IP.
Figure 30: Choix d’adresse IP.
On crée un mot de passe pour le super utilisateur root qu’on aura besoin ensuite pour avoir des
privilèges sur notre système.
Figure 31: création de mot de passe pour « root ».
58
On termine l’installation de OSSIM :
Figure 32: fin d’installation
On utilise le login « root » et son mot de passe pour accéder au menu principal :
Figure 33: menu principale de OSSIM
59
On clique sur jailbreak système pour accéder au terminal comme indiqué :
Figure 34: terminal de OSSIM
1- Configuration et paramétrage de la solution OSSIM :

Pour la première utilisation de l’interface graphique, on lance un navigateur, on tape l’adresse
IP de OSSIM et on obtient :
60
Figure 35: interface graphique de OSSIM
On remplit les informations demandées, comme le nom et le nom de l’entreprise.
On crée l’utilisateur « admin » et on communique l’adresse Mail.
2- L’ajout de notre machine Windows 10 :

Pour profiter au maximum de notre plateforme, on va ajouter notre machine pour la surveiller.
Pour l’ajouter il suffit de télécharger et installer un agent OSSEC sur le serveur, pour collecter
les logs et les envoyer à OSSEC server qui est dans notre cas le système OSSIM.
Figure 36: début d’installation de OSSEC.
61
On continue l’installation comme tout logiciel, et on obtient ça :
Figure 37: interface OSSEC
On a deux champs à remplir : L’adresse IP du OSSEC server (qui OSSIM) et la clé

d’authentification pour vérifier l’identité du OSSEC server pour envoyer les logs.
On accède à OSSIM, on clique sur « jailbreak the system » et on suit ce chemin :
/var/ossec/bin/manage_agents
Et on obtient ça :
****************************************
* OSSEC HIDS v2.5-SNP-100809 Agent manager.*

* The following options are available:*
***************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q:
62
On choisit “ Add an agent “ pour ajouter notre machine windows 10 en spécifiant l’adresse IP
du serveur et son nom, ensuite on fait extraire la clé d’authentification et on la colle sur
l’interface de OSSEC agent mentionné précédemment.
Figure 38: OSSEC agent manager.
Pour vérifier on a les informations suivantes :
Figure 39 : information sur l’agent OSSEC installé.
Et voilà on est prêt à recevoir les logs à partir de cette machine, pour les corréler et détecter les
anomalies, on refait la même configuration pour les autres serveurs mentionné précédemment
63
3- Quelques tests de vulnérabilités :
Dans cette partie on va utiliser Kali Linux pour simuler quelques attaques.
A L’aide de l’outil Nikto on peut attaquer le webserver.
L'injection SQL est l'une des techniques de piratage Web les plus courantes, c’est une technique
d'injection de code qui pourrait détruire votre base de données et qui consiste à placer du code
malveillant dans des instructions SQL, via une entrée de page Web.
Figure 40: Webserver attack - SQL Injection
Figure 41: Exploitation & installation on webserver
L'accès à distance par SSH, on essaye de se connecter par bruteforce en utilisant SSH.
Figure 42: Suspicious behaviour SSH login
Ici on peut voir les événements liés à la sécurité en temps réel, on constate que y’a des alertes
liés au syslog et c’était car on a essayé de saisir des mots de passes incorrects pour pouvoir
accéder à la machine windows 10.
64
Figure 43 : Les évenements liés au syslog
Conclusion
Dans ce chapitre nous avons détaillé l’installation du SIEM OSSIM d’Alienvault, et on a
commencé à recevoir les logs, nous avons aussi effectué un test de vulnérabilité pour corriger
l’état de nos serveurs.
65
Chapitre VI :
Machine learning
66
Introduction
Internet étant la chose la plus populaire et la plus utilisée dans le monde, est devenu ces
dernières années un élément essentiel de nos vies. Les internautes augmentent
considérablement, et les attaques de réseau, les violations et les vulnérabilités sont multipliées,
et les attaques, DDOS est l’attaque la plus dangereuse pour les entreprises, je vais tout d'abord
utiliser dataset UCLA avant d'utiliser les journaux DDOS fournis par notre système SIEM, afin
de développer un algorithme classifiant et identifiant le type d'attaque DDOS. Cette partie du
travail est basée sur plusieurs recherches, avec quelques calculs mathématiques et statistiques
et des algorithmes intelligents tels que le classificateur K-NN, écrit en python.
1- Architecture attaque DDOS :

DDOS est la capacité d’organiser une communication, de la compromettre, puis de lancer des
attaques. Les étapes sont principalement les suivantes :
• Tout d’abord les attaquants, pour les hôtes du réseau, qui présentent des vulnérabilités et des
faiblesses. Ils empiètent sur ces systèmes et obtiennent des niveaux d’administration par
l’escalade de privilèges.
• Les assaillants donnent des ordres à différents gestionnaires afin de prendre le contrôle des
agents
• Les agents envoient un grand nombre de paquets inutiles, ce qui empêche le répondeur de
répondre tant que le système n'est pas saturé et qu'il ne fonctionne plus.
Figure 44 : Architecture of DDoS Attack
67
2- Les types des attaques DDOS :
Je couvrirai deux types d’attaques DDOS lors de ces attaques de recherche, d’inondation et de
balayage.
• Attaque TCP SYN Flooding: l’attaquant envoie ici des messages SYN, avec des adresses IP
usurpées, à un seul hôte. L'hôte répond par des messages SYN et ACK qui ne sont jamais
reconnus par l'attaquant. Si vous laissez le serveur avec de nombreuses connexions à moitié
ouvertes, cela entraînera un blocage ou un blocage.
• Attaques ACK Flood: l’attaquant envoie des paquets ACK contenant tous les messages TCP
avec ACK flag bits, chacun vérifiant de vérifier et de vérifier si le paquet est illégal ou non, s’il
doit répondre avec un paquet RST.
• SYN Scan: envoie un paquet SYN. Si un hôte répond avec un ACK, il identifie les ports
ouverts. Sinon, le port est fermé.
• ACK Scan: envoyer un paquet ACK. Si un hôte répond avec un RST, un port est probablement
ouvert. Sinon, le port est probablement filtré ou fermé.
3- extraction des données utiles :

1- Nombre de packets :
Nombre total de paquets de l'IP source à l'IP de destination car, lors de l'attaque par DDOS,
l'attaquant envoie un grand nombre de paquets.
Figure 45 : Algo part : number of packets
68
2- Nombres de bits :
Nombre total d'octets de l'IP source à l'IP de destination car le nombre d'attributs DDOS
augmente au cours de la phase d'attaque.
Figure 46 : Algo part : number of bytes
3- Average packet size :

Le rapport entre le nombre d'octets et le nombre de paquets augmente en temps
d'attaque.
Figure 47 : Algo part : Average packet size
4- Packet-rate and Byte-rate :
69
Figure 48 : Algo part : Packet rate
5- Time-interval variance :
Figure 49 : Algo part : Time variance
6- Packet Classification :
7- K-NN classifier :
Il est possible qu'une valeur de champ du paquet entrant soit manquante. Dans ce cas, il sera
classé dans la catégorie "inconnu", ce qui signifie que ce n'est pas normal ou qu'il s'agit d'une
attaque. Nous utilisons le classificateur K-NN pour estimer son état. Il existe de nombreux
autres algorithmes intelligents, mais K-NN possède des fonctionnalités adaptées à notre
système proposé. Avec un élément de test dt, l'algorithme k-NN trouve ses k plus proches
voisins parmi les éléments d'apprentissage, qui forment le voisinage.
70
Figure 50 : K-NN Classifier
8- DDoS Attack Classification :

L'identification des types d'attaques.
Figure 51 : Algo part : classification
9- Bloquer la menace :
Enfin, l’utilisation des ACLs pour bloquer l’adresse IP nuisible.
Figure 52 : Final algo part : @IP block
71
Conclusion
L’attaque la plus grave contre la sécurité du réseau est l’attaque DDoS (Distributed Denial of
Service). En raison de l'énorme augmentation d'Internet, le défi pour les systèmes de détection
DDOS efficaces. Donc, ici, les paquets d'attaque DDoS sont étudiés à partir d'un ensemble de
données de journal pour analyser et classer les attaques DDoS. pour une protection meilleure et
suffisante.
72
Conclusion générale
Au terme de ce rapport, nous rappelons qu’il s’agit d’un projet de fin d’études que nous avons
effectué au sein de la CBI. Notre mission consiste à étudier, analyser et proposer un outil SIEM
qui répond à notre problématique et ensuite intégrer une partie de machine learning, pour
améliorer notre prévention contre les cyber-attaques.
Afin de réaliser ce projet, nous avons commencé par déterminer les besoins de notre projet,
comprendre ses problématiques et délimiter les objectifs afin de cibler et bien définir notre
périmètre de travail.
En s’appuyant sur les besoins de notre projet, et sur les problématiques que rencontre les
entreprises en manière générale, nous sommes sortis avec des exigences qui furent la base sur
laquelle s’est reposée notre étude comparative des différents produits SIEM, suite à la
proposition d’une solution que nous estimons cerne les besoins de notre projet, nous nous
sommes penchés sur l’usage d’OSSIM comme solution pour mettre en valeur ses avantages.
Pour résumer son fonctionnent, cet outil assure l’indexation, la collection et la génération des
rapports et offre la possibilité d’avertir via des alertes.
En ce qui concerne la partie machine learning, nous nous sommes basés sur des calculs
mathématiques, statistiques et des algorithmes intelligents afin de classifier les attaques DDOS.
Durant cette période, nous avons eu l’opportunité d’approfondir nos connaissances aussi bien
celles acquises pendant notre formation à l’école, ainsi que celles recueillies à travers la
recherche personnelle.
Ce stage était aussi une opportunité qui nous a permis d’acquérir plus d’expériences dans le
monde professionnel.
Bien qu’on ait eu des difficultés en ce qui concerne la disponibilité de l’information, la présence
de notre encadrant au sein de la société et notre encadrant au sein de l’école étaient des facteurs
clés qui ont contribué à notre réussite de ce projet.
73
Bibliographie
[1] https://fr.wikipedia.org/wiki/Prelude_SIEM
[2] http://www.prelude-siem.com/wp-content/uploads/2017/04/PRELUDE-
Datasheetuk-2017.pdf
[3] https://devops.com/5-open-source-siem-tools-worth-checking-out/
[4] https://maximepiazzola.wordpress.com/2018/01/19/introduction-aux-
solutionssiem/
[5] https://www.gartner.com/reviews/market/security-information-
eventmanagement/compare/alienvault-vs-elasticsearch-vs-splunk
[6] https://en.wikipedia.org/wiki/OSSIM
[7] http://www.ossec.net/docs/manual/installation/installation-windows.html
[8] https://www.alienvault.com/products/ossim
[9] https://www.capterra.com/siem-software/
[10] https://cybersecurity-excellence-awards.com/2018-cybersecurity-product-
awards-winners-and-finalists/
74

Utilisation de La Machine Learning Dans Une Solution SIEM Open Source Pour La Prévention Des Cyberattaques

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Utilisation de La Machine Learning Dans Une Solution SIEM Open Source Pour La Prévention Des Cyberattaques

Transféré par

Droits d'auteur :

Formats disponibles

Institut National des Postes et

Mémoire de Projet de Fin d’Etudes

Diplôme d’Ingénieur d’Etat

Réseau, sécurité et services

LYOUBI IDRISSI Malak

Utilisation de la Machine Learning dans

Soutenu publiquement à l’INPT en Octobre 2019 sous la direction de :

M. Mohamed EL HAIDI Encadrant externe

M. Abdellatif MEZRIOUI Encadrant interne

Mme. Afaf OUADDAH Encadrante interne

Année Universitaire : 2018 /2019

DNS : Domain Name Service SEM : Security Event Management

EDB: Event database SIEM: Security information event manager

I SIM: Security Information Management

IDMEF: Intrusion Detection Message Exchange SMSI : Système de management de la sécurité de

IDS: Intrusion detection system SNMP: Simple network management protocol

IETF: Internet Engineering Task Force SQL: Structured Query language

IP: Internet Protocol T

IRC: Internet Relay Chat TCP : Transmission Control Protocol

ISO: International Organization for Standardization U

K UDB : Users database

KDB: Knowledge database UDP : User Datagram Protocol

OPSEC: Operation Security VM: Virtual Machine

OSSIM: Open source security information

RFC : Requests For Comments

RSSI : Responsable Sécurité Système d’information

I- Présentation de l’organisme d’accueil

Figure 1 : Les métiers de CBI

• Business Information Management

2.4- Division éditique

Figure 2 : différentes agences de la société CBI

3- Les partenaires stratégiques

Figure 3 : partenaires de CBI

Figure 4 : organigramme de CBI

Figure 5 : Organigramme des services professionnels

• Etude générale sur les SIEM et leur fonctionnement basique.

• Réaliser un prototype de la solution choisie (OSSIM by ALIENVAULT).

• Implémentation de la solution choisie à l’infrastructure interne de la société

• Optimiser la plateforme et automatiser les tâches et les règles d’intervention au cas

Figure 6: Diagram de Gant (Février - Avril)

Figure 7 : Diagram de Gant (Avril - Juin)

Figure 8 : Diagram de Gant (Juin - Aout)

Ce chapitre présentera le SIEM comme solution adéquate qui s'adapte facilement à un

• Collecte des évènements

Figure 9 : Schéma de collecte des logs ou des alertes

2.2- Principe de fonctionnement

3- Analyse de logs – suivie des traces

3.3- Les outils d’analyse de log :

Figure 11 : Les mécanismes du SIEM

• La collecte des évènements

o La méthode active (pull) :

o La méthode Passive (pull) :

La méthode passive a l’avantage de faciliter la mise en place et la configuration du SIEM. Il

Corrélation/ Règle : Le but du moteur de corrélation est de faire correspondre plusieurs

• Temps de rétention par équipement ou par type d’équipement

• Gestion de millions d’événements par seconde

• Garantie l’intégrité et la disponibilité des logs

• Preuves recevables par un juge

II- Sécurité des systèmes d’informations :

Figure 13 : les trois notions de la sécurité de l'information

III- Benchmark des solutions SIEM open-source :

• LibPrélude, connecte les différentes sondes à Prélude

• LibPréludeDB, module de mise en base