Benchmark Snort & Suricata & Zeek 

:
Snort :
 Snort est un système de détection d'intrusion et de prévention d'intrusion gratuit et
open-source populaire développé par Sourcefire, maintenant propriété de Cisco.
 Snort est un système de détection d'intrusion basé sur le réseau (NIDS) open-source qui
utilise des règles pour détecter les activités suspectes sur le réseau
 IL fonctionne en capturant les paquets réseau, en les analysant à l'aide de règles pour
détecter les activités suspectes et en générant des alertes en cas de détection de menaces
 Les alertes peuvent ensuite être gérées et les journaux peuvent être utilisés pour une analyse
ultérieure
 Snort est un outil puissant pour aider les organisations à détecter les menaces sur leur réseau
et à réduire les risques de sécurité
 Détecteur d’intrusion open source
 Placé en tant que sniffer
 Repère des signatures d’attaques
 Repère les scans de port rapides
 Bonne base de signatures :
o Mise à jour
o Modifiable

Inconvénients :

 Pas d’interface graphique

OSSEC : (kan installiw ossec f les PCs, o katjma3 les infos o katsifta l server
OSSEC, mn ba3d server ki détecter les anomalies et les activités suspectes, o
kider les alerts mni kikon chi menace).
 Ossec est un système open-source de détection d'intrusion (HIDS) conçu pour
fournir une détection de menace et une sécurité des alertes sur les serveurs et les
postes de travail individuels.
 Il effectue une :
o Analyse des journaux,
o Une vérification de l'intégrité,
o Une surveillance du registre
o Une détection des rootkits (un comportement anormal sur une machine),,
o Une alerte basée sur le temps et une réponse active
o Identifier les menaces, les attaques de logiciels malveillants
o Il collecte les informations qui lui sont envoyées par les équipements, il
utilise les signatures ou le comportement pour détecter une anomalie.
o Multiplatform HIDS.
o Il a une interface en ligne de commande (CLI) et est compatible avec
plusieurs systèmes d'exploitation.

L’architecture :
Wazuh :
 Wazuh est un HIDS open source qui offre une gamme de fonctionnalités de sécurité
pour la détection d’intrusion, la supervision de sécurité, et la réponse aux menaces.
 Il intègre OSSEC
 Il peut être utilise pour surveiller Endpoint, les services cloud et conteneurs, et pour
agréger et analyser les données provenant de source externe.
 il offre une intégration avec Elasticsearch et Kibana pour visualiser les données de
sécurité et les événements détectés.
Wazuh fournit les cas d’utilisation (use cases) suivantes :

Benchmark OSSEC & WAZUH :

 En termes de performance, Wazuh est considéré comme plus efficace que OSSEC, en
raison de sa prise en charge native de l'intégration avec Elasticsearch et Kibana. Cela
lui permet de gérer de grandes quantités de données de sécurité et de les visualiser
plus rapidement.
 Wazuh offre une interface utilisateur graphique (GUI) pour la gestion et la
visualisation des données de sécurité, tandis que OSSEC se limite à une interface en
ligne de commande (CLI).
 OSSEC est généralement considéré comme plus facile à installer et à configurer que
Wazuh.
 Wazuh offre une meilleure évolutivité qu'Ossec, permettant aux utilisateurs de gérer
un plus grand nombre d'hôtes et de recevoir des alertes de plusieurs agents.
 OSSEC est compatible avec de nombreux systèmes d'exploitation, Wazuh prend en
charge une plus grande variété de plates-formes, y compris Docker, Kubernetes, et
des infrastructures de conteneurs.
D’après le benchmarking fait pout choisi la soulution la plus convenable, on choisi un HIDS
wazuh, car est une version améliorée et mise à jour d'OSSEC, avec des fonctionnalités
supplémentaires, une compatibilité multi-plateforme.

L’emplacement de IDS :
L’emplacement de l’ids dépendra des besoins spécifiques de l’infrastructure, en peut
prendre en considération ces point :
 Un IDS doit être placé de manière à surveiller le trafic réseau que nous voulons
protéger.
 Il doit être placé de manière stratégique pour surveiller les points d'entrée critiques
du réseau, comme le pare-feu et les routeurs.
 Il doit avoir la capacité de traiter le volume de trafic réseau qui passe par le réseau à
surveiller.

Position (1) : Sur cette position, l'IDS va pouvoir détecter l'ensemble des attaques frontales,
provenant de l'extérieur, en amont du firewall. Ainsi, beaucoup d'alertes seront remontées
ce qui rendra les logs difficellement consultables. (3atwli s3iba bach nrj3o les logs dialna).
Position (2) : Si l'IDS est placé sur la DMZ, il détectera les attaques qui n'ont pas été filtrées
par le firewall et qui relèvent d'un certain niveau de compétence. Les logs seront plus clairs.
Position (3) : L'IDS peut ici rendre compte des attaques internes, provenant du réseau local
de l'entreprise, et il analysera le flux entre le réseau interne et internet/DMZ.
Donc le meilleur positionnement de IDS est la position 2 et 3.
SURICATA :
Suricata est un NIDS hautes performances conçu pour détecter et prévenir les intrusions sur
le réseau en temps réel.
Suricata, en tant qu'IDS basé sur les signatures, est un moteur de détection des menaces
réseau gratuit et open source, rapide et robuste.
Il est capable de détecter les intrusions en temps réel, de surveiller la sécurité du réseau
(NSM) et de traiter la capture de paquets hors ligne (pcap).
Suricata qui fonctionne au niveau de la couche d'application pour une plus grande visibilité.
Suricata peut surveiller les protocoles de niveau inférieur, notamment UDP, TLS, TCP et
ICMP, ainsi que les protocoles de niveau supérieur tels que SMB, FTP et HTTP.
Le système de détection d'intrusion Suricata contient plusieurs threads dans le même
moteur de détection (executer en different CPU en parallel), ce qui lui permet de diviser les
tâches de traitement.
Suricata il télécharge les régles à partir des bases de signature, et il est possible d’écrire ses
propres régles pour la détection des menaces les plus complex.
Suricata analyse le trafic sur une ou plusieurs interfaces réseaux en fonction de règles activées. Il
génère, par défaut, un fichier JSON

Principales fonctionnalités de suricata :

Performance élevée : Multi-threading, itilisation des GPU
Détection automatique de protocole (TCP,UDP,ICMP,HTTP, FTP,TLS,SSL,SMB,DNS)
Enregistrement des certificats et extraction de fichier
Extraction des fichiers pour isolé les fichiers malveillants