Rapport de Stage: Mise en Place D'un Système de Monitoring Siem: Elk Stack

République Tunisienne
Ministère de l’Enseignement Supérieur

et de la Recherche Scientifique
Université de Carthage
Institut Supérieur des Technologies de
l’Information et de la Communication
Rapport de Stage
Présenté en vue de l’obtention de la Licence en Technologies de
Spécialité : Télécommunications
Présenté Par
Nour Berraies
Youssef Ben Salah
Mise en place d’un système de monitoring

SIEM : ELK Stack
Réalisé au sein de Tunisie Télécom
Soutenu publiquement le 05/06/2023 devant le jury composé de :
Président : Mme Maha Cherif, Enseignante, ISTIC

Rapporteur : Mme Sabrine Naimi, Enseignante, ISTIC
Encadrant professionnel : M Walid Zaghdoudi, Ingénieur, TELECOM
Encadrant académique : Mme Nejla Oueslati, Enseignante, ISTIC
Année Universitaire : 2022-2023

République Tunisienne
Ministère de l’Enseignement Supérieur
et de la Recherche Scientifique
Université de Carthage
Institut Supérieur des Technologies de
Rapport de Stage
Présenté en vue de l’obtention de la Licence en Technologies de
Spécialité : Télécommunication
Présenté Par
Nour Berraies
Youssef Ben Salah
Mise en place d’un système de monitoring

SIEM : ELK Stack
Réalisé au sein de Tunisie Télécom
période de Stage : du 01/02/2023 jusqu’au 01/05/2023
Autorisation de dépôt du rapport de Projet de Fin d’Etudes :
Encadrant professionnel : Encadrant académique :

Le : Le :
signature : Signature :
Dédicaces
À mes chers parents, mes idoles, aucune dédicace ne saurait être assez
éloquente pour exprimer l’amour et le respect que j’ai pour vous.
À mes sœurs Héla et Salma, qui n’ont jamais cessé de m’encourager et de
me soutenir dans tous les projets que j’entreprends. En témoignage de
mon affection fraternelle, mon attachement éternel et ma reconnaissance.
À tous ceux que j’aime.
À tous ceux qui m’aiment et me supportent.
BEN SALAH Youssef
i
Dédicaces
Au début, je tiens à remercier DIEU de m’avoir donné la santé et la force

de mener à bien ce modeste travail.
Je dédie ce projet à mes drôles parents, aucun hommage ne pourrait être

à la hauteur d’amour et de respect que j’ai pour vous.
À ma chère sœur qu’elle m’a toujours soutenu et m’encourage dans toute
ma vie.
Merci pour vos support et encouragement tout au long de mon parcours.
À mon binôme Youssef qui a partagé avec moi tous les moments de la
réalisation de ce travail.
Tout ceux qui m’aiment et que j’aime.
Nour Berraies
ii
Remerciements
Nous avons un grand plaisir de garder cette page en signe de gratitude et de profonde
reconnaissance à tous ceux qui nous ont aidés de près et de loin pour réaliser ce projet.
En premier lieu, nous tenons à remercier Mr Walid Zaghdoudi notre encadrant

professionnel au sein de Tunisie Télécom et notre encadrante académique Mme Nejla
Oueslati pour leurs disponibilités durant la période du stage, leurs judicieux conseils,
leurs efforts et leurs encouragements ; nos respectueuses reconnaissances.
Nous tenons aussi à remercier la société qui nous a accueillis pendant toute la durée
du stage Tunisie Télécom pour cette opportunité de nous intégrer dans leur travail.
Et finalement, nous aimerons adresser ce remerciement à l’Institut Supérieur des Tech-

nologies de l’Information et de la Communication ISTIC et le jury pour leurs propres
efforts réalisés.
iii
Table des matières
Remerciements iii
Liste des Abbréviations xi
Introduction Générale 1
1 Présentation Générale du Projet 2

1.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.2 Présentation de l’organisme d’accueil . . . . . . . . . . . . . . . . . . . . . 2
1.2.1 Organisme d’accueil . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.2.2 Domaines d’activités . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.2.3 Missions de Tunisie Télécom . . . . . . . . . . . . . . . . . . . . . . 3
1.3 Présentation du projet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.3.1 Cadre de projet et problématique . . . . . . . . . . . . . . . . . . . 4
1.3.2 Etude de l’existant . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.3.3 Critique de l’existant . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.3.4 Solution proposée . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1.4 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2 Les Notions de Bases de la Sécurité Informatique 7

2.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.2 Cyberattaque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.2.1 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.2.2 Types d’attaques . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.2.3 Différents exemples de cyberattaques . . . . . . . . . . . . . . . . . 8
2.3 Cybersécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.3.1 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.3.2 Types de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.3.3 Services de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.4 Supervision . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.4.1 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.4.2 Security Operation Center . . . . . . . . . . . . . . . . . . . . . . . 11
2.4.3 Fonctions du Security Operations Center (SOC) . . . . . . . . . . . 11
2.4.4 Types du SOC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.4.5 Security Information and Event Management . . . . . . . . . . . . 13
2.4.6 Principe de fonctionnement du Security Information and Event ma-
nagement (SIEM) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.4.7 Relation entre SOC et SIEM . . . . . . . . . . . . . . . . . . . . . . 15
2.4.8 Journalisations : Logs . . . . . . . . . . . . . . . . . . . . . . . . . . 16
iv
Table des matières Table des matières
2.5 Solutions disponibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

2.5.1 Définition de chaque logiciel de supervision . . . . . . . . . . . . . 17
2.5.2 Les Avantages et les inconvénients des logiciels de la supervision . . 19
2.6 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
3 Réalisation et tests 20
3.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.2 Choix de la solution et justification . . . . . . . . . . . . . . . . . . . . . . 20
3.2.1 Avantages du ELK Stack par rapport à la solution adoptée par TT 20
3.2.2 Composants du ELK . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.2.3 Fonctionnement d’ELK Stack . . . . . . . . . . . . . . . . . . . . . 22
3.3 Environnement du travail . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3.3.1 Environnement matériel . . . . . . . . . . . . . . . . . . . . . . . . 22
3.3.2 Environnement logiciel . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.3.3 Architecture d’environnement du travail . . . . . . . . . . . . . . . 25
3.4 Installation d’Elastic Stack . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
3.4.1 Installation de prérequis . . . . . . . . . . . . . . . . . . . . . . . . 26
3.4.2 Installation d’Elasticsearch . . . . . . . . . . . . . . . . . . . . . . . 28
3.4.3 Création et déploiement de certificats . . . . . . . . . . . . . . . . . 29
3.4.4 Installation du module Wazuh . . . . . . . . . . . . . . . . . . . . . 32
3.4.5 Installation de Filebeat . . . . . . . . . . . . . . . . . . . . . . . . . 33
3.4.6 Installation de Kibana . . . . . . . . . . . . . . . . . . . . . . . . . 36
3.4.7 Désactivation des Référentiels . . . . . . . . . . . . . . . . . . . . . 39
3.5 Installation des agents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
3.5.1 Installation des agents sur Ubuntu 22.04 . . . . . . . . . . . . . . . 41
3.5.2 Installation des agents sur Windows 10 . . . . . . . . . . . . . . . . 42
3.6 Visualisation du système : . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
3.7 Scénarios des attaques . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
3.7.1 Surveillance de l’intégrité des fichiers . . . . . . . . . . . . . . . . . 46
3.7.2 Détection d’une attaque par injection Structured Query Language
(SQL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
3.7.3 Détection de vulnérabilité . . . . . . . . . . . . . . . . . . . . . . . 53
3.7.4 Attaque force brute par protocole Secure Shell (SSH) . . . . . . . . 67
3.8 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Conclusion Générale 71
Netographie 72
Liens d’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
v
Table des figures
1.1 Logo Tunisie Télécom (TT) . . . . . . . . . . . . . . . . . . . . . . . . . . 2

1.2 Organigramme TT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.3 Authentification du Logiciel QRadar. . . . . . . . . . . . . . . . . . . . . . 5
1.4 Onglet d’Infraction dans QRadar Console. . . . . . . . . . . . . . . . . . . 5
1.5 Onglet d’Activité du Réseau dans QRadar Console . . . . . . . . . . . . . 6
2.1 Fonctionnement du SOC [1]. . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.2 Architecture du SIEM [2]. . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.3 Fonctionnement du SIEM [3]. . . . . . . . . . . . . . . . . . . . . . . . . . 15
2.4 Relation entre SOC et SIEM [4]. . . . . . . . . . . . . . . . . . . . . . . . . 16
2.5 Interconnexion entres les fichiers logs et les systèmes SIEM [5]. . . . . . . . 16
2.6 Logo ELK Stack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.7 Logo QRadar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.8 Logo Splunk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.9 Logo SolarWinds and Event Manager . . . . . . . . . . . . . . . . . . . . . 18
2.10 Logo McAfee Enterprise Security Manager . . . . . . . . . . . . . . . . . . 18
2.11 Logo ArcSight . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.1 Architecture du Serveur Wazuh [6] . . . . . . . . . . . . . . . . . . . . . . 21
3.2 Logo VMware-Workstation-player . . . . . . . . . . . . . . . . . . . . . . . 23
3.3 Logo Elastic Stack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3.4 Logo Wazuh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3.5 Logo Kali . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3.6 Logo Metasploit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
3.7 Architecture d’environemment du travail . . . . . . . . . . . . . . . . . . . 26
3.8 Commande pour déterminer le nom de localhost . . . . . . . . . . . . . . . 26
3.9 Commande pour créer des fichiers Sudoers . . . . . . . . . . . . . . . . . . 27
3.10 Ajouter l’utilisateur comme un root . . . . . . . . . . . . . . . . . . . . . . 27
3.11 Commande pour installer java et open jdk . . . . . . . . . . . . . . . . . . 27
3.12 Commande pour verifier la version du java . . . . . . . . . . . . . . . . . . 27
3.13 Commande pour installer les fichiers prérequis . . . . . . . . . . . . . . . . 28
3.14 Commande pour importer la clé GPG à Elasticsearch . . . . . . . . . . . . 28
3.15 Commande pour ajouter le dépôt d’Elastic Stack . . . . . . . . . . . . . . 28
3.16 Commande pour installer le package Elasticsearch . . . . . . . . . . . . . . 29
3.17 Commande pour télécharger le fichier de configuration d’Elasticsearch . . 29
3.18 Commande pour télécharger le fichier de configuration des Certificats. . . 29
3.19 Commande pour créer les certificats. . . . . . . . . . . . . . . . . . . . . . 29
3.20 Commande pour extraire les fichiers Zip téléchargés du Certificats. . . . . 30
3.21 Commandes pour créer le répertoire et configurer les fichiers des certificats. 30
3.22 Commandes pour activer et démarrer le service Elasticsearch. . . . . . . . 30
3.23 Commande pour vérifier l’activation d’Elasticsearch. . . . . . . . . . . . . 30
vi
Table des figures Table des figures
3.24 Commande pour exécuter les nouveaux mots de passe. . . . . . . . . . . . 31

3.25 Affichage des nouveaux mots de passe. . . . . . . . . . . . . . . . . . . . . 31
3.26 Commande pour vérifier le bon fonctionnement de l’installation d’Elastic-
search. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
3.27 Commande pour importer la clé GPG à Wazuh. . . . . . . . . . . . . . . 32
3.28 Commande pour ajouter le dépôt du Wazuh. . . . . . . . . . . . . . . . . 32
3.29 Commande pour installer le package du gestionnaire Wazuh. . . . . . . . 33
3.30 Commande pour activer et démarrer le service de gestionnaire Wazuh. . . 33
3.31 Commande pour vérifier l’activation du Wazuh. . . . . . . . . . . . . . . . 33
3.32 Commande pour installer les Filebeat. . . . . . . . . . . . . . . . . . . . . 34
3.33 Commandes pour télécharger le fichier de configuration Filebeat, le modèle
d’alertes pour Elasticsearch et module de Wazuh pour les Filebeat. . . . . 34
3.34 Commande pour modifier le fichier Filebeat. . . . . . . . . . . . . . . . . 34
3.35 Ajout de mot de passe d’Elastic dans le fichier Filebeat. . . . . . . . . . . 35
3.36 Commandes pour copier les certificats dans le fichier Filebeat. . . . . . . . 35
3.37 Commandes pour activer et démarrer le service Filebeat. . . . . . . . . . 35
3.38 Commande pour vérifier le bon fonctionnement de service Filebeat. . . . . 36
3.39 Commande pour tester le succès d’installation de Filebeat. . . . . . . . . 36
3.40 Commande pour installer le package Kibana. . . . . . . . . . . . . . . . . 36
3.41 Commandes pour copier les certificats d’Elasticsearch dans le dossier de
configuration de Kibana. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
3.42 Commande pour télécharger le fichier de configuration Kibana. . . . . . . 37
3.43 Commande pour modifier le fichier Kibana. . . . . . . . . . . . . . . . . . 37
3.44 Ajout du mot de passe Elastic au fichier de Kibana. . . . . . . . . . . . . 38
3.45 Commandes pour créer le répertoire Kibana et installer le plugin Wazuh
Kibana. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.46 Commande pour relier le socket Kibana au port 443. . . . . . . . . . . . . 38
3.47 Commandes pour activer et démarrer le service Kibana. . . . . . . . . . . 39
3.48 Commande pour vérifier le fonctionnement de Kibana. . . . . . . . . . . . 39
3.49 Commandes pour désactiver les références des nouvelles versions. . . . . . 39
3.50 Commande pour déterminer l’adresse Internet Protocol (IP) du serveur. . 40
3.51 Authentifier au Elastic Stack. . . . . . . . . . . . . . . . . . . . . . . . . . 40
3.52 Arrêt du fonctionnement du Firewall du CentOS. . . . . . . . . . . . . . . 41
3.53 Mettre l’utilisateur comme un root. . . . . . . . . . . . . . . . . . . . . . 41
3.54 La mise à jour du système Ubuntu. . . . . . . . . . . . . . . . . . . . . . 41
3.55 Installation des agents sur Ubuntu. . . . . . . . . . . . . . . . . . . . . . 42
3.56 Installation des agents sur Windows. . . . . . . . . . . . . . . . . . . . . . 42
3.57 Activation des Agents sur Ubuntu et Windows. . . . . . . . . . . . . . . . 43
3.58 Capture des composants du module wazuh. . . . . . . . . . . . . . . . . . 43
3.59 Capture du tableau du bord Wazuh. . . . . . . . . . . . . . . . . . . . . . 44
3.60 Capture analyse des évènements. . . . . . . . . . . . . . . . . . . . . . . . 45
3.61 Commande pour modifier le fichier ossec.conf. . . . . . . . . . . . . . . . . 46
3.62 Capture d’ajout de la ligne directories check-all pour vérifier l’intégrité du
fichier. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
3.63 Commandes pour démarrer et vérifier le bon fonctionnement d’agent wazuh. 47
3.64 Première description d’alerte de Sécurité par ELK Stack. . . . . . . . . . 47
3.65 Première description d’alerte de Sécurité. . . . . . . . . . . . . . . . . . . . 48
3.66 Deuxième description d’alerte de Sécurité. . . . . . . . . . . . . . . . . . . 48
vii
3.67 Troisième description d’alerte de Sécurité. . . . . . . . . . . . . . . . . . . 49

3.68 Commande pour mettre à jour les packages locaux. . . . . . . . . . . . . 49
3.69 Commande pour installer serveur web Apache. . . . . . . . . . . . . . . . 50
3.70 Commande pour installer serveur web Apache. . . . . . . . . . . . . . . . 50
3.71 Commande montre le bon fonctionnement du serveur Apache. . . . . . . . 50
3.72 Installation du Apache. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
3.73 Commande pour accéder au fichier ossec.conf. . . . . . . . . . . . . . . . . 51
3.74 Ajout du code pour surveiller Apache. . . . . . . . . . . . . . . . . . . . . 51
3.75 Commandes pour redémmarer et tester le bon fonctionnement du wazuh-
agent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
3.76 Injection de l’attaque. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
3.77 Résultat du système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
3.78 Résultat affiché par wazuh. . . . . . . . . . . . . . . . . . . . . . . . . . . 53
3.79 Description d’alerte 1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
3.82 Authentification de Typhoon 1.02 . . . . . . . . . . . . . . . . . . . . . . 54
3.83 Vérification de l’adresse Media Access Control (MAC) de la machine vulnhub 54
3.84 Commande pour découvrir les machines connectées. . . . . . . . . . . . . 55
3.85 Commande pour scanner les ports de la machine cible. . . . . . . . . . . . 55
3.86 Détection d’une entrée mongoadmin dans robot. . . . . . . . . . . . . . . 56
3.87 Détection d’ouverture du port 8080 pour Apache Tomcat Coyote JSP
Engine 1.1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
3.88 Les données nécessaires pour Login. . . . . . . . . . . . . . . . . . . . . . 57
3.89 Commande pour scanner le site. . . . . . . . . . . . . . . . . . . . . . . . 57
3.90 Ouverture du répertoire drupal. . . . . . . . . . . . . . . . . . . . . . . . 58
3.91 Commande pour déterminer la version du Drupal . . . . . . . . . . . . . . 58
3.92 Lancement de Metasploit. . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
3.93 Commande pour rechercher drupal dans Metasploit. . . . . . . . . . . . . 59
3.94 Modification des paramètres du Metasploit. . . . . . . . . . . . . . . . . . 60
3.95 Résultat de la modification efféctuée sur Metasploit. . . . . . . . . . . . . 60
3.96 Commande pour redémarrer Metasploit. . . . . . . . . . . . . . . . . . . . 61
3.97 Commandes pour chercher le Spoit 3.13.0 et l’envoyer vers Typhoon 1.02. 61
3.98 Commande pour déterminer l’adresse IP de Kali. . . . . . . . . . . . . . . 62
3.99 Commande pour connecter avec SSH. . . . . . . . . . . . . . . . . . . . . 62
3.100 Commande pour récupérer le sploit. . . . . . . . . . . . . . . . . . . . . . 63
3.101 Commandes pour exécuter fichier contenant le sploit. . . . . . . . . . . . 63
3.102 Succés d’exécution du fichier. . . . . . . . . . . . . . . . . . . . . . . . . . 63
3.103 Commandes pour installer agent-wazuh. . . . . . . . . . . . . . . . . . . . 64
3.104 Résultat d’interconnexion de l’agent affiché par Wazuh. . . . . . . . . . . 64
3.105 Commande pour accéder au fichier ossec.conf. . . . . . . . . . . . . . . . . 64
3.106 Configuration de la vulnérabilité 1. . . . . . . . . . . . . . . . . . . . . . . 65
3.110 Commande pour redémarrer agent-wazuh. . . . . . . . . . . . . . . . . . . 66
3.111 Résultat affiché par Wazuh 1. . . . . . . . . . . . . . . . . . . . . . . . . . 67
3.112 Résultat affiché par Wazuh 2. . . . . . . . . . . . . . . . . . . . . . . . . . 67
viii
3.113 Commande pour activer le protocole SSH sur machine Ubuntu. . . . . . . 67

3.114 Commande pour vérifier le fonctionnement de SSH sur Ubuntu. . . . . . . 68
3.115 Capture Login SSH. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
3.116 Capture 3 essais d’attaque SSH. . . . . . . . . . . . . . . . . . . . . . . . 69
3.117 Commande pour accéder aux règles. . . . . . . . . . . . . . . . . . . . . . 69
3.118 Capture de la règle SSH ajouté. . . . . . . . . . . . . . . . . . . . . . . . 69
3.119 Capture du blocage d’attaque SSH. . . . . . . . . . . . . . . . . . . . . . 70
3.120 Capture qui affiche la réponse du Wazuh : échec d’authentification SSH. . 70
ix
Liste des tableaux
2.1 Types d’attaques malveillantes . . . . . . . . . . . . . . . . . . . . . . . . . 8

2.2 Types d’attaques forgées . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.3 Avantages et inconvénients des logiciels de la supervision . . . . . . . . . . 19
3.1 Caractéristiques de l’environnement matériel . . . . . . . . . . . . . . . . . 22
3.2 Caractéristique des différentes machines virtuelles créées . . . . . . . . . . 23
3.3 Niveau d’alerte de chaque événement. . . . . . . . . . . . . . . . . . . . . . 44
x
Liste des abréviations
ADSL Asymmetric Digital Subscriber Line

DDoS Distributed Denial of Service
DoS Denial of Service
DTH Direct to Home
GDPR General Data Protection Regulation
HIPAA Health Insurance Portability and Accountability Act
HIDS Host-based Intrusion Detection System
ID Identifiant
IDS Intrusion Detection System
IP Internet Protocol
IPTV Internet Protocol Television
IT Information Technology
MAC Media Access Control
NAT Network Address Translation
NIST 800-53 National Institute of Standards and Technology 800-53
OSSEC Open Source Security Event Correlator
PCI-DSS Payment Card Industry Data Security Standard
RAM Random Access Memory
ROM Read-Only Memory
SEM Security Event Management
SIEM Security Information and Event management
SI Système Informatique
SIM Security Information Management
SMS Short Message Service
SOC Security Operations Center
SSH Secure Shell
SQL Structured Query Language
TT Tunisie Télécom
VOD Video on Demand
VoIP Voice over Internet Protocol
Wi-Fi Wireless Fidelity
xi
Introduction Générale
Suite à la transformation digitale et aux développements technologiques, les systèmes

d’information sont devenus vulnérables aux menaces qui peuvent engendrer une défaite
des données vitales voire même des dommages physiques aux machines. C’est pour cette
raison la sécurité de l’information au sein des organisations est devenue une nécessité pri-
mordiale. Cette exigence de protection des données a stimulé un nouveau domaine nommé
« Cybersécurité ».
Le but de la cybersécurité est d’assurer une protection et une intégrité des informations
(sensibles ou non) au sein des infrastructures digitales. Elle représente l’ensemble des ou-
tils, des politiques, des concepts et des mécanismes de sécurité. Ces derniers, consistent à
protéger : les terminaux, les systèmes informatiques, les serveurs, les réseaux, les disposi-
tifs mobiles, les données et les logs contre les menaces et attaques malveillantes.
Dans ce contexte s’inscrit le sujet de notre stage de fin d’études intitulé : la mise en
place d’un système de monitoring SIEM : ELK Stack et réalisé au sein de l’en-
treprise ‘’Tunisie Télécom”. Dans ce projet, nous allons nous focaliser sur une solution
permettant : la collecte des logs, la gestion de ces derniers et la corrélation des journaux
dans le but de détecter des potentielles anomalies telles que les cyberattaques.
Ce rapport est constitué de trois grands chapitres :
➢ Le premier chapitre est dédié à présenter l’organisme d’accueil, ses missions et ses
domaines d’activités. Il identifie le contexte et la problématique. Une analyse critique de
l’existant est réalisée. La solution proposée est basée sur les limites de ces derniers.
➢ Le deuxième chapitre est consacré aux principes fondamentaux de la sécurité infor-
matique. Il présente les solutions disponibles dans le marché ainsi que leurs avantages et
inconvénients.
➢ Le troisième chapitre se focalise sur la solution adoptée afin d’assurer une meilleure
supervision, sa mise en œuvre depuis l’installation de l’environnement du travail jusqu’à
la réalisation.
1
Chapitre 1
Présentation générale du projet
1.1 Introduction
Dans ce premier chapitre, nous allons tout d’abord nous concentrer sur la mise en
contexte du projet en commençant par une présentation de l’organisme d’accueil Tunisie
Télécom dans lequel le travail a été effectué, le contexte du projet et la problématique à
résoudre, l’étude de l’existant et le critique et finalement la solution proposée.
1.2 Présentation de l’organisme d’accueil

Tout d’abord, nous présenterons le cadre juridique de l’organisme d’accueil Tunisie
Télécom, domaines d’activité et ses propres missions.
1.2.1 Organisme d’accueil

L’office national des télécommunications [7] est un établissement à caractère commer-
cial, doté de la personnalité civile et de l’autonomie financière. Il a été conçu et mis en
œuvre par la loi N°36 du 17 avril 1995. Puis il a changé son statut juridique, en vertu du
décret N°30 du 5 avril 2004, pour devenir une société nommée « Tunisie Telecom ».
Figure 1.1 – Logo TT
2
Chapitre 1 1.2. Présentation de l’organisme d’accueil
1.2.2 Domaines d’activités

Tunisie Télécom est le principal fournisseur de services de télécommunications en Tu-
nisie ; se compose de 24 conseils régionaux, de 140 espaces et points de vente TT et de
plus de 13 000 points de vente ; offre à ses clients une gamme complète de services de
téléphonie, d’Internet et de télévision.
Nous présentons ci-dessous les principaux services de l’organisation :
• Services de téléphonie fixe : TT fournit des services de téléphonie fixe aux clients
professionnels et résidentiels en Tunisie.
• Services de téléphonie mobile : TT fournit des services de téléphonie mobile

sous la marque "Tunisie Télécom Mobile", qui comprend des Short Message Ser-
vice (SMS), des appels et des services de données.
• Services Internet : TT offre des services Internet haut débit via Asymmetric Di-
gital Subscriber Line (ADSL), Wireless Fidelity (Wi-Fi), et fibre optique. La société
propose également des services de Voice over Internet Protocol (VoIP).
• Services de télévision : TT offre une gamme de services de télévision, notamment

des services Internet Protocol Television (IPTV) , Direct to Home (DTH) , Video
on Demand (VOD) et des services de télévision en ligne.
• Services aux entreprises : TT propose des services de télécommunications pour

les entreprises, notamment des services de centre d’appels, des services de réseaux
privés, des services de vidéo conférence et des services de connectivité à large bande.
• Services financiers : TT fournit des services financiers, y compris le transfert

d’argent et les services de paiement mobile et électronique. [8]
1.2.3 Missions de Tunisie Télécom

Ci-dessous, nous présentons quelques missions menées par TT :
1 – Développer et installer des réseaux téléphoniques et traiter la transmission des don-
nées.
2 – Installer et récupérer des différents types d’équipements informatiques et de com-
munication.
3 – Assurer l’homogénéité, la fiabilité, la sécurité et la confidentialité du système d’in-
formation et de communication dans tout le pays.
4 – Concevoir, mettre en place et gérer les banques de données et les statistiques de
plus 6 millions d’abonné dans son réseau.
5 – Donner des conseils et fournir de nouveaux services dans le domaine de télécom-
munication à tout autre organisme public ou privé, national et même étranger, à
caractère social et économique.
la figure 1.2 présente la structure compléte d’organisation TT :
3
Chapitre 1 1.3. Présentation du projet
Figure 1.2 – Organigramme TT
1.3 Présentation du projet

1.3.1 Cadre de projet et problématique
Ce travail s’inscrit dans le cadre d’un stage de fin d’études. Il a deux objectifs princi-
paux. Le premier est de s’intégrer et d’explorer l’établissement d’accueil et ses différents
métiers, et le second consiste à mettre en pratique les théories acquises au cours des an-
nées d’études et à les développer afin de résoudre des problèmes pratiques.
Et comme nous avons mentionné au départ, TT est le plus grand opérateur de télécommu-
nications en Tunisie avec une large couverture dans tout le pays. Ses réseaux comprennent
des milliers de kilomètres des câbles, des liaisons sans fil radio, des fibres optiques, des
routeurs, des commutateurs et d’autres dispositifs de télécommunication.
Et par conséquent, les grands réseaux de TT sont des cibles potentiels pour les cybercri-
minels qui cherchent à y accéder afin de perturber leurs services.
Il est donc essentiel de mettre en place des mesures de sécurité efficaces pour protéger et
analyser les informations de sécurité provenant des différentes sources.
1.3.2 Etude de l’existant

L’objectif de l’étude de l’existant est d’analyser la solution de supervision utilisée par
Tunisie Télécom et de recommander des améliorations afin de renforcer la sécurité de
l’entreprise.
L’équipe de sécurité de Tunisie Télécom a mis en place une solution de supervision basée
sur la plateforme ‘’QRadar” pour surveiller l’infrastructure informatique et détecter des
menaces potentielles.
QRadar [9] est une solution de supervision commerciale d’IBM conçu pour les différentes
grandes entreprises. Elle offre des capacités d’analyse, de corrélation et de reporting des
4
Chapitre 1 1.3. Présentation du projet
logs de différents composants tels que les routeurs, les commutateurs, les serveurs et les
applications. En cas de détection des anomalies QRadar génére des alertes.
Figure 1.3 – Authentification du Logiciel QRadar.
1.3.3 Critique de l’existant

QRadar permet la gestion des événements de sécurité SIEM et offre des capacités
d’analyse de sécurité et de corrélation.
Cependant, l’inconvénient majeur du système QRadar est son coût élevé. En effet, c’est
un système SIEM haut de gamme coûteux en terme de mise en place et de maintenance.
De plus, nous avons constaté d’après la figure 1.4 que le nombre d’alertes générées par
le système QRadar est trop élevé. Il est difficile, aux analystes de sécurité d’identifier les
alertes qui nécessitent une attention immédiate. À cela s’ajoute que Qradar génére des
fausses alertes qui pourraient impacter la pertinence de l’analyse.
Figure 1.4 – Onglet d’Infraction dans QRadar Console.
5
Chapitre 1 1.4. Conclusion
De plus, les systèmes SIEM comme QRadar sont complexes et peuvent nécessiter une
expertise technique pour les configurer et les utiliser correctement.
De même, nous avons remarqué que le système QRadar fonctionne en silos : pas des
intégrations et des coopérations avec d’autres outils de sécurité, comme les systèmes
de détection d’intrusion ou les outils de gestion de vulnérabilités ce qu’il intacte leur
fonctionnement et démarche pour la détection des menaces.
Aussi, nous avons aperçu que l’infrastructure QRadar nécessite une maintenance régulière
et permanente pour assurer une performance optimale et garantir les dernières mises à jour
de sécurité et de corriger les erreurs qui peuvent affecter sur la qualité de la surveillance
surtout qu’il est difficile à être extensible ; et tous systèmes non évolutifs ne peuvent pas
prendre en charge une croissance des données et des événements de sécurité.
Figure 1.5 – Onglet d’Activité du Réseau dans QRadar Console
1.3.4 Solution proposée

Dans ce projet, le choix de l’outil SIEM sa charnière autour de trois conditions fonda-
mentales :
• Budget
• Efficacité contre les menaces et les attaques
• Flexibilité
Nous citons tout d’abord que le choix de la solution est basé sur les critères principaux
mentionnées au-dessus et sur les problèmes détectés au cours du critique de l’existant, et
pour remédier aux inconvénients majeurs du logiciel utilisé QRadar, la solution adéquate
consiste à utiliser un système de monitoring SIEM : ELK Stack.
1.4 Conclusion
A travers ce chapitre nous avons présenté l’organisme d’accueil, le cadre de projet
et la problématique ainsi que l’étude de l’existant et le critique, puis nous avons déposé
la solution fixée par l’entreprise. Dans le chapitre suivant, nous allons définir quelques
notions de bases liées au domaine de la sécurité informatique.
6
Chapitre 2
Les Notions de Bases de la Sécurité

Informatique
2.1 Introduction
Dans ce chapitre, et avant de passer à la présentation des solutions disponibles de
la supervision, nous allons définir quelques notions de bases comme la cyberattaque, la
cybersécurité, la supervision. . . et nous allons citer leurs propres fonctionnements.
2.2 Cyberattaque
Dans cette partie, nous focaliserons à définir la cyberattaque, ses types en mentionnant
quelques exemples d’attaques les plus connus.
2.2.1 Définition
En se basant sur la définition d’IBM et CISCO [10], on peut définir la Cyberattaque
comme une tentative malveillante indésirable de voler, de désactiver, de modifier, d’expo-
ser ou de détruire des informations via un accès non autorisé aux systèmes informatiques
dont le cachet est d’entraîner une cybercrise au niveau de la technologie d’information,
financier ou de réputation.
2.2.2 Types d’attaques

Généralement, nous pouvons citer des différents types d’attaques :
• Une attaque passive : elle est basée essentiellement sur l’écoute, la collection et
l’analyse du trafic.
• Une attaque active : c’est toute modification de contenu qui touche le fonction-
nement d’un service de sécurité.
• Logiciels malveillants : ce sont les attaques basées sur des vulnérabilités des
systèmes ou des réseaux ‘’Malware”.
• Forgées : ce sont les attaques basées sur la manipulation des éléments des commu-
nications afin d’en tirer profit ou de les nuire.
7
Chapitre 2 2.2. Cyberattaque
2.2.3 Différents exemples de cyberattaques

Nous citons dans les tableaux 2.1 et 2.2 les différents types d’attaques les plus connus
Table 2.1 – Types d’attaques malveillantes
Nom de l’attaque Définition

Les Logiciels Backdoor (Porte débordée) C’est une méthode malveillante secrète permet-
Malveillants tant d’accéder à un système informatique ou un
réseau sans avoir à passer par les canaux d’au-
thentification normaux.
Les Logiciels Trojan (Cheval de Troie) C’est un type de malware qui est conçu pour
Malveillants tromper les utilisateurs en se faisant passer pour
un programme légitime, tout en ayant une fonc-
tionnalité cachée qui permet à un pirate d’ac-
céder et de contrôler à distance l’ordinateur in-
fecté, ou d’effectuer des attaques sur celui-ci.
Les Logiciels Bombe logique C’est un type de programme malveillant qui
Malveillants est conçu pour se déclencher à une date ou à
un événement précis, comme la suppression de
certains fichiers, l’exécution de certaines com-
mandes, causant ainsi des dommages à l’ordi-
nateur ou au réseau cible.
Les Logiciels Un virus C’est un programme malveillant qui infecte
Malveillants d’autres fichiers ou se réplique sur des systèmes
informatiques sans autorisation. Les virus infor-
matiques sont conçus pour endommager, de per-
turber un ordinateur ou au réseau. Ils peuvent
se transmettre via des fichiers ou des docu-
ments infectés, des e-mails, des sites web mal-
veillants ou des périphériques de stockage amo-
vibles compromis.
Les Logiciels Worm (Vers) C’est un type de code malveillant qui se pro-
Malveillants page automatiquement à travers un réseau in-
formatique sans avoir besoin d’une intervention
humaine pour se transmettre.
Les Logiciels Hoax (Canular) C’est une fausse information ou une alerte trom-
Malveillants peuse qui est intentionnellement diffusée pour
tromper les gens. Les canulars peuvent se pro-
pager par divers moyens, tels que les réseaux
sociaux, les e-mails, les SMS ou les sites Web.
8
Chapitre 2 2.2. Cyberattaque
Table 2.2 – Types d’attaques forgées
Nom de l’attaque Définition

Manipulation Phishing (Hameçonnage) C’est une technique de fraude en ligne
d’Attaques qui trompe les utilisateurs en leur faisant
Forgées croire qu’ils communiquent avec une entité de
confiance, telle qu’une banque ou un service en
ligne, afin d’obtenir leurs informations confiden-
tielles.
Manipulation Cracking (Craquage) C’est une activité malveillante qui implique une
d’Attaques entrée non autorisée dans un système informa-
Forgées tique en utilisant des techniques de piratage in-
formatique.
Manipulation Sniffing (Renfilage) C’est un type d’attaque sur les réseaux infor-
d’Attaques matique qui analyse le traffic afin de récupérer
Forgées des informations confidentielles.
Manipulation Spoofing (Mascarade) C’est une technique qui consiste à falsifier
d’Attaques des informations d’identification, telles qu’une
Forgées adresse IP, une adresse e-mail, un numéro de
téléphone ou une adresse de site Web, afin de
dissimuler la véritable identité pour commettre
des cybercrimes.
Manipulation Smurfing C’est un type de Distributed Denial of Ser-
d’Attaques vice (DDoS) qui utilise un grand nombre d’or-
Forgées dinateurs zombies ou des botnets pour envoyer
un grand nombre de requêtes avec des fausses
adresses IP. Cette attaque vise à submerger un
serveur cible ou un réseau avec un trafic exces-
sif, ce qui entraîne une saturation des ressources
du système et une interruption de service.
Manipulation C’est une attaque informatique qui perturbe le
d’Attaques Denial of Service (DoS) fonctionnement normal d’un système informa-
Forgées tique en surchargeant les requêtes, de sorte qu’il
ne répond plus aux requêtes légitimes.
9
Chapitre 2 2.3. Cybersécurité
2.3 Cybersécurité
Nous consacrons la deuxième partie à présenter la cybersécurité, ses types et ses ser-
vices.
2.3.1 Définition
En s’appuyant aussi sur la définition d’IBM [11] et CISCO [12], La cybersécurité est
la pratique qui consiste à protéger les systèmes critiques et les informations sensibles
contre les attaques malveillantes. Elle est également appelée sécurité des technologies de
l’information ou bien « Information Technology (IT) ».
2.3.2 Types de sécurité

Nous pouvons répartir la sécurité en plusieurs catégories :
• La sécurité des informations : garantit les services de sécurité.

• La sécurité des applications : protection des appareils contre les menaces et les
attaques.
• La sécurité réseaux : protection du réseau informatique contre les intrus.
• La sécurité opérationnelle : mécanisme de défense dont le but est le contrôle
d’accès et le stockage des données.
2.3.3 Services de sécurité

La politique de cybersécurité exige ces cinq piliers de services :
• Confidentialité : C’est un service qui consiste à rendre l’information incompréhen-

sible à travers des mécanismes de cryptographie.
• Intégrité des données : C’est un service qui protège les données contre toutes
modifications malveillantes.
• Disponibilité : C’est un service qui garantit par la redondance des équipements.
• Authentification : C’est un service qui offre une protection contre l’usurpation
d’identité.
• Non-répudiation : Une entité réseau ne peut pas nier un message qu’elle a émis.
2.4 Supervision
Commençons par définir la supervision
2.4.1 Définition
La supervision [13] ou le monitoring [8] en informatique est la surveillance, le pilo-
tage, le suivi et le contrôle de tout système informatique en temps réel, afin de pallier les
problèmes potentiels, les goulots d’étranglement et les moindres anomalies qui peuvent
ralentir la progression et la disponibilité continue du système.
10
Chapitre 2 2.4. Supervision
La supervision désigne généralement la mise en place à l’aide d’outils logiciels conçus pour
la collecte des données de performance des différents composants du système tels que ; les
serveurs, les réseaux, les bases de données, les applications, etc. . . Ces données sont pré-
sentées sous forme de graphiques, de tableaux de bord et d’alertes (en cas de dépassement
de seuils critiques ou d’événements inhabituels).
L’intérêt principal de la supervision des systèmes informatiques des réseaux ou des appli-
cations est principalement la gestion optimale de l’infrastructure informatique.
En effet, elle permet aux administrateurs systèmes la détection rapide des problèmes en
temps réel et relatives au diagnostic des causes, aux réseaux, aux services en ligne, aux
débits, aux contrôle les flux, aux composants matériels, aux systèmes d’exploitations, au
système de stockage des données. Elle permet aussi la prise des mesures correctives avant
qu’ils n’affectent l’expérience d’utilisateur ou entraînent une interruption de service.
Elle peut également aider à identifier les tendances et les modèles de comportement du
système, à planifier la capacité et à améliorer l’efficacité opérationnelle.
2.4.2 Security Operation Center

Définition
SOC signifie Centre d’Opérations de Sécurité [14] est une fonction centralisée au sein
d’une entreprise qui surveille et améliore l’ensemble de l’infrastructure informatique de
l’organisation. L’intérêt du SOC est de détecter, analyser et prévenir les événements effi-
cacement en temps réel.
Le SOC est chargé de superviser 24h/24h les systèmes d’information au sein des en-
treprises afin de le sécuriser des cyberattaques. Il est considéré essentiellement comme un
point de corrélation pour chaque événement détecter et sauvegarder au sein de l’entreprise
qui est surveillée.
2.4.3 Fonctions du SOC

1. Surveillance proactive continue : Les outils utilisés par le SOC analysent le
réseau 24h/24h afin de signaler toute anomalie ou activité suspecte.
2. Classement et gestion des alertes : Le SOC examine précautionneusement les

alertes, il élimine tout faux positif et résolut l’agressivité des menaces réelles et les
cibles possibles.
3. Réponse aux menaces : Le SOC agit comme un intervenant principal, il exerce

des opérations défensives telles que l’arrêt des processus nuisibles et l’isolement des
points de terminaison.
4. Récupération et correction : Le SOC règle les systèmes et récupère toutes les
informations perdues qui peut engendrer la suppression ou le redémarrage des ter-
minaux.
5. Gestion de la conformité : Le SOC est responsable de la vérification régulière

de ses systèmes afin d’assurer la conformité à ces règlements, qui peuvent être émis
11
par leur organisation, industrie ou organes directeurs.
6. Gestion des journaux : Le SOC utilise le SIEM pour agréger et corréler les flux de
données des applications, des systèmes d’exploitation, des terminaux et des pare-feu
qui produisent tous leurs propres journaux internes.
La figure 2.1 décrit le principe de fonctionnement du SOC.
Figure 2.1 – Fonctionnement du SOC [1].
2.4.4 Types du SOC

Les SOC peuvent être classés en plusieurs types [15] en fonction de leur taille, de leur
portée et de leur niveau de sophistication. Voici quelques-uns des types de SOC les plus
courants :
— SOC interne : un SOC interne est géré et exploité par l’entreprise elle-même. Il est
généralement situé dans les locaux de l’entreprise et peut être géré par le personnel
interne.
— SOC externalisé : un SOC externalisé est géré par un prestataire de services tiers.
Les entreprises peuvent externaliser leur SOC pour bénéficier d’une expertise sup-
plémentaire et d’une surveillance constante de la sécurité.
— SOC hybride : un SOC hybride combine les aspects d’un SOC interne et externa-
lisé. Il peut être géré par le personnel interne de l’entreprise en collaboration avec
un prestataire de services tiers.
12
— SOC virtuel : un SOC virtuel est un SOC qui utilise des technologies de com-
munication à distance pour surveiller la sécurité des réseaux et des systèmes. Il est
souvent utilisé par les petites entreprises qui n’ont pas les ressources nécessaires
pour installer un SOC interne.
— SOC centralisé : un SOC centralisé est un SOC qui surveille et gère la sécurité
de plusieurs entités organisationnelles à partir d’un emplacement centralisé. Il est
souvent utilisé par les grandes entreprises ayant plusieurs sites ou filiales.
— SOC décentralisé : un SOC décentralisé est un SOC qui est réparti sur plusieurs
sites géographiques. Il peut être utilisé par les entreprises ayant des bureaux dans
plusieurs régions ou pays.
Il existe d’autres types de SOC qui peuvent être adaptés aux besoins et aux exi-
gences spécifiques de chaque entreprise.
2.4.5 Security Information and Event Management

Définition
La gestion de l’information et des événements de sécurité « SIEM » [16] est une tech-
nologie spécifique qui aide les organisations à reconnaître les menaces de sécurité et les
vulnérabilités potentielles.
Elle met en évidence les anomalies de comportement des utilisateurs et emploie l’intelli-
gence artificielle pour robotiser plusieurs mécanismes manuels associés à la détection des
menaces et à la réponse aux incidents :
C’est la combinaison de deux briques : Gestion des informations de sécurité « Security
Information Management (SIM) » et Gestion des événements de sécurité « Security Event
Management (SEM) ».
• Gestion des informations de sécurité « Security Information Management

SIM » :
SIM [17] est un logiciel de rétention des informations qui collecte les logs à partir
de dispositifs de sécurité (logiciels antivirus, pare-feu, Intrusion Detection System (IDS),
équipements réseaux, des serveurs proxy. . .) afin d’analyser et traduire les données sauve-
gardées d’une façon corrélées, proportionnelles et rationalisées.
• Gestion des événements de sécurité « Security Event Management SEM

»:
SEM est un processus de supervision en temps réel ou quasi temps réel qui permet
d’identifier, de surveiller et d’évaluer des événements liés à la sécurité. Le but est d’aider
les administrateurs systèmes à analyser, ajuster et gérer l’architecture, les stratégies, les
politiques et les procédures de sécurité de l’information.
Et la figure 2.2 présente l’architecture d’un système SIEM.
13
Figure 2.2 – Architecture du SIEM [2].
2.4.6 Principe de fonctionnement du SIEM

• Collecte de données : Les SIEM [18] collectent des données de sécurité à partir
de diverses sources, notamment les journaux d’événements, les alertes de sécurité,
les informations sur les menaces et les vulnérabilités, les flux de données réseau et
les données d’utilisateurs.
• Agrégation : Les SIEM agrègent les données de sécurité en temps réel pour fournir
une vue globale des activités de sécurité de l’ensemble du système d’information.
• Corrélation : Les SIEM corrélaient les données de sécurité pour identifier les mo-
dèles et les relations entre les événements de sécurité apparemment non liés. Cela
permet de détecter les menaces avancées et les attaques sophistiquées qui peuvent
échapper aux systèmes de sécurité traditionnels.
• Analyse : Les SIEM analysent les données de sécurité pour identifier les événements
et les activités suspects, ainsi que pour évaluer la gravité des menaces. Les SIEM
utilisent des algorithmes d’apprentissage automatique et des règles de détection pour
détecter les anomalies et les indicateurs de compromission.
• Alertes et rapports : Les SIEM génèrent des alertes en temps réel pour signa-
ler les menaces potentielles, ainsi que des rapports détaillés pour aider les équipes
de sécurité à comprendre les tendances et les modèles de sécurité. Les rapports
peuvent également être utilisés pour démontrer la conformité réglementaire et les
performances opérationnelles.
La figure 2.3 illustre le principe de fonctionnement du SIEM.
14
Figure 2.3 – Fonctionnement du SIEM [3].
2.4.7 Relation entre SOC et SIEM

SOC et SIEM sont deux notions associées à la sécurité informatique . En effet, le
SOC peut utiliser le SIEM pour collecter et analyser les événements de sécurité. Le SIEM
permet au SOC d’avoir une vue d’ensemble sur la sécurité du système, il permet aussi
de détecter rapidement les menaces de sécurité, de générer des alertes en temps réel pour
permettre une réponse rapide.
Le SIEM est un outil utilisé par le SOC pour surveiller et analyser les événements de
sécurité dans les environnements informatique, et par la suite, le SOC utilise les infor-
mations fournies par le SIEM pour surveiller activement les activités suspectes et réagir
rapidement aux menaces de sécurité.
En guise de conclusion, le SOC et le SIEM sont deux éléments importants pour la sécurité
informatique d’une entreprise et travaillent ensemble pour renforcer la sécurité informa-
tique de l’entreprise, surveiller les systèmes, détecter les incidents de sécurité et y répondre
rapidement.
À travers la figure 2.4, nous présentons la relation entre SOC et SIEM.
15
Figure 2.4 – Relation entre SOC et SIEM [4].
2.4.8 Journalisations : Logs

En informatique, les fichiers logs (appelés aussi des fichiers journaux) sont des fichiers
qui permet le stockage et l’enregistrement d’un antécédent des évènements et des actions
attachées à un processus intervenant sur une application, un serveur ou un dispositif in-
formatique.
Et généralement, les logs sont stockés dans des fichiers texte ou dans des bases de données
logs afin d’exploiter pour identifier les erreurs, diagnostiquer les problèmes, détecter les in-
trusions en identifiant les événements anormaux, constater les lieux des attaques, effectuer
des analyses de données dont le but visualiser les actions du Système Informatique (SI)
et retracer l’historique et les actions d’un attaquant pour améliorer les performances et
la sécurité des systèmes.
Le schéma 2.5 montre l’interconnexion entre les fichiers journaux et les systèmes SIEM.
Figure 2.5 – Interconnexion entres les fichiers logs et les systèmes SIEM [5].
16
Chapitre 2 2.5. Solutions disponibles
2.5 Solutions disponibles

Commençons par définir quelques logiciels de supervision
2.5.1 Définition de chaque logiciel de supervision

Voici une liste de logiciels couramment utilisés pour la gestion de l’information et des
événements de sécurité :
• ELK Stack : cette suite open source est composée de 4 principaux éléments : Elas-
ticsearch, Kibana, Beats et Logstash. Elle permet de collecter les journaux de tous
les dispositifs et applications, de les traiter, d’analyser et de créer des visualisations
pour surveiller les applications et les équipements.
Figure 2.6 – Logo ELK Stack
• QRadar : il s’agit d’une solution commerciale proposée par IBM qui fournit une
plateforme centralisée pour la gestion de la sécurité et l’analyse des événements.
Figure 2.7 – Logo QRadar
• Splunk : cette plateforme de gestion de journaux offre des analyses en temps réel
des données machines provenant de toutes les sources, notamment les journaux, les
événements, et les métriques.
Figure 2.8 – Logo Splunk
17
Chapitre 2 2.5. Solutions disponibles
• SolarWinds Log and Event Manager : c’est une solution pour la gestion de
journaux et l’analyse d’événements qui fournit une vue centralisée de la sécurité et
une réponse rapide aux incidents.
Figure 2.9 – Logo SolarWinds and Event Manager
• McAfee Enterprise Security Manager : c’est une solution qui fournit une plate-
forme centralisée pour la collecte, la visualisation, et l’analyse de données de sécurité.
Figure 2.10 – Logo McAfee Enterprise Security Manager
• ArcSight : c’est une solution commerciale d’HP qui fournit une analyse en temps
réel des événements et une protection contre les menaces pour les entreprises.
Figure 2.11 – Logo ArcSight
18
Chapitre 2 2.6. Conclusion
2.5.2 Les Avantages et les inconvénients des logiciels de la su-

pervision
Le tableau 2.3 présente les différents critères de chaque SIEM définis dans la section
ci-dessus :
Table 2.3 – Avantages et inconvénients des logiciels de la supervision
SIEM proposées Avantages Inconvénients

ELK Stack Flexibilité Complexité
Open-source Coût de licence
Analyse en temps réel
QRadar Facile à utiliser Coût élevé
Analyse en temps réel Configuration compliquée
Splunk Large écosystème d’intégra- Nécessite une expertise en
tion programmation
Interface personnalisée Coût élevé
ArcSight Fonctionnalités de sécurité Configuration compliquée
avancées Coût élevé
McAfee Enterprise Security Intégration avec une variété Fonctionnalités de sécurité
Manager de technologies de sécurité limitées
McAfee Coût élevé
SolarWinds Log Coût abordable par rapport Fonctionnalités de sécurité
à d’autres systèmes SIEM limitées
Il est important de mentionner que ces avantages et inconvénients sont généraux et

peuvent être fluctués en fonction des spécifications et de l’emploi de chaque système.
2.6 Conclusion
Nous avons consacré ce chapitre à définir quelques notions telles que la cybersécurité,
la cyberattaque, le principe de la supervision et principalement le centre d’opérations de
sécurité SOC et la gestion de l’information et des événements de sécurité SIEM, indiquer
leurs caractéristiques, leurs types et de déterminer leurs fonctionnements. Et par la suite,
nous avons bien décrit les différents types de logiciels de supervisions, ses avantages et ses
inconvénients.
Dans le chapitre suivant, nous déposerons la solution adéquate et nous présenterons ses
propres composantes et leur fonctionnement puis nous focalisons sur l’installation de l’en-
vironnement du travail, la réalisation et le développement de la solution.
19
Chapitre 3
Réalisation et tests
3.1 Introduction
Dans ce dernier chapitre, nous présenterons la solution, l’environnement du travail
matériel, logiciel et l’architecture du travail. Ainsi que, nous focaliserons sur la partie
pratique de la réalisation de la solution optée et les tests.
3.2 Choix de la solution et justification

Commençons par une comparaison entre ELK stack et Qradar
3.2.1 Avantages du ELK Stack par rapport à la solution adoptée

par TT
En premier lieu, il existe plusieurs raisons pour lesquelles nous avons opté l’utilisation
ELK Stack au lieu de QRadar (utilisé par TT) pour la gestion de l’information et des
événements de sécurité SIEM.
En effet, la Suite ELK est une solution open-source qui est gratuite à utiliser et qui peut
être personnalisée en fonction de vos besoins spécifiques.
Outre, Elastic Stack est un logiciel flexible puisqu’il est composé de quatre outils (Elas-
ticsearch, Logstash, Kibana et Beats) qui peuvent être déployés et utilisés de manière
indépendante ou en tant que solution complète.
N’oublions pas la performance qu’ELK peut nous garantir vu qu’il traite et analyse des
données volumineuses et massives en temps réel ce qui peut être crucial pour la détection
des incidents de sécurité et la prise des mesures rapides pour les corriger.
D’ailleurs, ELK a une grande communauté de développeurs et d’utilisateurs qui contri-
buent constamment de nouvelles fonctionnalités et intégrations et cela peut aider à ré-
soudre les problèmes et à trouver des solutions plus rapidement.
En guise de conclusion, ELK Stack est le choix le plus populaire et la solution la plus
idéale pour les entreprises qui cherchent une solution flexible, personnalisable et peu coû-
teuse afin de répondre à leurs besoins.
20
Chapitre 3.2. Choix de la solution et justification
3.2.2 Composants du ELK

Comme nous citons au niveau de la définition de la suite ELK, ELK Stack [19] est
un acronyme pour Elasticsearch, Logstash, Kibana et Beats. Ces composants principaux
forment la plateforme ELK.
• Elasticsearch : Elasticsearch est un moteur de recherche distribué qui permet le

stockage, la recherche et l’analyser des données massives. Il est conçu pour être évo-
lutif, rapide et convivial.
• Logstash : Logstash est un collecteur des logs qui offre la possibilité de collecter,
de traiter et de normaliser les données.
• Kibana : Kibana est un outil employé essentiellement pour la visualisation, l’ana-

lyse des données et la création des tableaux de bord personnalisés.
• Beats : Beat est une plate-forme gratuite et libre s’occuper de la transmission et

la transite les données vers Wazuh et Elasticsearch.
• Wazuh : Wazuh est une plateforme open source du projet Open Source Security
Event Correlator (OSSEC) qui appartient à la famille des Host-based Intrusion De-
tection System (HIDS) utilisée pour la prévention, la détection, la surveillance des
logs applicatifs et des appels système dont le but de répondre aux menaces trouvées.
La figure 3.1 représente l’architecture du serveur Wazuh.
Figure 3.1 – Architecture du Serveur Wazuh [6]
21
Chapitre 3.3. Environnement du travail
Ensemble, ces composants d’Elastic Stack constituent une plate-forme complète pour
le traitement, l’analyse de données de sécurité et la collecte des logs de système.
3.2.3 Fonctionnement d’ELK Stack

Le fonctionnement de la plate-forme ELK Stack se déroule en trois étapes principales :
➢ La collecte des données : Wazuh est utilisé afin de collecter les données à partir
de diverses sources et systèmes. Ces derniers seront par la suite filtrés, standardisées et
traitées avant d’être stocker à la base de données Elasticsearch.
➢ Le stockage des données : Les données collectées par les agents Wazuh sont
stockées dans le module Elasticsearch.
➢ L’analyse et la visualisation des données : Les données stockées dans Elastic-

search peuvent être visualisées et analysées à l’aide de Kibana et/ou Wazuh. Kibana et
Wazuh offrent une interface graphique conviviale pour explorer les données et créer des
tableaux de bord personnalisés.
En résumé, la plate-forme ELK assure la collection, le stockage et l’analyse des don-

nées de différentes sources et les visualiser sous différentes formes dont le but est d’obtenir
des informations utiles et des insights.
3.3 Environnement du travail

Passons maintenant à l’environnement matériel
3.3.1 Environnement matériel
Table 3.1 – Caractéristiques de l’environnement matériel

Constructeur ASUS
Windows 10 Professional x
Système d’exploitation
64 bit
Mémoire vivante : Random
12 GB
Access Memory (RAM)
Disque dur : Read-Only
1 TO
Memory (ROM)
Processeur Intel Core I7-4750HQ
Carte graphique GPU Intel HD Graphics
Sur l’ordinateur portable mentionné dans le tableau 3.1, nous installons 5 machines
virtuelles ayant les caractéristiques décrites dans le tableau 3.2
22
Table 3.2 – Caractéristique des différentes machines virtuelles créées

Machine
virtuelle 4 :
Machine Machine Machine Machine
Client 3 :
virtuelle 1 : virtuelle 2 : virtuelle 3 : virtuelle 5 :
Machine
Serveur Client 1 Client 2 Pirate
vunèrable
Typhoon 1.02
Système Ubuntu 14.04
Cent OS 7 Ubuntu 22.04.2 Windows 10 Kali
d’exploitation LTS
Mémoire
3 GB 1.5 GB 1.5 2 GB 3 GB
vivante : RAM
Disque dur :
25 GB 22 GB 22 GB 20 GB 20 GB
ROM
Nombre de
cœurs de
2 Processors 1 Processors 1 Processors 2 Processors 2 Processors
processeur
alloués
Network
Address
Réseau adapté NAT NAT NAT NAT
Translation
(NAT)
3.3.2 Environnement logiciel

Pour la réalisation de ce projet, nous avons choisi les logiciels suivants :
• VMware Workstation 17 Player

VMware Workstation [20] est un outil de visualisation utilisé pour exécuter plusieurs
systèmes d’exploitation sur un seul ordinateur hôte physique. Chaque machine vir-
tuelle peut exécuter simultanément sur n’importe quel système d’exploitation Linux,
Microsoft, Oracle, MacOs, etc. . . afin de développer des nouveaux logiciels ou de tes-
ter une architecture complexe d’un système d’exploitation.
Figure 3.2 – Logo VMware-Workstation-player
• Elastic Stack version 7.17.6

Elastic Stack [21], également connu sous le nom d’ELK Stack, est une plateforme
23
open source complète de gestion de données créée par la société Elastic. Cette pla-
teforme permet la collecte, le traitement, le stockage, la recherche et la visualisation
de données en temps réel.
Figure 3.3 – Logo Elastic Stack
• Wazuh version 4.3.10

Wazuh est un système de gestion de sécurité open source conçu pour aider les
organisations à surveiller et à gérer la sécurité de leur infrastructure informatique.
Le module Wazuh permet également aux utilisateurs de configurer des politiques de
sécurité personnalisées pour détecter les menaces et les vulnérabilités spécifiques à
leur environnement. [13]
Figure 3.4 – Logo Wazuh
• Kali version 2022.1

Kali [22] est une solution multiplateforme gratuite et open-source basée sur le sys-
tème d’exploitation ‘’Debian Linux” conçue pour les tests d’intrusions avancés et à
l’audit de sécurité afin de détecter des vulnérabilités potentielles. Kali fournit des
outils, des configurations qui facilitent le repérage des vulnérabilités.
Figure 3.5 – Logo Kali
24
• Metasploit
Metasploit [23] est un Framework inventé pour le développement et l’exécution d’ex-
ploits contre toute machine distante dans le but est de créer, personnaliser, fournir
des informations sur les vulnérabilités et de faciliter la pénétration des systèmes
informatiques. Il est très vigoureux et permet de déclencher des performances sur
la machine cible dans le but de la nuire et d’acquérir un accès non autorisé.
Figure 3.6 – Logo Metasploit
3.3.3 Architecture d’environnement du travail

En se basant sur la figure 3.7, nous pouvons constater que cette architecture est celle
d’un système SIEM. Elle est composée d’une machine physique et d’un environnement
virtualisé VMware.
Sous VMware, il y a une machine CentOS 7 qui contient ELK et Wazuh, et qui est connec-
tée à une machine Windows 10 et une machine Ubuntu 22.04.
On trouve également une machine Kali qui est utilisée pour tester le niveau de la sécurité
du réseau en tentant de pénétrer les machines Ubuntu et Windows.
Il y a également une machine Ubuntu 14.04 LTS vulnérable (Typhoon 1.02) qui sera testée
avec Kali pour obtenir un accès root, puis elle sera ajoutée au réseau pour évaluer son
niveau de vulnérabilité.
Enfin, les résultats de cette intrusion sont visualisés via ELK pour analyser le comporte-
ment du système.
25
Chapitre 3.4. Installation d’Elastic Stack
Figure 3.7 – Architecture d’environemment du travail
3.4 Installation d’Elastic Stack

Dans cette partie, nous allons focaliser sur les différentes étapes de l’installation d’Elas-
tic Stack.
3.4.1 Installation de prérequis

Tout d’abord, nous devons déterminer le nom du Local host.
Figure 3.8 – Commande pour déterminer le nom de localhost
Dés quand on a déterminé le nom du local host, nous pouvons créer les fichiers sudoers
qui nous permettent d’accéder comme un root à l’aide de la commande sudo nano
/etc/sudoers.
26
Figure 3.9 – Commande pour créer des fichiers Sudoers
Figure 3.10 – Ajouter l’utilisateur comme un root
Ensuite, nous installons java et open jdk à travers la commande de figure 3.11.
Figure 3.11 – Commande pour installer java et open jdk
Pour vérifier la version de java installée, nous tapons la commande java –version.illustrée
dans la figure 3.12.
Figure 3.12 – Commande pour verifier la version du java
Et pour terminer cette première partie, nous installons les différents packages curl et
unzip nécessaire pour l’installation comme la montre la figure 3.13.
27
Figure 3.13 – Commande pour installer les fichiers prérequis
3.4.2 Installation d’Elasticsearch

Après la préparation d’environnement d’installation, nous pouvons installer les com-
posants d’Elastic Stack.
Et pour commencer, le premier service qu’on va installer est la base de données Elastic-
search qu’elle joue le rôle d’un moteur de recherche pour les alertes et les données.
C’est pour cela, nous devons importer la clé GPG d’Elasticsearch qui nous permet de
signer, crypter et décrypter les données nécessaires.
Figure 3.14 – Commande pour importer la clé GPG à Elasticsearch
Puis, nous ajoutons le dépôt comme le montre la figure 3.15
Figure 3.15 – Commande pour ajouter le dépôt d’Elastic Stack
La prochaine étape consiste à installer le package Elasticsearch comme l’illustre la

figure 3.16
28
Figure 3.16 – Commande pour installer le package Elasticsearch
Finalement, nous devons installer le fichier de configuration d’Elasticsearch pour as-

surer la bonne démarche d’installation d’Elasticsearch.
Figure 3.17 – Commande pour télécharger le fichier de configuration d’Elasticsearch
3.4.3 Création et déploiement de certificats

En premier lieu, nous installons le fichier de configuration. Puis, nous créons des cer-
tificats et par suit nous extrairons les fichiers installés.
Figure 3.18 – Commande pour télécharger le fichier de configuration des Certificats.
Figure 3.19 – Commande pour créer les certificats.
29
Figure 3.20 – Commande pour extraire les fichiers Zip téléchargés du Certificats.
Du moment que l’installation des certificats se fait sans erreurs, nous créons un réper-
toire nommé /etc/elasticsearch/certs pour copier le fichier CA, le certificat et la clé.
Figure 3.21 – Commandes pour créer le répertoire et configurer les fichiers des certifi-
cats.
Ainsi, les commandes de figure 3.22 permet d’activer et de démarrer le service Elas-
ticsearch.
Figure 3.22 – Commandes pour activer et démarrer le service Elasticsearch.
Pour tester le bon fonctionnement de notre service nous tapons la commande sys-
temctl status elasticsearch.
Figure 3.23 – Commande pour vérifier l’activation d’Elasticsearch.
30
Comme le serveur Elasticsearch fonctionne convenablement, nous pouvons générer les

informations d’identification de la Suite Elastic.
Figure 3.24 – Commande pour exécuter les nouveaux mots de passe.
La commande de figure 3.25 affiche tous les mots de passe du système.
Figure 3.25 – Affichage des nouveaux mots de passe.
Finalement, pour vérifier que l’installation s’est bien déroulée nous tapons la com-
mande de la figure 3.26. Elle affiche toutes les informations concernant l’installation
d’Elasticsearch.
31
Figure 3.26 – Commande pour vérifier le bon fonctionnement de l’installation d’Elas-

ticsearch.
3.4.4 Installation du module Wazuh

Avant l’installation du Wazuh, nous ajouterons des référentiels compatibles à la version
installée d’Elasticsearch pour assurer le bon fonctionnement du serveur Wazuh.
Figure 3.27 – Commande pour importer la clé GPG à Wazuh.
Figure 3.28 – Commande pour ajouter le dépôt du Wazuh.
En outre, nous installons le package du gestionnaire de serveur Wazuh à l’aide de la

commande de la figure 3.29.
32
Figure 3.29 – Commande pour installer le package du gestionnaire Wazuh.
Finalement, nous activons et démarrons Wazuh comme la montre la figure 3.30.
Figure 3.30 – Commande pour activer et démarrer le service de gestionnaire Wazuh.
Nous assurons le fonctionnement du service de gestionnaire Wazuh à travers la com-

mande de la figure 3.31.
Figure 3.31 – Commande pour vérifier l’activation du Wazuh.
3.4.5 Installation de Filebeat

L’installation d’outil Filebeat garanti la transmission sécurisée des alertes et des évè-
nements entre le serveur Wazuh et la base de données Elasticsearch.
Et pour installer le package Filebeat, nous tapons la commande suivante : yum install
33
filebeat-7 .17 .6.
Figure 3.32 – Commande pour installer les Filebeat.
Puis, nous téléchargeons le fichier de configuration Filebeat ainsi que le modèle d’alertes
pour la base de données Elasticsearch et le module Wazuh pour Filebeat à travers les com-
mandes mentionnées dans la figure 3.33.
Figure 3.33 – Commandes pour télécharger le fichier de configuration Filebeat, le

modèle d’alertes pour Elasticsearch et module de Wazuh pour les Filebeat.
Ensuite, nous ajoutons le mot de passe d’elastic dans le fichier /etc/filebeat/filebeat.yml.
Figure 3.34 – Commande pour modifier le fichier Filebeat.
34
Figure 3.35 – Ajout de mot de passe d’Elastic dans le fichier Filebeat.
De même, nous copions les certificats dans le fichier /etc/filebeat/certs.
Figure 3.36 – Commandes pour copier les certificats dans le fichier Filebeat.
En dernier lieu, nous activons et démarrons le service Filebeat comme illustrée dans
la figure 3.37.
Figure 3.37 – Commandes pour activer et démarrer le service Filebeat.
Pour assurer l’activation du service Filebeat, nous tapons la commande de figure 3.38.
35
Figure 3.38 – Commande pour vérifier le bon fonctionnement de service Filebeat.
La commande filebeat test output illustrée dans la figure 3.39 affirme le succès
d’installation du Filebeat.
Figure 3.39 – Commande pour tester le succès d’installation de Filebeat.
3.4.6 Installation de Kibana

Pour terminer l’installation d’Elastic Stack, nous installerons l’interface web Kibana
qui nous permet la visualisation des événements et des alertes stockés dans la base de
données Elasticsearch.
Pour cela, nous installons initialement le package Kibana comme la montre la figure 3.40.
Figure 3.40 – Commande pour installer le package Kibana.
36
Dès que l’installation du Kibana s’effectue, nous copions les certificats Elasticsearch
dans le dossier de configuration de Kibana.
Figure 3.41 – Commandes pour copier les certificats d’Elasticsearch dans le dossier de
configuration de Kibana.
Aussi, nous téléchargeons le fichier de configuration de Kibana.
Figure 3.42 – Commande pour télécharger le fichier de configuration Kibana.
A l’aide de la commande vim /etc/kibana/kibana.yml, nous remplaçons le mot de

passe par défaut trouvé par le mot de passe d’Elastic.
Figure 3.43 – Commande pour modifier le fichier Kibana.
37
Figure 3.44 – Ajout du mot de passe Elastic au fichier de Kibana.
Ensuite, nous créons le répertoire /user/share/kibana/data et nous installons le

plugin Wazuh Kibana.
Figure 3.45 – Commandes pour créer le répertoire Kibana et installer le plugin Wazuh
Kibana.
En dernier lieu, nous relions le socket de Kibana au port 443.
Figure 3.46 – Commande pour relier le socket Kibana au port 443.
L’activation et le démarrage du service Kibana se fait à l’aide des commandes de la

figure 3.47.
38
Figure 3.47 – Commandes pour activer et démarrer le service Kibana.
Finalement, la commande systemctl status kibana vérifie l’activation du service

Kibana.
Figure 3.48 – Commande pour vérifier le fonctionnement de Kibana.
3.4.7 Désactivation des Référentiels

Pour assurer la compatibilité entre la version de Wazuh, Elastic Stack et les paquets,
nous désactivons toute mise à jour involontaire du système comme illustré à la figure 3.49.
Figure 3.49 – Commandes pour désactiver les références des nouvelles versions.
Pour accéder à l’interface Web nous devons savoir l’adresse IP du serveur wazuh. La
commande ip add affiche les différents types d’adresses.
39
Figure 3.50 – Commande pour déterminer l’adresse IP du serveur.
Voici une capture qui montre l’authentification au logiciel Elastic Stack.
Figure 3.51 – Authentifier au Elastic Stack.
40
Chapitre 3.5. Installation des agents
3.5 Installation des agents

Dès que l’installation du serveur Elastic Stack s’effectue, nous passons à l’étape sui-
vante qui consiste d’installer les agents de wazuh sur nos différents client Ubuntu 22.04.2
et Windows 10.
Et avant tout, nous devons arrêter le fonctionnement du Firewall du système CentOS 7.
Figure 3.52 – Arrêt du fonctionnement du Firewall du CentOS.
3.5.1 Installation des agents sur Ubuntu 22.04

Pour installer l’agent wazuh, nous devons tout d’abord accéder en tant qu’un admi-
nistrateur.
Figure 3.53 – Mettre l’utilisateur comme un root.
Figure 3.54 – La mise à jour du système Ubuntu.
41
Chapitre 3.5. Installation des agents
Après la préparation d’environnement de travail, nous pouvons maintenant installer

convenablement les agents du wazuh à travers les commandes de la figure 3.55.
Figure 3.55 – Installation des agents sur Ubuntu.
3.5.2 Installation des agents sur Windows 10

L’installations des agents du wazuh sur Windows 10 s’effectue à l’aide des deux com-
mandes de la figure 3.56.
Figure 3.56 – Installation des agents sur Windows.
Et finalement, nous vérifions le succés d’installation à travers les tableaux de bords

du wazuh qui affiche l’interconnexion entre le serveur et les clients Ubuntu et Windows
et l’activation des agents.
42
Chapitre 3.6. Visualisation du système :
Figure 3.57 – Activation des Agents sur Ubuntu et Windows.
3.6 Visualisation du système :

Dans cette partie, nous allons présenter les différents composants de l’interface gra-
phique du système. Wazuh est constitué de quatre modules principaux, comme l’indique
la figure 3.58 :
• Security information management
• Threat detection and response
• Auditing and Policy Monitoring
• Regulatory Compliance
Figure 3.58 – Capture des composants du module wazuh.
43
Chapitre 3.6. Visualisation du système :
• Security information management :

Ce module est formé de deux outils essentiels « Security Events » et « Integrity Monito-
ring ».
Il est responsable de la collecte, la corrélation et la gestion des journaux de sécurité.
La figure 3.59 illustre comment Wazuh détecte les alertes et les traduit dans un gra-
phique.
Figure 3.59 – Capture du tableau du bord Wazuh.
La figure 3.60 affiche le traitement des fichiers logs. Elle est composée de quatre parties :
— Le premier champ détecte la date et l’heure des évènements.

— Le second affiche les noms des évènements et les décrit.
— La troisième colonne montre le niveau d’alerte de chaque évènement termes de
menace pour la sécurité. Le niveau peut varier de 1 à 15, le tableau 3.3 décrit
chaque alerte et son taux de gravité :
Table 3.3 – Niveau d’alerte de chaque événement.
Niveau d’alerte Signification

1 Ignoré
2 Notification système de faible priorité
3 Evénements réussis/autorisés
4 Erreur de priorité basse du système
5 Erreur générée par l’utilisateur
6 Attaque de faible pertinence
7 Critique
8 Première fois vu
9 Erreur provenant d’une source non valide
10 Plusieur erreurs générées par l’utilisateur
11 Avertissement de contrôle d’intégrité
12 Evénement de grande importance
13 Erreur inhabituelle (Haute importance)
14 Evénement de sécurité de grande importance
15 Attaque sévère
44
Chapitre 3.7. Scénarios des attaques
— La quatrième colonne montre l’Identifiant (ID) affecté par la MITRE ATT&CK de

chaque évènement.
Figure 3.60 – Capture analyse des évènements.
• Threat detection and response :

Il est aussi composé de deux outils nommés « Vulnerabilities » et « MITRE ATT&CK ».
Ce module détecte les menaces potentielles telles que les activités suspectes, les attaques
des logiciels malveillants et les tentatives de piratage.
• Auditing and Policy Monitoring :

Ce module est constitué de trois outils « Policy Monitoring », « System Auditing » et «
Security Configuration Assessment ».
Le module Auditing and Policy Monitoring de Wazuh permet la surveillance de la confor-
mité des systèmes informatiques aux politiques de sécurité et aux réglementations en
vigueur en temps réel.
• Regulatory Compliance :
Ce dernier module de Wazuh est composé des normes suivantes « Payment Card Industry
Data Security Standard (PCI-DSS) », « General Data Protection Regulation (GDPR) »,
« Health Insurance Portability and Accountability Act (HIPAA) » et « National Institute
of Standards and Technology 800-53 (NIST 800-53) ».
Il permet aux organisations d’assurer la conformité de leurs systèmes informatiques aux
réglementations en vigueur.
Et dans ce projet, nous allons focaliser sur deux outils essentiels : ‘’Security informa-
tion management” et ‘’Threat detection and response”.
3.7 Scénarios des attaques

Ce volet sera consacré à une série de scénarios d’attaques qu’on peut réaliser sur notre
système afin de tester le bon fonctionnement de notre SIEM en détectant ses différentes
attaques et créant des réponses immédiates. Voici quelques exemples d’attaques qu’on va
effectuer :
• Surveillance de l’intégrité des fichiers.
• Détection d’une attaque par injection SQL.
45
• Détection de vulnérabilité.
• Attaque force brute par SSH.
3.7.1 Surveillance de l’intégrité des fichiers

La surveillance d’intégrité des fichiers est un module disposé par Wazuh qui assiste
à maintenir une longueur d’avance sur les failles de sécurité et à détecter les alertes qui
pourraient exposer le réseau à des attaques de pillage.
Et dans ce contexte, nous allons découvrir comment ELK Stack et plus précisément le
module de surveillance Wazuh intègre lors d’une modification dans le système de fichiers
pour détecter toutes créations, changement ou suppression des fichiers.
Et par la suite, nous essayons de modifier un fichier dans le répertoire /root. Et pour
cela, nous accédons au fichier /var/ossec/etc/ossec.conf de l’agent Wazuh installé sur
la machine Ubuntu 22.04.
Figure 3.61 – Commande pour modifier le fichier ossec.conf.
Nous activons l’audit des données qui détecte toutes informations sur l’utilisateur et
le processus modifiés.
Figure 3.62 – Capture d’ajout de la ligne directories check-all pour vérifier l’intégrité
du fichier.
Puis, nous redémarrons l’agent Wazuh et nous testons leur fonctionnement.
46
Figure 3.63 – Commandes pour démarrer et vérifier le bon fonctionnement d’agent

wazuh.
Le module Wazuh a détecté les changements et les a affichés sous forme d’alertes de
sécurité.
Figure 3.64 – Première description d’alerte de Sécurité par ELK Stack.
Les figures 3.65, 3.66 et 3.67 présentent en détails comment réagit Wazuh avec cette
alerte en affichant toutes les données nécessaires.
47
Figure 3.65 – Première description d’alerte de Sécurité.
Figure 3.66 – Deuxième description d’alerte de Sécurité.
48
Figure 3.67 – Troisième description d’alerte de Sécurité.
3.7.2 Détection d’une attaque par injection SQL

SQL Injection est un type de vulnérabilité de sécurité web qui permet aux attaquants
d’exploiter les failles des requêtes dynamiques qu’une application fait à la base de don-
nées.
Elle permet au pirate d’accéder, de modifier, de supprimer et de manipuler les données
liées à la base de données ce qui engendre des problèmes liés au fonctionnement des ap-
plications et même la destruction des bases de données.
L’injection SQL est l’une des techniques de piratage web les plus courantes et poten-
tielles car elle peut être employée dans le but de nuire les applications Web qui utilisent
les requêtes SQL pour la création des bases de données. (La majorité des applications
Web exploitent les bases de données SQL).
Et le module Wazuh offre la possibilité de détecter ce genre des attaques persistantes

et nocives en effectuant les étapes suivantes.
Tout d’abord, nous allons mettre à jour les packages locaux sur la machine ubuntu.
Figure 3.68 – Commande pour mettre à jour les packages locaux.
Et par la suite, nous installons le serveur Web Apache afin de surveiller les journaux
Apache.
49
Figure 3.69 – Commande pour installer serveur web Apache.
Pour autoriser l’accés externes aux port Web, nous devons déasactiver les para-feu.
Figure 3.70 – Commande pour installer serveur web Apache.
La commande systemctl status apache2 vérifie l’activation du serveur Web.
Figure 3.71 – Commande montre le bon fonctionnement du serveur Apache.
50
La commande de la figure 3.72 affiche l’installation de la page destination d’Apache.
Figure 3.72 – Installation du Apache.
Ensuite, nous essayons de modifier un fichier dans le répertoire /root. Et pour cette
raison, nous accédons au fichier /var/ossec/etc/ossec.conf de l’agent Wazuh installé
sur la machine Ubuntu 22.04.
Figure 3.73 – Commande pour accéder au fichier ossec.conf.
Nous ajoutons le code montionné dans la figure 3.74 pour surveiller Apache.
Figure 3.74 – Ajout du code pour surveiller Apache.
51
Puis, nous redémarrons l’agent Wazuh et nous testons leur fonctionnement.
Figure 3.75 – Commandes pour redémmarer et tester le bon fonctionnement du wazuh-

agent.
Nous injectons l’attaque SQL Injection à la commande de la figure 3.76.
Figure 3.76 – Injection de l’attaque.
Voici la réaction instantanée du module Wazuh afin de détecter cette attaque mal-
veillante.
Figure 3.77 – Résultat du système.
52
Figure 3.78 – Résultat affiché par wazuh.
Figure 3.79 – Description d’alerte 1.
3.7.3 Détection de vulnérabilité

La vulnérabilité [24] [25] en informatique désigne toute faille accidentelle ou inten-
tionnelle dans la configuration ou la conception du système permet au pirate d’accéder
illégalement au réseau informatique dans le but d’ignorer ou de violer les politiques de
sécurité d’une entreprise.
Et le système ELK Stack utilise un ensemble des outils et des solutions pour détecter et
53
mentionner les vulnérabilités du système.
Et dans ce contexte, nous essayons de visualiser comment wazuh détecte la vulnérabi-

lité des systèmes informatiques.
Pour cette raison, nous installons une machine vulnérable nommée Typhoon 1.02, [26]
[27] son système d’exploitation est Ubuntu 14.04.
Comme le montre la figure 3.82 pour accéder à la machine nous devons taper le nom
de l’identifiant et le mot de passe.
Figure 3.82 – Authentification de Typhoon 1.02
Donc, nous vérifions de l’adresse MAC de la machine Typhoon.
Figure 3.83 – Vérification de l’adresse MAC de la machine vulnhub
54
Puis, et à l’aide de Kali, nous tapons la commande netdiscover pour découvrir les
machines en ligne ou connectées et déterminer l’adresse IP de Typhoon en se basant à
son adresse MAC.
Figure 3.84 – Commande pour découvrir les machines connectées.
L’étape suivante consiste à scanner les ports de la machine cible.
Figure 3.85 – Commande pour scanner les ports de la machine cible.
55
Nous détectons un accès d’entré à mongoadmin dans http-rebots et une ouverture

du port 8080 (Port HTTP) pour Apache Tomcat.
Figure 3.86 – Détection d’une entrée mongoadmin dans robot.
Figure 3.87 – Détection d’ouverture du port 8080 pour Apache Tomcat Coyote JSP
Engine 1.1.
La figure 3.88 montre le résultat affiché en tapant sur le navigateur :
56
http ://192.168.35.148/mongoadmin.
Nous obtenons les justificatifs d’identité : nom d’utilisateur et mot de passe.
Figure 3.88 – Les données nécessaires pour Login.
Par la suite, nous scannons à travers la commande drib le site qui génère une grande
sortie des répertoires intéressants.
Figure 3.89 – Commande pour scanner le site.
La figure 3.106 montre l’ouverture du répertoire drupal qui affiche la version utilisée.
57
Figure 3.90 – Ouverture du répertoire drupal.
Figure 3.91 – Commande pour déterminer la version du Drupal .
En se basant sur la figure 3.107 nous remarquons que la version drupal 8 utilisé par
la machine est très ancienne et cela nous permet d’exploiter le module Metasploit pour
fournir des informations sur les vulnérabilités de la cible. Donc la prochaine étape consiste
d’installer et d’exécuter Metasploit.
58
Figure 3.92 – Lancement de Metasploit.
La commande search drupal permet de rechercher le répertoire drupal dans Metas-

ploit.
Figure 3.93 – Commande pour rechercher drupal dans Metasploit.
La figure 3.94 montre les modifications des paramètres du Metasploit.
59
Figure 3.94 – Modification des paramètres du Metasploit.
Voici les changements effectués sur Metasploit.
Figure 3.95 – Résultat de la modification efféctuée sur Metasploit.
La commande run ré-exécute Metasploit.
60
Figure 3.96 – Commande pour redémarrer Metasploit.
Ensuite, nous recherchons le sploit de la version 3.13.0 et nous l’envoyons vers la

machine Typhoon.
Figure 3.97 – Commandes pour chercher le Spoit 3.13.0 et l’envoyer vers Typhoon
1.02.
Au bout d’un certain temps, nous avons eu une idée de profiter des résultats obtenus
au-dessus et surtout de la figure 3.88 qui contient les justificatifs d’identité de la cible et
de connecter par le protocole SSH.
Pour cela, et sur une nouvelle fenêtre de terminale, nous devons connaitre l’adresse IP
du serveur Kali.
61
Figure 3.98 – Commande pour déterminer l’adresse IP de Kali.
Puis, nous tapons la commande suivante : ssh typhoon@192.168.35.148.
Figure 3.99 – Commande pour connecter avec SSH.
La figure 3.100 montre la réception du fichier qui contient le sploit.
62
Figure 3.100 – Commande pour récupérer le sploit.
Nous exécutons le fichier qui contient le sploit.
Figure 3.101 – Commandes pour exécuter fichier contenant le sploit.
La figure 3.102 montre le succès d’exécution du fichier.
Figure 3.102 – Succés d’exécution du fichier.
A ce niveau-là, nous pouvons directement installer l’agent-wazuh à travers Kali puisque

le type du clavier utilisé par Typhoon est QWERTY et cela engendre des lacunes lors de
l’écriture des commandes.
La figure 3.103 montre l’installation d’agent-wazuh.
63
Figure 3.103 – Commandes pour installer agent-wazuh.
Voici le résultat affiché par le module Wazuh et le succès d’interconnexion de l’agent

par le système.
Figure 3.104 – Résultat d’interconnexion de l’agent affiché par Wazuh.
La dernière étape consiste à détecter la vulnérabilité de la machine, donc nous accé-

dons au fichier root ossec.conf.
Figure 3.105 – Commande pour accéder au fichier ossec.conf.
Nous vérifions les paramètres liés à la détection des vulnérabilités.
64
Figure 3.106 – Configuration de la vulnérabilité 1.
65
Finalement, nous redémarrons le serveur wazuh-manager.
Figure 3.110 – Commande pour redémarrer agent-wazuh.
66
Le système détecte immédiatement la vulnérabilité de la cible et affiche les résultats

suivants.
Figure 3.111 – Résultat affiché par Wazuh 1.
Figure 3.112 – Résultat affiché par Wazuh 2.
3.7.4 Attaque force brute par protocole SSH

Les attaques force brute SSH dans les systèmes informatiques sont des tentatives de
connexions SSH utilisées dans le but d’accéder illégalement à des systèmes protégés par
mot de passe, tels que les comptes de messagerie électronique, les comptes bancaires en
ligne ou les réseaux privés. . . en effectuant une suite des tests pour découvrir le nom d’uti-
lisateur et le mot de passe.
Et pour effectuer cette attaque, nous allons tout d’abord activer le protocole SSH sur la
machine cible Ubuntu 22.04.
Figure 3.113 – Commande pour activer le protocole SSH sur machine Ubuntu.
67
Pour assurer l’activation du protocole SSH, nous tapons la commande de figure 3.114.
Figure 3.114 – Commande pour vérifier le fonctionnement de SSH sur Ubuntu.
Ensuite nous accédons convenablement en tapant les identifiants corrects. La capture

3.115 montre le succès d’interconnexion lorsqu’on tape le nom d’utilisateur et le mot de
passe correctement.
Figure 3.115 – Capture Login SSH.
Puis, nous essayons de taper des mots de passe inexacts afin de visualiser la réponse
du système. Le protocole SSH offre par défaut trois essais seulement à l’utilisateur et par
la suite la permission sera refusée mais sans bloquer l’utilisateur.
68
Figure 3.116 – Capture 3 essais d’attaque SSH.
Donc nous essayons d’insérer une règle qui bloque l’utilisateur après deux essais in-
correcte seulement pendant 180 secondes.
Figure 3.117 – Commande pour accéder aux règles.
Figure 3.118 – Capture de la règle SSH ajouté.
Nous redémarrons le serveur Wazuh et nous testons la réaction du système après

l’ajout de la règle 5760.
69
Chapitre 3.8. Conclusion
Figure 3.119 – Capture du blocage d’attaque SSH.
Le serveur Wazuh affiche les différentes alertes détéctées immédiatemment. Il réagit

à cette tentative trouvée en bloquant l’utilisateur après deux essais comme le montre la
figure 7.120.
Figure 3.120 – Capture qui affiche la réponse du Wazuh : échec d’authentification SSH.
En résumé, le serveur Wazuh n’a pas détecté l’alerte seulement mais en ajoutant
et modifiant des règles il réagit rapidement afin d’éviter toutes tentatives malveillantes
indésirables.
3.8 Conclusion
Dans ce dernier chapitre, nous avons justifié notre choix de solution en décrivant les
avantages d’ELK stack. Nous avons ensuite présenté les composants et le fonctionnement
de cette solution, ainsi que les environnements logiciels et matériels nécessaires à sa mise
en place.
Nous avons également détaillé l’architecture de notre environnement du travail, puis pro-
cédé à l’installation de la solution et à la configuration des agents.
Aussi, nous avons réalisé la visualisation du système et à la configuration des agents.
Et finalement, nous avons créé des scénarios d’attaques pour tester le fonctionnemnt du
systéme et voir le résulats du Wazuh.
70
Conclusion Générale
Grâce à cette expérience professionnelle réalisée au sein de Tunisie Télécom, nous avons
eu l’opportunité de mettre en pratique nos compétences théoriques et professionnelles ac-
quises lors de nos études à l’institut.
Pendant la période de stage, nous avons d’abord découvert le réseau de Tunisie Té-
lécom, ainsi que les outils de sécurité utilisés par l’entreprise, notamment le système de
supervision QRadar. Après avoir examiné les lacunes de ce système, nous avons proposé
une alternative plus évolutive : le système de supervision ELK Stack. Dans la deuxième
partie du projet, nous avons étudié Elastic Stack. Son fonctionnement consiste à collecter
stocker et corréler les informations du réseau en vue d’identifier rapidement les incidents
de sécurité.
Il permet aussi de suivre les activités et diagnostiquer les problèmes de performance.

Nous avons consacré la partie pratique à la préparation de l’environnement de travail,
l’installation des machines virtuelles CentOS 7, Ubuntu 22.04.2, Windows 10, Typhoo
1.02 et Kali, ainsi que l’installation du système de supervision ELK Stack et ses com-
posants : tels que la base de données Elasticsearch, l’interface graphique de visualisation
Kibana, les FileBeats, le module Wazuh et ses agents wazuh.
Nous avons également présenté les différents composants du système, tels que l’audit
la surveillance des politiques, la conformité réglementaire, la détection et la réponse aux
menaces et surtout la gestion des informations de sécurité.
Enfin, nous avons mis en œuvre divers tests de détection de vulnérabilités afin de
démontrer l’aptitude de notre solution à analyser le niveau de vulnérabilité. Nous avons
aussi réalisé des scénarios d’attaques, tels que l’attaque par injection SQL, l’attaque par
force brute.
Nous avons constaté que l’avantage majeur d’incorporer le module Wazuh dans ELK
Stack est de détecter les menaces et les attaques potentielles en temps réel. Par conséquent
la sécurité de l’entreprise sera considérablement améliorée.
En conclusion, ce projet nous a permis d’acquérir une expertise en matière d’audit

de sécurité des réseaux et des systèmes, de nous familiariser avec l’environnement Linux,
d’explorer Metasploit et de réaliser des attaques à l’aide de Kali.
Cette expérience nous a également ouvert de nouvelles perspectives sur les systèmes
SIEM et l’intelligence artificielle qui jouent un rôle primordial dans la protection des
entreprises contre les cyberattaques.
71
Netographie
[1] SOC. In : tales from security professional (consulté le 19-05-2023).

https://tales-from-a-security-professional.com/which-services-can-
you-expect-from-a-security-operation-center-ce5e97aa6a31
[2] Architecure d’un SIEM. In : tutorial and example (consulté le 19-05-2023). https:
//www.tutorialandexample.com/siem-tools
[3] SIEM. In : orange business (consulté le 19-05-2023). https://www.orange-
business.com/fr/blogs/securite/lois-reglementations-standards-et-
certifications/gestion-des-informations-et-evenements-de-securite-
siem
[4] SIEM. In : openclassrooms (consulté le 19-05-2023). https://openclassrooms.com/
fr/courses/1750566-optimisez-la-securite-informatique-grace-au-
monitoring/7144162-identifiez-les-objectifs-du-monitoring
[5] SIEM. In : spiceworks (consulté le 19-05-2023). https://www.spiceworks.com/it-
security/vulnerability-management/articles/what-is-siem/
[6] Wazuh Architecture. In : Wazuh (consulté le 19-05-2023). https:
//documentation.wazuh.com/current/deployment-options/elastic-stack/
index.html
[7] Tunisie Télécom. In : Tunisie telecom (consulté le 19-05-2023). https://
www.tunisietelecom.tn/Fr/Particulier/A-Propos/Entreprise
[8] Supervision informatique. In : informatique-securite (consulté le 19-05-
2023). https://www.informatique-securite.net/quest-cest-reellement-
supervision-informatique/
[9] Qradar. In : IBM (consulté le 19-05-2023). https://www.ibm.com/docs/fr/SSKMKU/
com.ibm.qradar.doc/b_qradar_users_guide.pdf
[10] Cyberattaque. In : Oracle (consulté le 19-05-2023). https://www.oracle.com/fr/
cloud/cyberattaque-securite-reseau-informatique.html
[11] Cybersécurité. In : IBM (consulté le 19-05-2023). https://www.ibm.com/fr-fr/
topics/cybersecurity
[12] Cybersécurité. In : CISCO (consulté le 19-05-2023). https://www.cisco.com/c/
fr_fr/products/security/what-is-cybersecurity.html
[13] Supervision. In : appvizer (consulté le 19-05-2023). https://www.appvizer.fr/
magazine/services-informatiques/supervision-info/supervision-
informatique
[14] SOC. In : varnois (consulté le 19-05-2023). https://www.varonis.com/blog/
security-operations-center-soc
72
Netographie Netographie
[15] Types des SOC. In : blogrsisecurity (consulté le 19-05-2023). https://

blog.rsisecurity.com/types-of-security-operations-centers/
[16] SIEM. In : ionos (consulté le 19-05-2023). https://www.ionos.fr/digitalguide/
serveur/securite/quest-ce-que-le-siem
[17] SIEM. In : carnetdebord (consulté le 19-05-2023). https://www.carnetdebord.info/
quest-ce-que-le-siem-fonctionnement-utilisations-et-aussi-quelle-
solution-utiliser
[18] SIEM. In : IBM (consulté le 19-05-2023). https://www.ibm.com/fr-fr/topics/
siem
[19] ELK. In : elastic (consulté le 19-05-2023). https://www.elastic.co/fr/what-is/
elk-stack
[20] VMware. In : VMware (consulté le 12-06-2023). https://www.vmware.com/
products/workstation-player.html
[21] ELK Stack. In : elastic (consulté le 12-06-2023). https://www.elastic.co/guide/
index.html
[22] KALI. In : kali (consulté le 19-05-2023). https://www.kali.org/docs/
introduction/what-is-kali-linux/
[23] Metasploite. In : Varonis (consulté le 12-06-2023). https://www.varonis.com/blog/
what-is-metasploit
[24] Vulnérabilités. In : orangecyberdefense (consulté le 19-05-2023).
https://www.orangecyberdefense.com/fr/insights/blog/gestion-des-
vulnerabilites/vulnerabilites-de-quoi-parle-t-on
[25] Gestion des vulnérabilités. In : microsoft (consulté le 19-05-2023).
https://www.microsoft.com/fr-ca/security/business/security-101/what-
is-vulnerability-management
[26] Capture du drapeau. In : infosecinstitute (consulté le 19-05-2023). https://
resources.infosecinstitute.com/topic/typhoon-ctf-walkthrough/?fbclid=
IwAR3JMGIzMZ0r7GkmNWYTjKV2oOq__EU3tkyMJ0lZoqXXO8YqB4wpN0joZ1k
[27] Capture du drapeau. In : hackingarticles (consulté le 19-05-2023). https://
www.hackingarticles.in/typhoon-1-02-vulnhub-walkthrough/
73
Netographie Netographie
Liens d’installation
VMware :
https://www.vmware.com/products/workstation-player/workstation-player-evaluation.html
centos7 :
http://centos.mirror.server24.net/7.9.2009/isos/x86_64/
Windows 10 :
https://getintopc.com/softwares/operating-systems/windows-10-pro-feb-2023-
free-download-7207369/
Ubuntu 22.04 :
https://ubuntu.com/download/desktop/thank-you?version=22.04.2&architecture=amd64
Kali :
https://www.kali.org/get-kali/#kali-installer-images
Wazuh :
https://documentation.wazuh.com/current/deployment-options/elastic-stack/all-
in-one-deployment/index.html
Machine vulnérable :
https://www.vulnhub.com/entry/typhoon-102,267/#download
74

Rapport de Stage: Mise en Place D'un Système de Monitoring Siem: Elk Stack

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Rapport de Stage: Mise en Place D'un Système de Monitoring Siem: Elk Stack

Transféré par

Droits d'auteur :

Formats disponibles

République Tunisienne

Ministère de l’Enseignement Supérieur

Mise en place d’un système de monitoring

Réalisé au sein de Tunisie Télécom

Soutenu publiquement le 05/06/2023 devant le jury composé de :

Président : Mme Maha Cherif, Enseignante, ISTIC

Année Universitaire : 2022-2023

Mise en place d’un système de monitoring

Réalisé au sein de Tunisie Télécom

période de Stage : du 01/02/2023 jusqu’au 01/05/2023

Autorisation de dépôt du rapport de Projet de Fin d’Etudes :

Encadrant professionnel : Encadrant académique :

BEN SALAH Youssef

Au début, je tiens à remercier DIEU de m’avoir donné la santé et la force

Je dédie ce projet à mes drôles parents, aucun hommage ne pourrait être

Tout ceux qui m’aiment et que j’aime.

En premier lieu, nous tenons à remercier Mr Walid Zaghdoudi notre encadrant

Et finalement, nous aimerons adresser ce remerciement à l’Institut Supérieur des Tech-

Liste des Abbréviations xi

1 Présentation Générale du Projet 2

2 Les Notions de Bases de la Sécurité Informatique 7

2.5 Solutions disponibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

1.1 Logo Tunisie Télécom (TT) . . . . . . . . . . . . . . . . . . . . . . . . . . 2

3.24 Commande pour exécuter les nouveaux mots de passe. . . . . . . . . . . . 31

3.67 Troisième description d’alerte de Sécurité. . . . . . . . . . . . . . . . . . . 49

3.113 Commande pour activer le protocole SSH sur machine Ubuntu. . . . . . . 67

2.1 Types d’attaques malveillantes . . . . . . . . . . . . . . . . . . . . . . . . . 8

ADSL Asymmetric Digital Subscriber Line

Suite à la transformation digitale et aux développements technologiques, les systèmes

Présentation générale du projet

1.2 Présentation de l’organisme d’accueil

1.2.1 Organisme d’accueil

Figure 1.1 – Logo TT

1.2.2 Domaines d’activités

• Services de téléphonie mobile : TT fournit des services de téléphonie mobile

• Services de télévision : TT offre une gamme de services de télévision, notamment

• Services aux entreprises : TT propose des services de télécommunications pour

• Services financiers : TT fournit des services financiers, y compris le transfert

1.2.3 Missions de Tunisie Télécom

Figure 1.2 – Organigramme TT

1.3 Présentation du projet

1.3.2 Etude de l’existant

Figure 1.3 – Authentification du Logiciel QRadar.

1.3.3 Critique de l’existant

Figure 1.4 – Onglet d’Infraction dans QRadar Console.

Figure 1.5 – Onglet d’Activité du Réseau dans QRadar Console

1.3.4 Solution proposée

Les Notions de Bases de la Sécurité

2.2.2 Types d’attaques

2.2.3 Différents exemples de cyberattaques

Table 2.1 – Types d’attaques malveillantes

Nom de l’attaque Définition

Table 2.2 – Types d’attaques forgées

Nom de l’attaque Définition

2.3.2 Types de sécurité

• La sécurité des informations : garantit les services de sécurité.

2.3.3 Services de sécurité

• Confidentialité : C’est un service qui consiste à rendre l’information incompréhen-

2.4.2 Security Operation Center

2.4.3 Fonctions du SOC

2. Classement et gestion des alertes : Le SOC examine précautionneusement les

3. Réponse aux menaces : Le SOC agit comme un intervenant principal, il exerce

5. Gestion de la conformité : Le SOC est responsable de la vérification régulière