Mémoire de projet de fin d’études

En vue de l’obtention du diplôme de la

licence appliquée en Technologie de
l’Informatique

Mise en place du plateforme SOC open Source

Préparé par
Mathlouthi Zied, Chehit Hamza,
Encadré par
Mr Hamdi Wahid et Mrs Gharbi Hanene

Dédicaces Juin 2021

1
 A mes chers parents Kamel et Fayza

Qui m’ont fourni les meilleures conditions pour terminer mes études,

En témoignage du grand amour, tendresse, encouragement et leurs

Prières tout au long de mon parcours universitaire. Que Dieu m’offre

La chance d’être à la hauteur de leurs attentes.

Vous avez guidé mes premiers pas, vous m’avez toujours servi de

Modèle et vous rester toute ma vie.

Vous avez fait de moi ce que je suis aujourd’hui.

Je vous dédie ce modeste travail qui n’est d’autre que le fruit de vos

Nobles sacrifices.

A mes frères Firas, Iskander & Ilyes

Qui n’ont cessé d’être pour moi des exemples de persévérance, de courage et de générosité, et à qui je
souhaite plus de succès

A tous mes amis

Pour leurs aides et support dans les moments difficiles.

Hamza

Dédicaces

2
 A mes parents Habib et Zaara

Aucun hommage ne pourrait être à la hauteur

De l’amour et de l’affection

Dont ils ne cessent de me combler.

Qu’ils trouvent dans ce travail le témoignage de

Mon profond amour.

A mes trois chères sœurs et mes deux frères qui ne cessent de

M’entourer de la joie et du sourire.

A toute ma famille

A tous mes amis pour leurs encouragements.

Je leur espère le succès et le bonheur.

A tous ceux qui m’ont aidé à réaliser ce travail en particulier mes

Encadreurs.

Je leur dédie ce modeste travail que dieu leur procure bonne santé

Et longue vie.

Zied

Remerciements

3
 Nous tenons tout d’abord à remercier Dieu le tout puissant et miséricordieux, qui nous
a donné la force et la patience d’accomplir ce travail.

Nous consacrons ces mots en signe de gratitude et de reconnaissance à tous ceux qui
ont contribué, de près ou de loin, à la réalisation de ce projet. Qu’ils veuillent trouver ici nos
termes les plus sincères remerciements.

Toute notre gratitude et nos vifs remerciements s’adressent à nos chères encadrant
Mr Hamdi Wahid et Mrs Gharbi Hanene pour la qualité de leur encadrement, pour leurs
conseils et leurs aides ainsi que leurs critiques et orientations tout au long de notre réalisation
de ce projet.

Nous désirons en autre remercier tous les enseignements qui ont assuré les meilleurs
de leurs connaissances et de leurs patiences durant nos études à ISET Tozeur.

Nous adressons nos honorables respects au président de jury, aux membres de jury et à
tous ceux qui ont bien voulu accepter d'examiner et d'évaluer ce travail.

Sommaire
Introduction Générale..............................................................................................................................................12
Chapitre 1 : Présentation et Analyse du Problème..................................................................................................13
Introduction :...........................................................................................................................................................14
I. Présentation de l’organisation d’accueil TOPNET :.......................................................................................14
II. Problématique :..........................................................................................................................................16

4
III. Présentation du Projet :..............................................................................................................................16
IV. Planning :...................................................................................................................................................17
Conclusion :............................................................................................................................................................17
Chapitre 2 : Etude Conceptuelle.............................................................................................................................18
Introduction :...........................................................................................................................................................19
I. Les Norme ISO :.............................................................................................................................................19
II. Norme ISO 27001 :....................................................................................................................................20
1. Définition :.................................................................................................................................................20
2. Objectif de la Norme ISO 27001 :.............................................................................................................20
3. Structure de la Norme ISO 27001 :............................................................................................................21
3.1. Phase Planifier :.................................................................................................................................21
3.2. Phase Développer :............................................................................................................................22
3.3. Phase Contrôler :...............................................................................................................................22
3.4. Phase Ajuster :...................................................................................................................................22
4. Apports de la norme ISO 27001 :..............................................................................................................23
III. Analyses Des Risques :..............................................................................................................................24
1. Ebios :........................................................................................................................................................24
2. Mehari :......................................................................................................................................................25
3. Fair :...........................................................................................................................................................26
4. CRAMM :..................................................................................................................................................26
5. Comparaison des méthodes d’analyses des risques :.................................................................................27
6. Choix de la méthode d’analyse des risques :.............................................................................................28
IV. Etude des Solutions centre opérationnelle de sécurité :.............................................................................28
1. Les Solutions Payante :..............................................................................................................................29
1.1. Security Event Manager :..................................................................................................................29
1.2. Qradar :..............................................................................................................................................29
1.3. Etude Comparatif :............................................................................................................................30
2. Les Solutions Open Source Gratuite :........................................................................................................30
2.1. RockNSM :........................................................................................................................................31
2.1.1. Définition :....................................................................................................................................31
2.1.2. Fonctionnalités :............................................................................................................................32
2.2. Security Onion :................................................................................................................................33
2.2.1. Définition :....................................................................................................................................33
2.2.2. Fonctionnalités :............................................................................................................................33
2.3. Eyes Of Network :.............................................................................................................................34
2.3.1. Définition :....................................................................................................................................34
2.3.2. Fonctionnalités :............................................................................................................................34
2.4. Etude Comparatif :............................................................................................................................35

5
V. Choix de Solution :......................................................................................................................................36
1. Définition Security Onion :..........................................................................................................................36
2. Architecture interne de Security Onion :......................................................................................................37
3. Aspects techniques de Security Onion :.....................................................................................................38
3.1. Suricata :............................................................................................................................................38
3.2. OSSEC/HIDS (wazuh) :....................................................................................................................39
3.3. Moniteur de sécurité Bro (zeek) :......................................................................................................40
3.4. Stenographer :...................................................................................................................................40
3.5. Elasticsearch :....................................................................................................................................41
3.6. Logstash :..........................................................................................................................................41
3.7. Kibana :.............................................................................................................................................42
3.8. Grafana :............................................................................................................................................42
4. Architecture de solution :.............................................................................................................................43
Conclusion :............................................................................................................................................................44
Chapitre 3 : Réalisation de la solution....................................................................................................................45
Introduction :...........................................................................................................................................................46
I. Installation de Security Onion :.......................................................................................................................46
II. Définition des composants de Security Onion :.........................................................................................53
III. Configuration Security Onion:...................................................................................................................55
1. Configuration filebeat :..............................................................................................................................56
2. Configuration Kibana :..............................................................................................................................56
3. Configuration wazuh :................................................................................................................................57
4. Configuration du port mirroring :..............................................................................................................58
IV. Les Dashboard du solution SO :................................................................................................................58
1. Dashboard Grafana:...................................................................................................................................59
2. Dashboard Kibana :....................................................................................................................................61
3. Dashboard Alert:........................................................................................................................................62
4. Dashboard wazuh :.....................................................................................................................................63
V. Les scenarios d’attaque et validation de test :............................................................................................65
1. Scenario 1 : Brute Force (Attaque par force Brute) :.................................................................................65
2. Scenario : DDOS (déni de service distribué).............................................................................................67
Conclusion :............................................................................................................................................................68
Conclusion Générale...............................................................................................................................................69
Références...............................................................................................................................................................70

6
 Liste Des Tableaux

Tableau 1 : Chiffres clés de TOPNET---------------------------------------------------------------------------------------12

Tableau 2 : Comparaison des méthodes d’analyse de risque-------------------------------------------------------------25
Tableau 3 : Comparaison des Solutions Payante "SOC"------------------------------------------------------------------27
Tableau 4 : Comparaison des Solutions Open Source gratuite-----------------------------------------------------------32

7
 Liste des figures

Figure 1 : Organigramme de TOPNET--------------------------------------------------------------------------------------15

Figure 2 : Plan de travail------------------------------------------------------------------------------------------------------17
Figure 3 : Structure de la Norme ISO 27001-------------------------------------------------------------------------------21
Figure 4 : Méthode analyse des risque EBIOS-----------------------------------------------------------------------------24
Figure 5 : Méthode d'analyse des risque Mehari---------------------------------------------------------------------------25
Figure 6 : Logo RockNSM----------------------------------------------------------------------------------------------------31
Figure 7 : Logo Security Onion----------------------------------------------------------------------------------------------33
Figure 8 : Logo Eyes Of Network-------------------------------------------------------------------------------------------34
Figure 9 : Logo de Solution S.O---------------------------------------------------------------------------------------------36
Figure 10 : Architecture Interne de Security Onion-----------------------------------------------------------------------37
Figure 11 : Logo Suricata-----------------------------------------------------------------------------------------------------38

8
Figure 12 : Logo Ossec--------------------------------------------------------------------------------------------------------39
Figure 13 : Architecture Ossec-----------------------------------------------------------------------------------------------39
Figure 14 : Logo Bro----------------------------------------------------------------------------------------------------------40
Figure 15 : Logo Elasticsearch-----------------------------------------------------------------------------------------------41
Figure 16 : Logo Logstash----------------------------------------------------------------------------------------------------41
Figure 17 : Logo Kibana------------------------------------------------------------------------------------------------------42
Figure 18 : Logo Grafana-----------------------------------------------------------------------------------------------------42
Figure 19 : Architecture de solution-----------------------------------------------------------------------------------------43
Figure 20 : importation l'image Iso------------------------------------------------------------------------------------------46
Figure 21 : installation Security Onion--------------------------------------------------------------------------------------47
Figure 22 : Début d'installation-----------------------------------------------------------------------------------------------47
Figure 23 : type d'installation-------------------------------------------------------------------------------------------------48
Figure 24 : Nom de serveur---------------------------------------------------------------------------------------------------48
Figure 25 : adresse IP----------------------------------------------------------------------------------------------------------48
Figure 26 : Connection internet----------------------------------------------------------------------------------------------49
Figure 27 : Réseau domestique-----------------------------------------------------------------------------------------------49
Figure 28 : Le chouia de type de gestionnaire------------------------------------------------------------------------------49
Figure 29 : Outil Zeek, Suricata----------------------------------------------------------------------------------------------50
Figure 30 : Installation des Composant Security Onion-------------------------------------------------------------------50
Figure 31 : E-mail de Connexion--------------------------------------------------------------------------------------------50
Figure 32 : Mot de Passe de Connexion------------------------------------------------------------------------------------51
Figure 33 : L’utilisation de type de configuration-------------------------------------------------------------------------51
Figure 34 : Nombre de Zeek--------------------------------------------------------------------------------------------------51
Figure 35 : Nombre de Suricata----------------------------------------------------------------------------------------------51
Figure 36 : Le type de configuration-----------------------------------------------------------------------------------------52
Figure 37 : Adresse IP---------------------------------------------------------------------------------------------------------52
Figure 38 : Confirmation des Options---------------------------------------------------------------------------------------52
Figure 39 : Status Security Onion--------------------------------------------------------------------------------------------53
Figure 40 : Configuration filebeat-------------------------------------------------------------------------------------------56
Figure 41 : Wazuh manager--------------------------------------------------------------------------------------------------57
Figure 42 : Création d'un agent wazuh--------------------------------------------------------------------------------------57
Figure 43 : Dashboard Grafana-----------------------------------------------------------------------------------------------59
Figure 44 : Graphe Grafana---------------------------------------------------------------------------------------------------60
Figure 45 : Dashboard Kibana------------------------------------------------------------------------------------------------61
Figure 46 : Dashboard des Alertes-------------------------------------------------------------------------------------------62
Figure 47 : Dashboard Wazuh------------------------------------------------------------------------------------------------63
Figure 48 : détail d'une alerte-------------------------------------------------------------------------------------------------64
Figure 49 : Tentative d'accès-------------------------------------------------------------------------------------------------65
Figure 50 : Authentification échouée----------------------------------------------------------------------------------------66
Figure 51 : Le détail de l’alerte-----------------------------------------------------------------------------------------------66
Figure 52 : avancement d'une attaque DDOS------------------------------------------------------------------------------67
Figure 53 : Détail alerte DDOS----------------------------------------------------------------------------------------------68

9
 Liste d’acronyme

CPU Central Processing Unit

EBIOS Expression des Besoins et Identification des Objectifs de Sécurité

MEHARI Méthode Harmonisée d’Analyse de Risques

Fair Factor Analysis of Information Risk

CRAMM CCTA Risk Analysis and Management Method

IP Internet Protocol

SIEM Security Information and Event Management

10
SSH Secure Shell

SOC Security Operations Center

ISMS Information Security Management System

TI Technologies de l’information

DDOS déni de service distribué

INTRODUCTION GÉNÉRALE

La sécurité de l’information est une problématique majeure pour toute entreprise quelle que
soit sa grandeur dans le marché et quelques soit son domaine d’activité.

Les attaques d’entreprises sont de plus en plus diversifiées en utilisant des vulnérabilités dans
leurs systèmes d’exploitation, des architectures logicielles ou bien des mauvaises
manipulations d’individue.

Dans ce cadre, plusieurs organismes essaient d’adopter des processus de gestion de risque
pour identifier les risques et y remédier.

Un Centre opérationnelle de sécurité « SOC » est un ensemble d’outils utilisés dans le

processus de gestion de risque. Permettant la visualisation de l’état de sécurité global du

11
système d’information concerné. Afin d’avoir une vision globale et cohérente sur l’état de
sécurité de sa plateforme, le département service internet de TOPNET a décidé d’élaborer un
tableau de bord de sécurité à l’aide d’une solution SOC. Ce qui fera l’objet de ce projet de fin
d’études.

Ce rapport est composé de 3 chapitres qui sont organisés comme suit : dans le premier
chapitre nous présenterons la société TOPNET, Problématique pour notre projet, Présentation
du projet et on termine par un plan pour notre travail.

Dans le deuxième chapitre, nous nous intéresserons au premier lieu d’identifier les norme
ISO, méthode d’analyse des risques avec une comparaison, au deuxième lieu nous allons faire
une étude des solutions opérationnelle de sécurité (payante, gratuite) avec une comparaison et
enfin nous nous intéresserons à la conception de la solution que nous avons choisie, et son
architecture.

Dans le troisième chapitre, nous allons expliquer les étapes de la mise en place de la solution,
la réalisation et validation de tests par des exemples d’attaques de la plateforme de TOPNET.

12
 Chapitre 1

PRÉSENTATION ET ANALYSE DU PROBLÈME

INTRODUCTION :
Ce chapitre sera consacré à une représentation du cadre générale de notre projet.
Cette partie portera la présentation d’accueil TOPNET et présentation du projet

I. PRÉSENTATION DE L’ORGANISATION D’ACCUEIL TOPNET :

TOPNET est un FSI, leader sur le marché d’Internet en Tunisie, qui a enregistré un
taux de croissance soutenue depuis sa création. Il offre ses services à la fois au grand
public et au marché professionnel. Il opère directement via son réseau d’agences
commerciales, mais également à travers un réseau comprenant plusieurs centaines de
distributeurs, ainsi qu’à travers les moyens de vente en ligne. Ses produits couvrent tous

13
les modes d’accès à Internet (ADSL, téléphone,) et il propose différentes formules
commerciales (post-payé, prépayé, forfaits, gratuités,).

Le tableau suivant montre une synthèse de chiffres clés concernant TOPNET.

Tableau 1 : Chiffres clés de TOPNET

Statut juridique Société anonyme

Date de création 2 Mai 2001

Capital social 2 Milliards DT

Chiffre d’affaires (2020) 47.8 Milliards DT

Ressources humaines 800 employés

Nombre d’abonnés ADSL 704.000 (en 2020)

Agences 15 Agences

14
  TOPNET en point de vue hiérarchique :
TOPNET comme d’autres organisations nécessitent une hiérarchie plus ou moins forte
pour pouvoir fonctionner. Une meilleure organisation de l’entreprise suppose une
hiérarchie plus poussée, c’est la base de l’organisation du travail.

La figure suivante montre l’organigramme de TOPNET :

15
 Figure 1 : Organigramme de TOPNET

II. PROBLÉMATIQUE :

Le système d’information du TOPNET est de grande taille et distribue sur plusieurs sites
« data center », d’où la difficulté de faire un suivi en temps réel des menaces probable

La détection d’une attaque n’est pas facile et demande plusieurs analyses pour connaitre la
source, le type et la cause.

III. PRÉSENTATION DU PROJET :

Notre projet consiste en la protection et prévention contre les attaques informatiques

qui est devenue une tâche complexe et couteuse.

En fait, une entreprise qui cherche à se protéger doit déployer plusieurs dispositifs de
défense et d’outils d’observations performants pour détecter les éventuelles failles.

Les responsables sécurité doivent disposer donc d’outils parfaitement opérationnels et

sécurisés, qui assure la gestion du réseau (gestion des alertes, suivi des pannes gestion des
données de configuration et maintenance…) par la collecte des alertes provenant de tous les
équipements (détecteurs d’intrusions, firewalls, serveurs, système d’exploitation…) et les
traiter et classer par priorité en éliminant les alertes inutiles et en se basant sur des algorithmes
de corrélation d’alertes.

Un centre opérationnel de sécurité (SOC) est une installation abritant une unité de
sécurité chargée de surveiller et d’analyser en permanence le dispositif de sécurité d’une
entreprise. L’objectif du SOC est de détecter, analyser et intervenir en cas d’incidents lié à la
cybersécurité.

16
 Le présent projet consiste à étudier les différentes solutions permettant de mettre en
place une plateforme SOC (Security Opération center) présentes sur le marché et à mettre en
place une solution adaptée aux spécificités et aux contraintes de TOPNET.

IV. PLANNING :

L’objectif de la planification du projet est de déterminer les étapes du projet et le timing. Ce

planning joue un rôle primordial pour la réalisation et le suivi du projet. En vue de modéliser
cette planification, nous avons eu recours à l’outil de Excel afin de dresser le diagramme de
Gant montrant les différentes étapes de notre projet.

Plan de Travail
Figure 2 : Plan de travail

CONCLUSION :
Réalisation de la Solution

Conception de Solution

Rapport

Documenttion/Recherche

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

Début Durée

Comme le montre ce chapitre, Nous avons présente la société TOPNET avec notre
problématique et une description du projet et nous avons terminé par un plan de travail

17
 Chapitre 2

ETUDE CONCEPTUELLE

18
INTRODUCTION :
Dans ce chapitre, au premier lieu nous allons voire la norme iso et son objectif, et en va voire
quelque méthode d’analyses des risques avec leurs comparaison et le choix de solution et On
termine par l’architecture et les composent a utilisé.

Dans le cadre de standardisation des définitions de sécurité et de communication pour garantir

une meilleure interopérabilité entre le système d’information, plusieurs normes ont été créés.
Ces normes sont devenues des standards internationaux adoptées par la majorité des
entreprises.

I. LES NORME ISO :

Une norme ISO représente un terme générique international dont le but est de regrouper les
meilleures pratiques en termes de management de la qualité. ... La norme représente un
document officiel dispensé par un organisme agréé. Les organismes de normalisation sont les
établissements chargés de produire des normes. [1]

Il Ya plusieurs norme, chaque norme et spécifie pour quelque tâche par exemple :

 Normes ISO : 1 – 999 / Langues et caractères

 Normes ISO : 1000 – 8999 / Codes et langages
 Normes ISO : 9000 – 9099 / Qualité
 Normes ISO : 9100 – 9999 / Exigences logiciels, codage, langage (suite)
 Normes ISO : 14000 – 14399 / Environnement
 Normes ISO : 19100 – 19199 / Information géographique
 Normes ISO 25000 – 25999 / Sûreté de fonctionnement des systèmes informatiques
 Normes ISO : 27000 – 27999 / Sécurité de l'information
Dons notre cas nous allons utiliser la norme ISO 27001 qui dédier à la Sécurité de
l’information.

19
II. NORME ISO 27001 :
1. Définition :
La certification ISO/IEC 27001 démontre aux clients, existants et potentiels, qu’une
organisation a défini et mis en œuvre des processus de sécurité de l’information selon les
bonnes pratiques à suivre. La norme ISO 27001 est la seule norme auditable
internationalement qui définisse les exigences pour un système de management de la sécurité
de l’information (ISMS – Information Security Management System).

2. Objectif de la Norme ISO 27001 :

L’objectif principal de cette norme est de spécifier les exigences pour mettre en place,

La norme aussi a pour objectifs :

 La définition d’un périmètre :

 Quel périmètre en termes d’activités de l’entreprise ou organisme
(périmètre fonctionnel, par métier, géographique, ...)
 La spécification des exigences pour la mise en place de mesures de sécurité adaptées
aux besoins de l’organisation
 L’appréciation des risques en appliquant des méthodes compatibles avec la norme
 Le traitement de risques :
 L’entreprise doit identifier les risques résiduels c’est-à-dire ceux qui persistent
après la mise en place des mesures de sécurité. S’ils sont jugés inacceptables, il
faut définir des mesures de sécurité supplémentaires
 La sélection des mesures de sécurité
 La documentation :
 La formation et sensibilisation :
 Permettent d’assurer le développement de compétences adéquates du personnel
tout en renforçant la confiance, la maîtrise et la compréhension des mesures
planifiées.
 La gestion des incidents de sécurité :
 Est outil important de gouvernance globale et son utilisation sous quelque
forme que ce soit et une nécessité
 L’amélioration continue

20
3. Structure de la Norme ISO 27001 :

La norme ISO 27001 se compose de onze chapitres qui sont divisés en quatre phases comme
la montre la figure suivante : [2]

Attentes et
Sécurité
Exigences en
effective fournie
termes de
sécurité

Partenaires Partenaires

Fournisseurs Fournisseurs

Clients Clients

Pouvoirs Pouvoirs
Publics Publics

Services Services

Figure 3 : Structure de la Norme ISO 27001

3.1. Phase Planifier :

Cette phase consiste à définir les objectifs du SMSI. Elle est constituée de quatre étapes :

 La définition de la politique de sécurité qui sera appliquée au sein de l’entreprise et le

périmètre du SMSI, c’est-à-dire son domaine d’application.
 L’identification et l’évaluation des risques liés à la sécurité en choisissant une
méthode d’analyses de risque
 Le traitement des risques identifiés, ceci en choisissant parmi quatre traitements
possibles : l’acceptation, l’évitement, le transfert ou la réduction.
 Choisir les mesures de sécurité à mettre en place, la norme propose cent quatorze
mesures classées en quatorze catégories

21
 3.2. Phase Développer :

Cette phase consiste à mettre en place les objectifs initialement définis. Elle est composée
de quatre étapes :

 L’établissement d’un plan de traitement des risques

 Le déploiement des mesures de sécurité
 La mise en place des indicateurs de performance qui donnent une idée sur l’efficacité
des mesures de sécurité ou de conformité qui donnent une idée sur la conformité du
SMSI à ses spécifications
 La formation et la sensibilisation du personnel

3.3. Phase Contrôler :

Cette phase consiste à gérer le SMSI en quotidien et à détecter les incidents en

permanence pour y réagir rapidement. Ceci à l’aide de trois outils :

 Les audits internes qui vérifient la conformité et l’efficacité du SMSI.

 Le contrôle interne qui vérifie le fonctionnement normal des processus.
 Les revues qui garantissent l’adéquation du SMSI avec son environnement.

3.4. Phase Ajuster :

 Cette phase consiste à mettre en place des actions correctives, préventives ou

d’améliorations pour les incidents et écarts constatés de la phase Ajuster.
 Actions correctives : agir sur les effets pour corriger les écarts puis sur les causes pour
éviter la reproduction des incidents.
 Actions préventives : agir sur les causes avant que l’incident ne se produise.
 Actions d’amélioration : améliorer la performance d’un processus du SMSI.

22
4. Apports de la norme ISO 27001 :

Cette norme a contribué dans la sensibilisation à la sécurité de l’information et à la création

des SMSI. En effet, elle fait communiquer deux populations : technique et organisationnelle.
De plus, elle constitue un langage commun qui est non seulement compréhensible par les
techniciens et les administrateurs mais aussi par toute personne souhaitant implémenter un
SMSI. En outre, cette norme est un référentiel structurant ce qui est pratique dans le cas de
multiples référentiels de sécurité à suivre. Enfin, la norme ISO 27001 donne une image de
sérieux puisque l’état de l’art est reconnu en termes de l’organisation de la sécurité en plus de
sa contribution à faire accepter la sécurité à tous les niveaux.

23
III. ANALYSES DES RISQUES :

Le choix de la méthode ou des méthodes nécessaires pour réaliser l’analyse des risques est
primordial. Il n’existe pas une méthode unique miraculeuse qui permettrait à toutes les
entreprises de toutes tailles et de tous secteurs d’analyser leurs risques afin de déterminer les
mesures de prévention. Il existe donc des méthodes avec des objectifs différents, selon le
besoin de l’entreprise dans la mise en place de son système dynamique de gestion des risques.

Voici quelque exemple des méthodes d’analyse des risques :

1. Ebios :

L’acronyme de « Expression des Besoins et Identification des Objectifs de Sécurité » permet

d’identifier les risques d’un SI et de proposer une politique de sécurité adaptée aux besoins de
l’entreprise. Elle se compose de cinq guides qui sont : [3]

Etude du Contexte

Expression des Etude des Menaces

Besoins de Sécurité

Identification des
objectifs de Sécurité

Détermination des
exigences de Sécurité

Figure 4 : Méthode analyse des risque EBIOS

24
2. Mehari :

MEHARI est l’acronyme de « Méthode Harmonisée d’Analyse de Risques » est une

méthodologie intégrée et complète d’évaluation et de management des risques associés à
l’information et à ses traitements. Elle offre la possibilité d'évaluer et de gérer les risques liés
aux scénarios de risque grâce à des formules d'évaluation directe et le choix des moyens de les
réduire. La démarche MEHARI comprend trois phases : [3]

La phase préparatoire : Cette phase consiste à étudier le périmètre de l’étude et le contexte,

de classer l’ensemble des actifs du SI, d’identifier les événements pouvant impacter le bon
déroulement du SI et d’évaluer la gravité de cet impact pour l’entreprise.

La phase d’analyse des risques : Cette phase permet de détecter les scénarios de risques qui
peuvent remettre en cause un des objectifs de sécurité de l’organisation. Il s’agit d’élaborer
des scénarios de risque et d’effectuer un diagnostic des services de sécurité.

La phase de planification du traitement des risques : Cette phase consiste à analyser les
scénarios de risque afin d’identifier et décider du traitement à adopter.

Figure 5 : Méthode d'analyse des risque Mehari

25
3. Fair :

Fair est l’acronyme de « Factor Analysis of Information Risk » est une méthode d'analyse des
risques Elle permet aux entreprises de parler le même langage sur le risque, appliquer
l’évaluation des risques à un actif de l'organisation, voir les risques organisationnels dans leur
totalité et comprendre combien de temps et d’argent seront affectés au profil de sécurité de
l'organisation. Elle est conforme à la norme ISO/CEI 27001. [4]

Composé de dix étapes, réparties dans quatre (04) phases :

Phase 1 : Identifier les composants de scène (actifs et menaces)

1. Identifier les actifs à risque (routeur, ordinateur)

2. Identifier les menaces encourues par les actifs à risque.

Phase 2 : Évaluer la fréquence des événements de perte

3. Estimation de la fréquence des menaces probables de l’événement ;

4. Estimer l’importance de la menace ;

5. Estimer les contrôler robustes ;

6. Dériver les vulnérabilités ;

7. Calculer les pertes fréquente de l’événement.

Phase 3 : Évaluer l'ampleur probable des pertes

8. Estimer les pires pertes ;

9. Estimer les pertes probables.

Phase 4 : Dérivation sur les risques

10. Dériver et atténuer les risques.

4. CRAMM :

CRAMM est l’acronyme de « CCTA Risk Analysis and Management Method » est une
méthode exhaustive assez lourde, réservée aux grandes entreprises. Elle est composée de trois
phases : Identification de l’existant, évaluation des menaces et des vulnérabilités et choix des
remèdes. [3]

26
5. Comparaison des méthodes d’analyses des risques :

Le tableau suivant résume les caractéristiques de ces quatre méthodes d’analyse des risques :

Tableau 2 : Comparaison des méthodes d’analyse de risque

NOM EBIOS MEHARI FAIR CRAMM

Français Français, Anglais, Anglais Anglais

Langue Allemand

Documentatio Riche et Riche et disponible Disponible Pas disponible

n disponible gratuitement Gratuitemen
gratuitement t

ISO/CEI 15408, ISO/CEI 27001, ISO/CEI

27005 et ISO 27002,27005 27001
Fondement 31000

Outil Logiciel EBIOS Fichier tableur gratuit CRAMM

gratuit de la base de expert et
connaissances CRAMM
express payant

Méthode Appréciation des Analyse et Calcule de Evaluation des

risques management des risque risques
risques

Complexité Base de Utilisé en conjonction Logiciel

connaissances avec un logiciel ou des sophistiqué et
riche, existence feuilles de calcul complexe
d’une
dédiées, adaptation
communauté
d’expert compliquée à la base
de connaissances

Les méthodes présentées permettent d’étudier les systèmes et les installations à différents
instants de leurs cycles de vie.
D’après cette étude, nous pouvons conclure qu’il n’y a pas une grande différence entre
chaque méthode, mais chacune se caractérise par ses propres propriétés.
La méthode de gestion des risques parfaite n’existe pas : il faut faire un choix entre les
différentes méthodes afin de savoir laquelle s’adapte le mieux aux objectifs à atteindre et aux
caractéristiques de l’entreprise.

27
6. Choix de la méthode d’analyse des risques :

Après l’étude comparative des principales méthodes d’analyse des risques, nous avons décidé
d’opter pour la méthode MEHARI. En effet, cette méthode est compatible avec la norme ISO
27001. Elle contient une documentation riche pour chacune de ses phases.

IV. ETUDE DES SOLUTIONS CENTRE OPÉRATIONNELLE DE

SÉCURITÉ :
Sécurité de réseau et des systèmes. Il comprend l’analyse et la corrélation de logs, de gestion
des incidents et le reporting basé sur l’analyse d’événements. Un Gestion de l'information et
des événements de sécurité (SIEM) analyse d’autres données en plus des logs, mais la source
de données primaire est le log.

Un SIEM agrège les données provenant des périphériques de sécurité. Alors, un événement
apparaissant plusieurs fois dans plusieurs sources différentes peut être corrélé. En plus des
points cités plus haut, un SIEM fournit la capacité d’investigation (Forensic) à l’équipe CIRT.
Cette dernière pourra entreprendre des mesures, escaladée l’incident ou simplement de le
documenter. Quelques avantages d’un SIEM :

 Gestion de logs centralisée.

 Corrélation de logs et mise en relation « cause à effet ».
 Agrégation des événements de sécurité en une liste que l’on peut facilement gérer :
classifié, catégorisé, etc.
 Permet de prévenir des dommages sur les ressources informatiques de l’entreprise.
 Permet d’voir un tableau de bord pour la gestion de la sécurité, de conformité avec les
politiques de sécurité, etc.

Il est important de savoir qu’il existe deux formes de supervision de la sécurité. La

supervision de la sécurité de réseau proactive et la supervision de la sécurité de réseau
réactive.

La supervision de la sécurité réseau proactive consiste à rechercher des vulnérabilités, des

failles, des certificats invalides ou expirés.

La supervision de la sécurité réseau réactive est la forme la plus utilisée. Elle consiste à la
recherche d’incidents, à apporter une réponse aux incidents et à l’investigation de réseau.

28
Il existe des solutions de supervision payante et d’autre qui sont open source gratuite.

1. Les Solutions Payante :

Dans la catégorie payante on cite :

 Security Event Manager

 Qradar
1.1. Security Event Manager :

Utilisent des outils d'inspection des données pour centraliser le stockage et l'interprétation des
journaux ou des événements générés par d'autres logiciels s'exécutant sur un réseau.[5]

 Collecte et normalisation centralisées des journaux

 Automatisation de la détection des menaces et des interventions nécessaires
 Outils intégrés de génération de rapports de conformité
 Interface utilisateur et tableau de bord intuitifs
 Surveillance intégrée de l’intégrité des fichiers

1.2. Qradar :
 Security Information and Event Management (SIEM) aide les équipes de sécurité à
détecter et hiérarchiser avec précision les menaces dans toute l'entreprise et fournit des
éclairages intelligents qui permettent de réagir rapidement afin de réduire l'impact des
incidents. [6]
 Centre d’opérations de sécurité « SOC » et tableaux de bord de gestion configurables
 Détection de menaces avancées
 Moniteur de santé 24 heures sur 24, 7 jours sur 7
 Partage de services pour les fournisseurs de services

1.3. Etude Comparatif :

Le tableau suivant résume les caractéristiques des Solutions payante :

Tableau 3 : Comparaison des Solutions Payante "SOC"

29
 Critère Fonctionnels Security Event Manager Qradar

Environnement de L’installation Linux Linux

Création des graphes simple à Oui Oui

partir des mesures

Installation et configuration Oui Oui

simple

Générer des alertes Oui Oui

Possibilité d’ajouter les plugins Oui Oui

Gratuit Non Non

Prix À partir de $2,613 À partir de $1,000 par mois

2. Les Solutions Open Source Gratuite :

Comme tous types de logicielle, il existe un grand nombre de solutions open source
gratuite de supervision de sécurité

Parmi les plus répandues, reconnues du moment nous pouvons citer :

 RockNSM

 Security Onion

 EYES-OF NETWORK

2.1. RockNSM :

30
 Figure 6 : Logo RockNSM

2.1.1. Définition :
ROCK est une plateforme de collecte, dans l'esprit du Network Security Monitoring par des
contributeurs de toute l'industrie et du secteur public. Son objectif principal est de fournir une
plate-forme de capteurs robuste et évolutive pour les missions de surveillance de la sécurité et
de réponse aux incidents. La plate-forme se compose de 3 fonctionnalités principales : [7]
• Acquisition passive de données via AF_PACKET, systèmes d'alimentation pour les
métadonnées « Zeek », détection de signature « Suricata » et capture de paquets complets
« Stenographer ».
• Une couche de messagerie « Kafka et Logstash » qui offre une flexibilité dans la mise à
l'échelle de la plate-forme pour répondre aux besoins opérationnels, ainsi qu'une certaine
fiabilité des données en transit.
• Stockage et indexation fiables des données « Elasticsearch » pour prendre en charge la
récupération et l'analyse rapides « Kibana » des données.

2.1.2. Fonctionnalités :
• Capture complète de paquets via Google Stenographer
• Analyse de protocole et métadonnées via Bro
• Alerte basée sur les signatures via Suricata
• Analyse récursive des fichiers via FSF.
• La sortie de Suricata et FSF est déplacée vers la file d'attente de messages via Filebeat
• Message Queuing et distribution via Apache Kafka

31
• Transport de messages via Logstash
• Stockage, indexation et recherche de données via Elasticsearch

Boîte à outils de l'analyste

 Kibana fournit une interface utilisateur et une visualisation des données

2.2. Security Onion :

Figure 7 : Logo Security Onion

32
 2.2.1. Définition :

Security Onion est une distribution Linux gratuite et ouverte pour la recherche de menaces, la
surveillance de la sécurité d'entreprise et la gestion des journaux.

Ilcomprend TheHive , Playbook , Fleet , osquery , CyberChef , Elasticsearch , Logstash , Kiba

na , Suricata , Zeek , Wazuh et de nombreux autres outils de sécurité.

Security Onion est utilisé par les équipes de sécurité du monde entier pour surveiller et
défendre leurs entreprises [8]

2.2.2. Fonctionnalités :

 Analyse de la sécurité
 Détection d’intrusion
 Analyse des données des journaux
 Surveillance de l’intégrité de fichier
 Détection de vulnérabilité
 Evaluation de configuration
 Réponses aux incidents
 Conformité règlementaire
 Sécurité Cloud

2.3. Eyes Of Network :

Figure 8 : Logo Eyes Of Network

33
 2.3.1. Définition :

Eyes Of Network « EON » est une solution complète de supervision, basée sur la distribution
GNU/Linux CentOS, gérée et administrée via une interface web, qui est accessible par tous
les acteurs d’un système d’informations avec une vue correspondant à chacun de leur métier.

EON est open source et sous licence GPL2, qui englobe plusieurs outils de supervision
monitoring et de gestion, chacun d’eux est spécialisé pour effectuer une tache spécifique de
supervision : [9]

NAGIOS : gestion des incidents et des problèmes

CACTI : gestion des performances

WEATHERMAP : cartographie de la bande passante

BACKUP MANAGER : Outil de sauvegarde de la solution

2.3.2. Fonctionnalités :

 Intégration d’InfluxDB et de Grafana

 Vulnérabilités corrigées
 Intégration du connecteur vers les gestionnaires de tickets

2.4. Etude Comparatif :

Notre étude comparative, nous donnons le tableau comparatif ci-dessous qui résume les
différentes caractéristiques des outils de supervision open source précédemment cités, qui
présentent les points faibles et les points forts de ces derniers. Ce qui nous aide bien
évidemment à prévoir le meilleur choix de la solution adoptée pour la phase de supervision.

Tableau 4 : Comparaison des Solutions Open Source gratuite

34
 Critère Fonctionnels RockNSM Security Onion Eyes of network

Environnement de L’installation Linux Linux Linux

Base de donne NoSQL NoSQL SQL

Protocole Https Https SNMP

Gestion d’authentification et des rôles Oui Oui Oui

Création des graphes simple à partir des mesures Oui Oui Oui

Utilisation d’agents sur les machines cibles Oui Oui Oui

Installation et configuration simple Oui Oui Oui

Intégration simple des nouveaux hosts à Oui Oui Oui

superviser

Possibilité de mettre en place une supervision Oui Oui Oui

centralisée entre plusieurs sous réseaux

Générer des alertes Oui Oui Oui

Générer des rapports Oui Oui Non

Possibilité d’ajouter les plugins Oui Oui Non

L’avantage de ces logiciels libres est la gratuité, la disponibilité du code source et la liberté
d’étudier et de modifier le code selon nos besoins et de le diffuser De plus, il existe une
communauté importante d’utilisateurs et de développeurs qui participent à l’amélioration des
logiciels et apportent une assistance par la mise en ligne des documentations et des
participations aux forums.

V. CHOIX DE SOLUTION :

En se basant, sur l’étude des solutions précédemment citées nous a estimé Security Onion a
été la solution la plus adaptée aux besoins de notre projet pour plusieurs raisons, En effet
Security Onion combine deux outils très efficaces et connus dans le domaine de monitoring, il

35
inclut d’autres applications intégrées de supervision répondant aux différents besoins de
supervision, qu’on va les détailler plus tard.

Figure 9 : Logo de Solution S.O

1. Définition Security Onion :

Security Onion est une distribution Linux gratuite et open source pour la détection des
intrusions, la surveillance de la sécurité d'entreprise et la gestion des journaux. Il comprend
plusieurs composants :

 ELK : Elasticsearch, Logstash, Kibana,

 Snort

 Suricata

 Bro

 Wazuh

 CyberChef

Et de nombreux autres outils de sécurité. L'assistant de configuration facile à utiliser vous

permet de créer une armée de capteurs distribués pour votre entreprise en quelques
minutes.

2. Architecture interne de Security Onion :

36
Cette partie sera consacrée à l’architecture et au déploiement de la solution open source que nous
avons choisie. [10]

Figure 10 : Architecture Interne de Security Onion

37
3. Aspects techniques de Security Onion :

En tant que distribution Linux basée sur Ubuntu, Security Onion contient plusieurs outils de
sécurité comme Suricata, Bro, ELK (qui sont maintenant Elasticsearch + Logstash + Kibana)
et quelques autres, tous ces outils sont intégrés dans le système, l'utilisation de ces
fonctionnalités est assez facile à mettre en place car la complémentarité configurée pour elles
est relativement facile à faire pivoter entre chacune d'elles.

L'objectif principal de ces outils est la détection des intrusions et la surveillance du processus
du réseau en gardant une attention particulière sur les événements de sécurité au sein du
réseau. Maintenant, pour comprendre un peu mieux les fonctions de chaque outil, nous
devons en décrire quelques-uns qui sont les outils les plus utilisés ou les plus pertinents inclus
dans Security Onion :

3.1. Suricata :

Figure 11 : Logo Suricata

Suricata est un moteur de détection des menaces réseau gratuit et open source, mature, rapide
et robuste.
Le moteur Suricata est capable de détecter les intrusions en temps réel (IDS), de prévenir les
intrusions en ligne (IPS), de surveiller la sécurité du réseau (NSM) et de traiter les PCAP hors
ligne.
Suricata inspecte le trafic réseau à l'aide d'un langage de signature et de règles puissant et
complet, et dispose d'un puissant support de script Lua pour la détection de menaces
complexes. [11]

38
3.2. OSSEC/HIDS (wazuh) :

Figure 12 : Logo Ossec

OSSEC est un système de détection d'intrusion hôte, les caractéristiques techniques de cet
outil sont les suivantes : [12]
 Détection des rootkits
 Réponse active et notification en temps réel
 Architecture système basée sur un service centralisé hébergé par un serveur et
plusieurs agents installés dans les équipements à surveiller.
 Système de vérification des fichiers

Figure 13 : Architecture Ossec

3.3. Moniteur de sécurité Bro (zeek) :

Figure 14 : Logo Bro

39
Bro Network monitor est un cadre utilisé pour les activités de surveillance du réseau, les
caractéristiques techniques du Bro Monitor peuvent être répertoriées comme suit : [13]

 Le moniteur Bro comprend des fonctionnalités qui peuvent être utilisées pour analyser
les protocoles réseau les plus courants.

 Les informations peuvent être rassemblées dans une base de données et peuvent être
consultées via ELK qui complète les informations au moment où les alertes doivent
être analysées.

3.4. Stenographer :

Stenographer est un utilitaire de capture de paquets complets pour la mise en mémoire tampon
des paquets sur le disque à des fins de détection d'intrusion et de réponse aux incidents. [14]

Stenographer écrit la capture complète des paquets dans PCAP. Il commencera

automatiquement à purger les anciennes données une fois que la partition atteindra 90%.

3.5. Elasticsearch :

Figure 15 : Logo Elasticsearch

40
Elasticsearch est un moteur de recherche et d'analyse distribué et capable de résoudre un
nombre croissant de cas d'utilisation. En tant que cœur de l'Elastic Stack, il stocke vos
données de manière centralisée afin que vous puissiez découvrir ce qui est attendu et
découvrir l'inattendu. [15]

Indexation : permet de créer des index, d’y placer des documents, de les analyser et de les
indexer.

Recherche : Accès à l’index, formulation des recherches, restitution du résultat et statistiques

d’accès.

3.6. Logstash :

Figure 16 : Logo Logstash

Logstash est un pipeline de traitement de données open source côté serveur qui ingère des
données à partir d'une multitude de sources. Il le transforme simultanément, puis l'envoie à
votre « cachette » préférée. [16]

3.7. Kibana :

Figure 17 : Logo Kibana

Kibana est une plate-forme open source d’analyse et de visualisation conçu pour fonctionner
avec Elasticsearch. Kibana permet de rechercher, d’afficher et d’interagir avec les données

41
stockées dans les index Elasticsearch. Cet outil permet d’effectuer une analyse de données
avancée et visualiser les données dans une variété de graphiques, de tableaux et de cartes.

Kibana facilite la compréhension de gros volumes de données. Son interface simple, basée sur
un navigateur permet de créer et de partager rapidement des tableaux de bord dynamiques
affichant les modifications apportées aux requêtes Elasticsearch en temps réel.
Une image vaut mieux que dizaine de lignes de log c’est le principe de Kibana. [17]

3.8. Grafana :

Figure 18 : Logo Grafana

Grafana est un logiciel de visualisation et d'analyse open source. Il vous permet d'interroger,
de visualiser, d'alerter et d'explorer vos métriques, peu importe où elles sont stockées. En
clair, il vous fournit des outils pour transformer vos données de base de données de séries
chronologiques (TSDB) en de superbes graphiques et visualisations. [18]

4. Architecture de solution :

42
Nous avons décrit les principaux composants de Security Onion précédement.et maintenant
nous allons faire la conception du projet avec l’architecture qu’vont expliquer les détaille de
notre projet

Le schéma précédent présent l’architecture à déploie, elle se forme essentiellement des

Figure 19 : Architecture de solution
composantes suivantes :

43
  Un serveur physique fourni par topnet avec un OS CentOS et une couche virtualisation
en se basant sur KVM
 Sur cette plateforme Topnet a déjà hébergé des VM de production
 Une VM dédiée pour Security Onion
 Une interface vers le réseau externe à travers un switch

Pour pouvoir monitorer les hosts, il faut installer des agents sur chacun selon le type de logs à
collecter (Agent Wazuh dans notre cas). Puis pour pouvoir traiter les logs collectés on a utilisé
un port mirroring : Action miroir du traffic br0 vers une interface virtuelle dummy0 pour
simuler en mode virtuelle le port mirorring.

On a un serveur Security onion où on installe Beats pour la gestion des logs, et wazuh
manager pour la gestion des paquet et intrusion réseau, Puis dans chaque host (VM Topnet)
on installe les agents Filebeat et wazuh.

Les agents vont lire les logs et superviser le réseau et les accès sur les hosts et envoient en
temps réels les logs et paquets vers le serveur Security onion.

Dans Notre Serveur Security onion les logs vont subir un traitement et indexation par
elasticserach avec vérification des règles déjà défini.

Si une des rules est valide, une alerte sera déclenchée sur le Dashboard de Kibana, les logs
traités vont être affichés sur Kibana selon les définitions et les tableaux déjà défini.

CONCLUSION :

Dans le deuxième chapitre, nous nous intéresserons au premier lieu d’identifier les norme
ISO, méthode d’analyse des risques avec une comparaison, au deuxième lieu nous allons faire
une étude des solutions opérationnelle de sécurité (payante, gratuite) avec une comparaison et
enfin nous nous intéresserons à la conception de la solution que nous avons choisie, et son
architecture.

44
 Chapitre 3

RÉALISATION DE LA SOLUTION

INTRODUCTION :

45
 Dans ce chapitre, au premier lieu nous allons installer la solution open source que nous
avons choisie « Security Onion », Puis nous allons configurer les agents et On termine par
la vérification de la solution avec la détection d’attaque.

I. INSTALLATION DE SECURITY ONION :

La procédure d’installation de la distribution Security Onion est la même selon que la

machine est en mode standalone, voici l’installation de solution. [19]

Figure 20 : importation l'image Iso

Menu de démarrage ISO de Security onion

46
 Figure 21 : installation Security Onion

Options de configuration :

Figure 22 : Début d'installation

Choisir le type d'installation

47
 Figure 23 : type d'installation

Spécifier le nom d'hôte

Figure 24 : Nom de serveur

Configurer la mise en réseau « adresse IP Security onion »

Figure 25 : adresse IP

Sélectionnez une connexion directe à Internet

48
 Figure 26 : Connection internet

Configurer le réseau domestique

Figure 27 : Réseau domestique

Configurer type d’installation

Figure 28 : Le chouia de type de gestionnaire

49
Choisir de l’outil zeek pour générer des métadonnées et suricata pour filtrer les alertes

Figure 29 : Outil Zeek, Suricata

Choisir tous les composants

Figure 30 : Installation des Composant Security Onion

Créer un compte utilisateur :

Figure 31 : E-mail de Connexion

Définir le mot de passe

50
 Figure 32 : Mot de Passe de Connexion

Choisir type de configuration

Figure 33 : L’utilisation de type de configuration

Choisir nombre de zeek

Figure 34 : Nombre de Zeek

Choisir nombre de suricata

Figure 35 : Nombre de Suricata

Choisir type de configuration

51
 Figure 36 : Le type de configuration
Entrer une adresse « IP TOPNET »

Figure 37 : Adresse IP

Confirmer les options

Figure 38 : Confirmation des Options

II. DÉFINITION DES COMPOSANTS DE SECURITY ONION :

Maintenant nous allons voir les status sur le serveur Security onion.

52
 #so-status

Figure 39 : Status Security Onion

Docker :

Docker est un logiciel libre permettant de lancer des applications dans des conteneurs
logiciels.

« Docker est un outil qui peut empaqueter une application et ses dépendances dans un
conteneur isolé, qui pourra être exécuté sur n'importe quel serveur ». [20]

Cortex :

Cortex, un logiciel open source et gratuit, Les observables, tels que les adresses IP et e-
mail, les URL, les noms de domaine, les fichiers ou les hachages, peuvent être analysés un
par un ou en mode groupé à l'aide d'une interface Web. [21]

Curator :

Gérez les utilisateurs stockés dans le serveur de gestion des identités Kratos.
Prend actuellement en charge la liste et la suppression des utilisateurs. [22]

Dockerregistry :

53
Docker Registry est une application côté serveur utilisée pour versionner, stocker et
distribuer des images Docker. [23]

Un registry permet de contrôler l’origine d’une image et facilite le déploiement continu.

ElastAlert :

ElastAlert est un cadre simple pour alerter sur les anomalies, [24]

Filebeat :

Filebeat est un agent de transfert léger, il nous permet de centraliser nos logs et fichiers.

Filebeat lit et transfère les lignes de logs et, en cas d'interruption, reprend là où il en était
dès que la connexion est rétablie.

C’est donc le plus fiable et solide agent beats. [25]

Fleet :

Fleet facilite l'interrogation et le suivi de vos serveurs, conteneurs et ordinateurs portables.

Il étend osquery pour répondre aux questions sur plusieurs appareils en même temps et
fournit des flux de journaux qui permettent une détection automatisée des menaces. [26]

Idstools :

Idstools est une bibliothèque Python pour travailler avec les journaux et règles SNORT(R)
et Suricata. [27]

Nginx :

NGINX, est un serveur web open-source qui, depuis son succès initial en tant que serveur
web, est maintenant aussi utilisé comme reverse proxy, cache HTTP, et load balancer. [28]

Playbook :

L’installation sur les nœuds Manager. Playbook vous permet de créer un-Playbook de
détection, qui se compose lui-même de lectures individuelles. [29]

Tous les résultats d'une lecture (faible, moyenne, élevée, gravité critique) peuvent être
visualisés dans Hunt ou Kibana.

54
 Sensoroni :

Ce système est composé d'un serveur et d'un ou plusieurs agents.

Exécute les travaux qui ont été mis en file d'attente sur le serveur. [30]

* Surveiller tous les capteurs

* Ajouter de nouveaux emplois

* Afficher la file d'attente des travaux

* Inspecter les détails du travail

TheHive :

TheHive est une plate-forme de réponse aux incidents de sécurité gratuite et open source
conçue pour faciliter la vie des SOC et de tout professionnel de la sécurité [31]

III. CONFIGURATION SECURITY ONION:

Nous allons faire Les configurations principale pour notre solution Security onion, Parmi
les configurations on cite :

 Configuration filebeat
 Configuration Kibana
 Configuration wazuh
 Configuration du port mirroring

1. Configuration filebeat :

55
La configuration se fait dans le fichier « filebeat.yml » dans le répertoire de configuration
« /etc/filebeat/ ».

#vim filebeat.yml
Pour pouvoir exploiter l’output de logstach, on a modifier la configuration pour autoriser
l’envoi des journaux sur un port dédié.

Nous avons décommenter « logstach output » et ajouter le Nom de serveur avec le port
« hosts [‘’SOC10 : 5644‘’] ».

Figure 40 : Configuration filebeat

Enfin, nous avons ajouté Filebeat pour le lancer au démarrage et le démarrer :

# so-filebeat-stop

# so-filebeat-start

2. Configuration Kibana :

Puis nous avons modifié les lignes de configuration « server.host » et « elasticsearch.hosts»

dans le fichier de configuration « kibana.yml » :

Server.host : ”0”
Elasticsearch.hosts: [https://41.226.22.107 :9200]

Enfin nous avons ajouté Kibana pour le lancer au démarrage et le démarrer :

#so-kibana-stop

#so-kibana-start
3. Configuration wazuh :

56
Après l’installation de la solution que nous avons choisie Security onion on a créé une
VM test et nous avons installé l’agent wazuh pour envoyer des journaux vers wazuh manager.

Et maintenant nous allons autoriser l’agent wazuh du VM test pour communiquer avec le
Security onion et voir les journaux avec une permission admin

# so-wazuh-agent-manage

Figure 41 : Wazuh manager

Figure 42 : Création d'un agent wazuh

4. Configuration du port mirroring :

57
Pour pouvoir monitorer les hosts, il faut installer des agents sur chacun selon le type de logs à
collecter. Puis pour pouvoir traiter les logs collectés on a utilisé un port mirroring : Action
miroir du traffic br0 vers une interface virtuelle dummy0 pour simuler en mode virtuelle le
port mirorring.

#ip link add dummy0 type dummy

#ip link set dummy0 up

#tc qdisc add dev br0 handle ffff: ingress

#tc filter add dev br0 parent ffff: protocol ip u32 match ip
protocol 1 0xff action mirred egress mirror dev dummy0

IV. LES DASHBOARD DU SOLUTION SO :

Notre solution Security Onion permettre de visualisiez notre information à travers des
Dashboard, parmi les Dashboard on a :

 Dashboard Grafana
 Dashboard Kibana

1. Dashboard Grafana:

58
Grafana est un Dashboard qui permet d’afficher la santé du serveur : allocation et
consommation des ressources tel que le CPU et la RAM.

Figure 43 : Dashboard Grafana

59
Ci-dessous l’un des graphes présentés par le Dashboard de grafana. Ceci montre l’utilisation
de processeur et les composants de l’utilisation

Figure 44 : Graphe Grafana

System : L'état du processeur indique la quantité de temps processeur utilisé par le noyau.

User : Au niveau supérieur, l'état du processeur « utilisateur » indique le temps processeur

utilisé par les processus de l'espace utilisateur.

Nice : L'utilitaire nice est utilisé pour démarrer un programme avec une priorité particulière.

Interrupt : est une suspension temporaire de l'exécution d'un programme informatique par le
microprocesseur afin d'exécuter un programme prioritaire (appelé service d'interruption).

Wait : est une sous-catégorie de l'état « inactif ». Il marque le temps passé à attendre les
opérations d'entrée ou de sortie, comme la lecture ou l'écriture sur le disque.

SoftIRQ : les softirqs sont des interruptions logicielles, souvent utilisées par les pilotes de
périphériques pour effectuer un traitement ultérieur de quelque chose en dehors du
gestionnaire d'interruptions matérielles.

60
2. Dashboard Kibana :

Les tableaux de bord Kibana fournissent des fonctionnalités de recherche faciles à utiliser, conçues pour nous
aider à approfondir les analyses.

Figure 45 : Dashboard Kibana

61
3. Dashboard Alert:

Dans notre serveur Security onion on peut voir les Alertes avec leurs nombres, le nom de la règle le niveau
d’attaque, et on peut utiliser des filtres pour regroupe où afficher la dernière heure des Alertes.

Figure 46 : Dashboard des Alertes

62
4. Dashboard wazuh :

Wazuh est utilisé pour collecter, agréger, indexer et analyser les données de sécurité, pour
nous aider à détecter les intrusions, les menaces et les anomalies comportementales.

Cette figure montre les noms des règles détecter avec leurs catégories, leurs ID et leurs
source IP.

Figure 47 : Dashboard Wazuh

63
Cette figure montre le détail d’une alerte, on cite parmi eux :

 Type d’attaque
 La date
 La source
 Le niveau

Figure 48 : détail d'une alerte

64
V. LES SCENARIOS D’ATTAQUE ET VALIDATION DE TEST :

Security onion utilise la notion des Rules (règles) pour détecter les attaques.

Ces règles sont un ensemble de formule et comportement qui caractérise un type d’attaque
défini.

Dans Security onion il y a plusieurs règles qui sont prédéfini (Brute force, DDOS, …)

Et il y a la possibilité ajouter des règles spécifiques.

Dans ce qui suit, nous allons simuler deux types d’attaque et voir le comportement de
Security onion.

1. Scenario 1 : Brute Force (Attaque par force Brute) :

Dans ce scenario nous allons simuler une tentative d’accès sur une ressource interne
« VMtest » depuis l’extérieur en utilisant des données d’authentification erroné

Figure 49 : Tentative d'accès

Nous avons fait trois tentatives d’accès avec un mot de passe invalide

65
L’accès et non autorisé mais cela génère une alerte dans notre Dashboard de Security Onion

Figure 50 : Authentification échouée

Security onion aussi offre la possibilité de voir le détail de l’alerte.

Parmi les détails affichés on cite :

 Le type d’attaque
 IP source
 Géo localisation de la source

66
  Date & heure

Figure 51 : Le détail de l’alerte

2. Scenario : DDOS (déni de service distribué)

Dans ce scenario nous allons simuler une attaque DDOS en utilisant une machine kali
linux.
Sur la machine kali linux nous allons exécuter la commande suivante.

#slowhttptest -u http://41.226.29.34:80 -c 50000 -i 1 -r 100 -p 1

67
 Figure 52 : avancement d'une attaque DDOS

Cette commande essai de faire 50000 connexions http vers la machine cible VM TEST
avec une moyenne de 100 connexions par seconde jusqu’à arriver à une indisponibilité
du service.

Au niveau Security Onion on détecte cette alerte, ci-dessous ses détails

68
CONCLUSION :

Dans le troisième chapitre, nous avons expliqué les étapes de la mise en place de la
solution, la réalisation et validation de tests par des exemples d’attaques de la
plateforme de TOPNET.

CONCLUSION GÉNÉRALE

69
RÉFÉRENCES

70
[1] https://fr.wikipedia.org/wiki/Liste_de_normes_ISO

[2] https://fr.wikipedia.org/wiki/ISO/CEI_27001

[3] https://cyberzoide.developpez.com/securite/methodes-analyse-risques/?
fbclid=IwAR2KCdydtUonrlXydSs3 0cfp8wLlayR0kU4sx4toPJPk_uU0G8MrKByk9Q#LIII-
A

[4] https://www.prosica.fr/blog/57-comment-mesurer-le-cout-du-risque-cyber-avec-la-
methode-fair.html

[5] https://www.solarwinds.com/fr/security-event-manager

[6] https://www.ibm.com/fr-fr/products/hosted-security-intelligence/pricing

[7] https://rocknsm.io/

[8] https://docs.securityonion.net/en/2.3/

[9] https://www.eyesofnetwork.com/fr/docs/5_3

[10] https://docs.securityonion.net/en/16.04/architecture.html

[11] https://www.ansi.tn/fr/assistance/outils-de-securite/suricata-601

[12] https://fr.vvikipedla.com/wiki/OSSEC

[13] https://zeek.org/

[14] https://docs.securityonion.net/en/2.3/stenographer.html

[15] https://docs.securityonion.net/en/2.3/elasticsearch.html#elasticsearch

[16] https://docs.securityonion.net/en/2.3/logstash.html?highlight=Logstash%20

[17] https://fr.wikipedia.org/wiki/Kibana

[18] https://grafana.com/docs/grafana/latest/getting-started/

[19] https://docs.securityonion.net/en/2.3/installation.html

[20] https://fr.wikipedia.org/wiki/Docker_(logiciel)#:~:text=Docker%20est%20un%20logiciel
%20libre,applications%20dans%20des%20conteneurs%20logiciels.&text=Contrairement

71
%20aux%20machines%20virtuelles%20traditionnelles,fournies%20par%20la%20machine
%20h%C3%B4te.

[21] https://docs.securityonion.net/en/2.3/cortex.html?highlight=Cortex

[22] https://docs.securityonion.net/en/2.3/curator.html?highlight=Curator%20

[23] https://www.osaxis.fr/etat-de-lart-des-solutions-de-registry-docker/#:~:text=Docker
%20Registry%20est%20une%20application,h%C3%A9berg%C3%A9%20qu'en%20mode
%20SaaS.

[24] https://progsoft.net/fr/software/elastalert

[25] https://docs.securityonion.net/en/2.3/filebeat.html?highlight=Filebeat%20

[26] https://fleetdm.com/

[27] https://idstools.readthedocs.io/en/latest/

[28] https://www.nginx.com/resources/glossary/nginx/

[29] https://docs.ansible.com/ansible/latest/user_guide/playbooks.html

[30] https://github.com/sensoroni/sensoroni

[31] https://thehive-project.org/

72