Khalid-AMATOCH

IBM QRadar CE :

Guide de Déploiement
pour Renforcer la
Sécurité Informatique

Réalisé par :
Khalid AMATOCH

1
 Khalid-AMATOCH

Table of Contents
CHAPITRE 1- INTRODUCTION ................................................................................................................................. 3

1.1 PRESENTATION DE L'OBJECTIF DU DOCUMENT ................................................................................................................... 3

1.2 IMPORTANCE DES SOLUTIONS SIEM COMME IBM QRADAR EN CYBERSECURITE ...................................................................... 3

CHAPITRE 2- COMPREHENSION D'IBM QRADAR ..................................................................................................... 5

2.1 EXPLICATION DES CONCEPTS SIEM ................................................................................................................................. 5

2.1.1 Les composants principaux d'une architecture SIEM .................................................................................... 6
2.1.2 Comment fonctionne le SIEM? ...................................................................................................................... 6
2.2 PRESENTATION D'IBM QRADAR .................................................................................................................................... 6
2.2.1 Collection des données .................................................................................................................................. 7
2.2.2 Traitement des données ................................................................................................................................ 8
2.2.3 Recherches de données ................................................................................................................................. 8
2.3 FLUX DE TRAVAIL DES EVENEMENTS QRADAR ................................................................................................................... 8

CHAPITRE 3- PLANIFICATION ET CONFIGURATION DE L'ENVIRONNEMENT DE LABORATOIRE .............................. 11

3.1 ARCHITECTURE DU LAB............................................................................................................................................... 11

3.2 IBM QRADAR : EXIGENCES MATERIELLES ET LOGICIELLES .................................................................................................. 12
3.3 INSTALLATION DE QRADAR COMMUNITY EDITION ........................................................................................................... 12
3.4 MISE EN PLACE DE LA SOLUTION PARE-FEU PFSENSE ET INGESTION DES JOURNAUX ................................................................. 15
3.4.1 Mise en place de la solution ........................................................................................................................ 15
3.4.2 ingestion des journaux ................................................................................................................................ 16
3.5 TRANSFERT DES JOURNAUX WINDOWS VERS IBM QRADAR VIA WINCOLLECT ...................................................................... 18
3.6 CONFIGURATION DE L'INGESTION DES JOURNAUX LINUX AVEC SYSLOG-NG ........................................................................... 20

CHAPITRE 4- SCENARIOS D'UTILISATION .............................................................................................................. 23

4.1 GESTION DES EXTENSIONS DANS IBM QRADAR .............................................................................................................. 23

4.2 GESTIONNAIRE DE CAS D'UTILISATION ........................................................................................................................... 23
4.2.1 Création de Règles....................................................................................................................................... 26
4.2.2 Cas d’utilisation : Surveillance des Commandes malicieux ......................................................................... 27
4.3 DONNEES DE REFERENCE DANS QRADAR ....................................................................................................................... 29
4.4 CONCLUSION ........................................................................................................................................................... 32

2
 Khalid-AMATOCH

Chapitre 1- Introduction

1.1 Présentation de l'objectif du document

Ce document constitue un guide complet pour comprendre et utiliser efficacement IBM QRadar, une solution de gestion
de l'information et des événements de sécurité (SIEM) de premier plan. Notre objectif principal est de clarifier les
fonctionnalités, les caractéristiques et les applications pratiques de QRadar dans le domaine de la cybersécurité.

À travers des explications détaillées, des exemples pratiques et des démonstrations pratiques, ce document vise à :

• Mettre en lumière le rôle crucial des solutions SIEM telles que QRadar dans la protection des actifs
organisationnels contre les menaces cybernétiques en constante évolution.
• Équiper les lecteurs d'une compréhension approfondie des capacités de QRadar, les dotant ainsi du pouvoir
d'exploiter pleinement son potentiel pour la détection des menaces, la réponse aux incidents et la gestion de la
conformité.
• Fournir des informations pratiques sur la mise en place d'un environnement de laboratoire, la configuration de
l'ingestion de journaux à partir de sources diverses et l'utilisation du moteur d'analyse robuste de QRadar pour
détecter et répondre aux incidents de sécurité.
• Présenter des cas d'utilisation concrets où QRadar s'avère essentiel pour renforcer les défenses, atténuer les
risques et améliorer la posture globale en matière de cybersécurité.

1.2 Importance des solutions SIEM comme IBM QRadar en cybersécurité

L'image des leaders de solutions SIEM positionne IBM QRadar en tant que protagoniste incontournable dans le paysage
de la cybersécurité. En tant que leader reconnu, QRadar incarne l'excellence dans la protection contre les menaces
numériques, offrant des capacités avancées de détection et de réponse, ainsi qu'une visibilité inégalée sur les
environnements informatiques complexes.

Figure 1 Leaders des solutions SIEM – 2022

3
 Khalid-AMATOCH

En détails, IBM QRadar se distingue par plusieurs caractéristiques qui en font un choix de prédilection pour les
entreprises soucieuses de leur sécurité :

• Analyse avancée des données : QRadar est équipé d'algorithmes sophistiqués et de capacités d'analyse
avancées qui lui permettent de détecter les menaces émergentes et les comportements malveillants dans les
environnements informatiques les plus complexes.
• Intégration complète : QRadar s'intègre harmonieusement avec une multitude de sources de données, de
solutions de sécurité tierces et d'outils d'automatisation, offrant ainsi une visibilité centralisée et une gestion
simplifiée de la sécurité.
• Automatisation des réponses : QRadar permet l'automatisation des processus de réponse aux incidents, ce qui
réduit considérablement les temps de détection et de réaction aux menaces, renforçant ainsi la posture de
sécurité globale de l'organisation.
• Scalabilité et flexibilité : Avec sa capacité à s'adapter à des environnements informatiques de toutes tailles,
QRadar peut évoluer avec les besoins de l'entreprise, offrant une solution SIEM robuste et évolutive pour les
organisations de toutes tailles.
• Gestion de la conformité : QRadar facilite la conformité aux réglementations et normes de sécurité en
fournissant des rapports détaillés et des fonctionnalités d'audit avancées, permettant aux organisations de
démontrer leur conformité et de répondre aux exigences d'audit.

En tant que leader de confiance dans le domaine de la cybersécurité, IBM QRadar continue d'innover et de repousser les
limites pour offrir des solutions de sécurité de pointe, garantissant ainsi la protection des données et des actifs critiques
des organisations contre les menaces cybernétiques de plus en plus sophistiquées.

4
 Khalid-AMATOCH

Chapitre 2- Compréhension d'IBM QRadar

2.1 Explication des concepts SIEM

La Gestion de l'Information et des Événements de Sécurité (SIEM) est un élément essentiel de l'infrastructure de
cybersécurité moderne. Elle combine deux fonctions principales : la Gestion de l'Information de Sécurité (SIM) et la
Gestion des Événements de Sécurité (SEM), fournissant ainsi une plateforme centralisée pour la collecte, l'analyse et la
surveillance des données de journalisation, des événements de sécurité et des alertes.

Figure 2 SIEM en un coup d'œil

Le SIEM est un outil vital pour les analystes du Centre des Opérations de Sécurité (SOC), leur permettant de rassembler,
analyser et stocker efficacement les fichiers journaux générés par divers terminaux, serveurs, dispositifs réseau et
ressources cloud.

En utilisant des technologies avancées telles que l'intelligence artificielle et l'apprentissage automatique, le SIEM
automatise de nombreux processus de détection d'incidents et de détection de menaces. Les principales technologies
intégrées aux solutions SIEM comprennent l'Analyse du Comportement des Entités Utilisatrices (UEBA) et la Réponse,
l'Automatisation et l'Orchestration de la Sécurité (SOAR).

5
 Khalid-AMATOCH

2.1.1 Les composants principaux d'une architecture SIEM

1.1.1 Les composants principaux d'une architecture SIEM comprennent :

• Agrégation de Données : Collecte les données de journalisation à partir de sources diverses telles que les bases
de données, les applications, les serveurs, les pares-feux et les routeurs, pour une analyse centralisée.
• Corrélation et Surveillance de la Sécurité : Utilise des règles de corrélation prédéfinies et définies par
l'utilisateur pour analyser les fichiers journaux, permettant aux analystes du SOC de surveiller les activités
suspectes et de générer des alertes.
• Analyse Médico-légale : Identifie la cause première des incidents de sécurité et fournit une analyse détaillée
pour la réponse aux incidents.
• Tableau de Bord : Fournit des visualisations pour examiner les données d'événements et identifier facilement
les schémas.
• Renseignements sur les Menaces : Permet la chasse aux menaces à travers le réseau pour identifier et atténuer
les menaces en utilisant des indicateurs de compromission (IOCs).
• Détection et Réponse aux Incidents : Utilise diverses technologies, notamment la corrélation d'événements, les
renseignements sur les menaces et l'UEBA pour identifier et répondre aux incidents de sécurité.
• Automatisation du SOC : Les solutions SIEM avancées automatisent les processus de réponse aux incidents
grâce à la Réponse, à l'Automatisation et à l'Orchestration de la Sécurité (SOAR).
• Gestion de la Conformité IT : Stocke les données de journalisation pour les pistes de vérification et génère des
rapports de conformité pour les réglementations telles que le GDPR, HIPAA, PCI DSS et ISO 27001.

2.1.2 Comment fonctionne le SIEM?

• Le logiciel SIEM collecte les données de journalisation et d'événements à partir de multiples sources. Il analyse
les données à l'aide de règles de corrélation pour en tirer des informations.
• En utilisant des technologies comme l'UEBA et le SOAR, le SIEM automatise les processus de réponse aux
incidents, tels que l'isolement des systèmes affectés et le blocage des liens malveillants.
• Les analystes du SOC jouent un rôle crucial dans la configuration et la révision des résultats du SIEM,
garantissant ainsi l'efficacité du programme de sécurité.

2.2 Présentation d'IBM QRadar

Lorsque vous planifiez ou créez le déploiement de votre solution IBM QRadar, il est utile de bien comprendre
l'architecture de QRadar pour évaluer comment les composants de QRadar pourraient fonctionner dans votre réseau,
puis planifier et créer votre déploiement QRadar.

6
 Khalid-AMATOCH

Figure 3 Présentation de l'architecture QRadar

Le fonctionnement de la plateforme de sécurité QRadar se compose de trois couches, et s'applique à toute structure de
déploiement QRadar, quelle que soit sa taille et sa complexité. Le diagramme suivant montre les couches qui composent
l'architecture de QRadar.

2.2.1 Collection des données

La collecte de données est la première couche, où des données telles que des événements ou des flux sont collectées
depuis votre réseau. L'appliance Tout-en-un peut être utilisée pour collecter directement les données depuis votre
réseau, ou vous pouvez utiliser des collecteurs tels que les collecteurs d'événements QRadar ou les collecteurs de flux
QRadar QFlow pour collecter des données d'événements ou de flux.

Les données sont analysées et normalisées avant d'être transmises à la couche de traitement. Lorsque les données
brutes sont analysées, elles sont normalisées pour les présenter dans un format structuré et utilisable.

La fonctionnalité principale de QRadar SIEM se concentre sur la collecte de données d'événements et de flux.

• Les données d'événements représentent des événements qui se produisent à un moment donné dans
l'environnement de l'utilisateur, tels que les connexions d'utilisateurs, les e-mails, les connexions VPN, les refus
de pare-feu, et tout autre événement que vous souhaitez enregistrer dans vos journaux de périphériques.
• Les données de flux sont des informations sur l'activité réseau ou sur la session entre deux hôtes sur un réseau,
que QRadar traduit en enregistrements de flux.

7
 Khalid-AMATOCH

2.2.2 Traitement des données

Après la collecte de données, la deuxième couche ou couche de traitement des données est l'endroit où les données
d'événements et de flux sont soumises au Moteur de Règles Personnalisées (CRE), qui génère des offenses et des
alertes, puis les données sont écrites sur le stockage.

Les données d'événements et de flux peuvent être traitées par une appliance Tout-en-un sans nécessiter l'ajout de
Processeurs d'Événements ou de Processeurs de Flux. Si la capacité de traitement de l'appliance Tout-en-un est
dépassée, vous devrez peut-être ajouter des Processeurs d'Événements, des Processeurs de Flux ou toute autre
appliance de traitement pour gérer les besoins supplémentaires. Vous pourriez également avoir besoin d'une capacité
de stockage supplémentaire, qui peut être gérée en ajoutant des Nœuds de Données. D'autres fonctionnalités telles que
QRadar Risk Manager (QRM), QRadar Vulnerability Manager (QVM), ou QRadar Incident Forensics collectent différents
types de données et fournissent davantage de fonctions.

• QRadar Risk Manager collecte la configuration de l'infrastructure réseau et fournit une carte de la topologie de
votre réseau. Vous pouvez utiliser les données pour gérer les risques en simulant divers scénarios réseau en
modifiant les configurations et en implémentant des règles dans votre réseau.
• QRadar Vulnerability Manager pour scanner votre réseau et traiter les données de vulnérabilité ou gérer les
données de vulnérabilité collectées par d'autres scanners tels que Nessus et Rapid7.
• Les données de vulnérabilité collectées sont utilisées pour identifier divers risques de sécurité dans votre réseau.
Utilisez QRadar Incident Forensics pour effectuer des enquêtes forensiques approfondies et rejouer des sessions
réseau complètes.

2.2.3 Recherches de données

Dans la troisième ou dernière couche, les données collectées et traitées par QRadar sont disponibles pour les utilisateurs
pour les recherches, l'analyse, les rapports, et les alertes ou l'investigation d'offenses.

Les utilisateurs peuvent effectuer des recherches et gérer les tâches d'administration de sécurité de leur réseau depuis
l'interface utilisateur sur la Console QRadar. Dans un système Tout-en-un, toutes les données sont collectées, traitées, et
stockées sur l'appliance Tout-en-un.

Dans les environnements distribués, la Console QRadar n'effectue pas le traitement des événements et des flux, ni le
stockage. À la place, la Console QRadar est principalement utilisée comme interface utilisateur où les utilisateurs
peuvent l'utiliser pour effectuer des recherches, des rapports, des alertes, et des investigations.

2.3 Flux de travail des événements QRadar

Le diagramme suivant montre les couches du pipeline d'événements :

8
 Khalid-AMATOCH

Figure 4 Pipeline d'événements

Collecte d'événements

• Lorsque le Collecteur d'Événements reçoit les événements à partir de sources de journaux telles que les pares-
feux, les événements sont placés dans des files d'attente d'entrée pour traitement.
• Les tailles des files d'attente varient en fonction du protocole ou de la méthode utilisée, et à partir de ces files
d'attente, les événements sont analysés et normalisés. Le processus de normalisation consiste à transformer les
données brutes en un format qui comporte des champs tels que l'adresse IP que QRadar peut utiliser.
• QRadar reconnaît les sources de journaux connues par l'adresse IP source ou le nom d'hôte contenu dans l'en-
tête.
• QRadar analyse et fusionne les événements provenant de sources de journaux connues en enregistrements. Les
événements provenant de sources de journaux nouvelles ou inconnues qui n'ont pas été détectées dans le passé
sont redirigés vers le moteur d'analyse de trafic (détection automatique).
• Lorsque de nouvelles sources de journaux sont découvertes, un message de demande de configuration pour
ajouter la source de journaux est envoyé à la Console QRadar. Si la détection automatique est désactivée, ou si
vous dépassez votre limite de licence de sources de journaux, les nouvelles sources de journaux ne sont pas
ajoutées.

9
 Khalid-AMATOCH

Traitement des événements

• Le Collecteur d'Événements envoie les données d'événements normalisées au Processeur d'Événements où les
événements sont traités par le Moteur de Règles Personnalisées (CRE). Si les événements correspondent aux
règles personnalisées CRE prédéfinies sur la Console QRadar, le Processeur d'Événements exécute l'action
définie pour la réponse de la règle.

Magistrat sur la Console QRadar

• Le Noyau de Traitement Magistrat (MPC) est responsable de la corrélation des offenses avec les notifications
d'événements provenant de plusieurs composants Processeur d'Événements. Seule la Console QRadar ou
l'appliance Tout-en-Un dispose d'un composant Magistrat.

10
 Khalid-AMATOCH

Chapitre 3- Planification et Configuration de l'environnement de laboratoire

3.1 Architecture du lab

Dans ce laboratoire, nous mettons en place une architecture d'entreprise pour illustrer l'utilisation d'IBM QRadar dans
un environnement de sécurité réseau. Cette architecture est conçue pour être évolutive, ce qui signifie qu'elle peut être
adaptée à des entreprises de différentes tailles, des petites entreprises aux grandes entreprises, en ajoutant simplement
des composants supplémentaires selon les besoins.

Figure 5 Lab Architecture

L'architecture présentée dans ce laboratoire comprend les éléments suivants :

• Firewall pfSense : Le pare-feu pfSense est utilisé pour sécuriser le réseau en contrôlant le trafic entre les
différentes zones du réseau. Il agit comme une passerelle entre l'Internet et le réseau interne de
l'entreprise.
• Zone des postes de travail : Dans cette zone, nous avons des postes de travail connectés, représentant
les utilisateurs et les appareils internes de l'entreprise. Cette zone est protégée par le pare-feu et
contrôle l'accès aux ressources du réseau.
• Zone des serveurs : Cette zone, connue sous le nom de zone des serveurs, est un sous-réseau où sont
hébergés les serveurs et les applications internes de l'entreprise. Dans la zone des serveurs, nous

11
 Khalid-AMATOCH

plaçons IBM QRadar, qui agit comme une solution de gestion des informations et des événements de
sécurité (SIEM).

3.2 IBM QRadar : Exigences matérielles et logicielles

Dans ce lab, nous utiliserons la version Community Edition (CE) d'IBM QRadar. La version Community Edition est une
version gratuite d'IBM QRadar destinée à un usage individuel et est publiée sans garantie. La version Community Edition
offre bon nombre des mêmes fonctionnalités que QRadar avec une licence pour 50 événements par seconde et 5 000
flux par minute. Tout le monde peut télécharger et essayer QRadar Community Edition gratuitement.

Le tableau suivant présente les fonctionnalités prises en charge dans QRadar Community Edition :

Capacité QRadar SIEM QRadar Community Edition

Capacités administratives complètes Oui Oui
Tableaux de bord personnalisables Oui Oui
Moteur de règles personnalisées Oui Oui
Gérer les événements réseau et de sécurité Oui Oui
Gérer les journaux des hôtes et des applications Oui Oui
Alertes basées sur un seuil Oui Oui
Modèles de conformité Oui Oui
Archivage des données Oui Oui
Surveillance de l'activité du réseau Oui Oui
Profilage des actifs Oui Oui
Gestion des infractions Oui Oui
Capture et analyse des flux réseau Oui Oui
Mises à jour automatiques Oui Oui
Réputation IP d'IBM Security X-Force® Threat Intelligence Oui Oui
intégration de flux Oui Non
Corrélation historique Oui Non
Transfert hors ligne Oui Non
Gestionnaire de vulnérabilités QRadar Oui Non
Intégration de QRadar Risk Manager Oui Non
Intégration de QRadar Incident Forensics Oui Non
Intégration de QRadar Network Insights Oui Non
La haute disponibilité Oui Non
Licences et mises à niveau logicielles Oui Non
QRadar: Core services and the impact of restarting services

3.3 Installation de QRadar Community Edition

Téléchargez le fichier OVA de la version Community Edition de QRadar depuis le site IBM Developer
(https://developer.ibm.com/qradar/ce/).

12
 Khalid-AMATOCH

Figure 6 IBM QRadar CE

1. Créez une machine virtuelle avec le fichier OVA qui répond aux exigences suivantes :
• Minimum : 8 Go de RAM
• Minimum 250 Go d'espace disque
• Minimum 2 cœurs de processeur
• Vous avez besoin d'au moins un adaptateur réseau avec accès à Internet. Votre système doit avoir accès
à Internet, sinon l'installation de la version Community Edition de QRadar échoue.

Remarque : Si vous utilisez une machine virtuelle hébergée localement avec une adresse IP locale, vous devez rediriger
le port 8444 vers le port 443 pour accéder à QRadar dans un navigateur Web. Redirigez le port 2222 vers le port 22 pour
utiliser SSH pour vous connecter à QRadar.

• Vous avez besoin d'adresses IP publiques et privées statiques pour la version Community Edition de
QRadar.
• Le nom d'hôte doit être un nom de domaine pleinement qualifié et ne peut pas dépasser 63 caractères
de longueur.

13
 Khalid-AMATOCH

Figure 7 IBM QRadar VM

2. Connectez-vous en tant qu'utilisateur root et saisissez un mot de passe.

1. Démarrez le processus de configuration en tapant la commande suivante : (./setup)
3. Appuyez sur Entrée pour accepter le contrat de licence utilisateur final (EULA) de CentOS.
2. Acceptez le contrat de licence utilisateur final (EULA) de la version Community Edition de QRadar.
4. Saisissez un mot de passe pour le compte administrateur. Définissez un mot de passe fort qui respecte les
critères suivants :
3. Contient au moins 5 caractères, Ne contient pas d'espaces, Peut inclure les caractères spéciaux.
5. Redémarrez l’Appliance en saisissant la commande suivante : (reboot)
6. Accédez à la version Community Edition de QRadar dans un navigateur Web à l'adresse
https://<adresse_ip>/console. Si vous utilisez une machine virtuelle hébergée localement avec une adresse IP
locale, accédez à la version Community Edition de QRadar dans un navigateur Web sur votre système hôte à
l'adresse https://<adresse_ip>:8444/console.

Figure 8 IBM QRadar Interface

14
 Khalid-AMATOCH

3.4 Mise en place de la solution pare-feu pfSense et ingestion des journaux

3.4.1 Mise en place de la solution
Nous avons décidé d'utiliser pfSense comme solution de pare-feu pour sécuriser notre réseau en raison de sa
polyvalence et de ses fonctionnalités avancées. PfSense offre une gamme étendue de fonctionnalités, y compris le
filtrage des paquets, la détection d'intrusion, la gestion des VPN, le routage avancé et bien plus encore. Sa flexibilité en
fait un choix populaire pour les petites et grandes entreprises ainsi que pour les utilisateurs domestiques.

Avant de commencer le processus d'installation, nous avons pris en compte les fonctionnalités dont nous aurons besoin
dans notre environnement spécifique et nous avons configuré pfSense en conséquence. Après avoir défini nos besoins,
nous avons téléchargé le fichier ISO de pfSense depuis le site web officiel et commencé le processus d'installation.

Figure 9 Deploiement de pfSense

Pendant la phase initiale de configuration, nous avons capturé une image de l'écran de configuration où nous avons
défini les paramètres de base, y compris le partitionnement du disque et la configuration du réseau. Une fois ces
paramètres configurés, nous avons laissé l'installation se poursuivre jusqu'à son terme.

Figure 10 pfSense dashboard

15
 Khalid-AMATOCH

Comme le montre l'architecture, pfSense disposera de trois interfaces : une pour Internet, une pour le réseau local (LAN)
et une dernière pour la zone démilitarisée (DMZ). J'ai configuré ces interfaces ainsi que plusieurs services.

Remarque : Vous pouvez consulter mon profil pour une mise en œuvre approfondie de pfSense et de ses différents
services si cela vous intéresse.

Figure 11 pfSense GUI

3.4.2 ingestion des journaux

Pour envoyer des journaux à QRadar, nous devons activer l'option de journalisation à distance dans Paramètres ->
Système -> Paramètres des journaux, puis spécifier l'adresse IP:port de notre SIEM ainsi que le type de journaux à
transférer.

Figure 12 pfSense Syslog

16
 Khalid-AMATOCH

Pour analyser les journaux de pfSense, nous devons télécharger le DSM (Device Support Module) pour le pfSense de
NetGate. Pour expliquer ce qu'est le DSM dans QRadar : Le DSM (Device Support Module) est un ensemble de règles et
de configurations spécifiques à un périphérique ou à une application, conçu pour aider QRadar à interpréter et à
normaliser les événements provenant de diverses sources de données.

En d'autres termes, le DSM permet à QRadar de comprendre les différents formats de journaux et de les présenter de
manière cohérente dans l'interface utilisateur, facilitant ainsi l'analyse et la recherche des événements. QRADAR-DSM-
NetgatePfSense

Figure 13 Probleme installation de DSM

J'ai rencontré un problème lors de l'installation du DSM pfSense en raison de problèmes de compatibilité avec les
modules. Pour résoudre ce problème, j'ai dû installer les dernières mises à jour de QRadar CE. Si vous rencontrez des
problèmes avec la vérification des mises à jour automatiques, vous pouvez consulter cette ressource : ici.

Figure 14 Autoupdate

17
 Khalid-AMATOCH

Après avoir mis à jour les services et les composants de QRadar, nous avons réussi à ingérer les journaux de pfSense,
comme le montre l'image ci-dessous.

Figure 15 pfSense QRadar

3.5 Transfert des journaux Windows vers IBM QRadar via WinCollect
L'installation de Windows est simple et directe. Par conséquent, je vais passer à la configuration du flux d'ingestion.

Dans cette section, nous explorerons le processus de transfert des journaux générés par les systèmes Windows vers IBM
QRadar à l'aide de l'outil WinCollect. WinCollect est un agent léger conçu pour collecter et transférer les journaux
Windows vers le système de gestion des informations et des événements de sécurité (SIEM) de QRadar.

Étapes du processus :

Figure 16 Installation de Wincollect

1. Installation de WinCollect : Tout d'abord, vous devez installer l'agent WinCollect sur chaque système
Windows que vous souhaitez surveiller. L'installation de WinCollect est simple et peut être effectuée en
suivant les instructions fournies dans la documentation de QRadar.

18
 Khalid-AMATOCH

Figure 17 Wincollect destination

2. Configuration de la collecte de journaux : Une fois WinCollect installé, vous devez le configurer pour
collecter les journaux appropriés à partir des systèmes Windows. Vous pouvez spécifier les types de
journaux à collecter, tels que les journaux de sécurité, les journaux système et les journaux d'application,
en fonction des besoins de surveillance de votre entreprise.

Figure 18 Wincollect configuration

19
 Khalid-AMATOCH

3. Configuration du transfert vers QRadar : Après avoir configuré la collecte de journaux, vous devez
configurer WinCollect pour transférer les journaux collectés vers IBM QRadar. Vous devrez spécifier
l'adresse IP ou le nom d'hôte du serveur QRadar ainsi que les informations d'identification nécessaires
pour établir la connexion.

Figure 19 WinCollect tableau de bord

4. Validation de la configuration : Une fois la configuration terminée, il est important de valider que
WinCollect transfère effectivement les journaux vers QRadar. Vous pouvez vérifier cela en surveillant les
journaux de transfert dans les journaux système de Windows et en vérifiant la réception des événements
dans QRadar.
5. Surveillance continue : Enfin, assurez-vous de surveiller régulièrement le processus de transfert des
journaux pour détecter tout problème ou toute anomalie. Il est recommandé de configurer des alertes
dans QRadar pour être informé en cas d'échec du transfert ou de perte de journaux.

Nous sommes désormais en mesure de visualiser les journaux de WinCollect dans notre solution QRadar. Comme vous
pouvez le constater, nous subissons déjà des attaques de force brute. Je réserverai l'étude de cas pour un autre chapitre
; pour l'instant, concentrons-nous sur l'ingestion réussie des journaux.

Figure 20 QRadar WinCollect

3.6 Configuration de l'Ingestion des Journaux Linux avec Syslog-ng

Lorsqu'il s'agit d'ingérer des journaux Linux, le processus est assez simple. Nous devons installer un serveur syslog, de
préférence syslog-ng, qui offre plusieurs avantages par rapport à syslog et rsyslog. syslog-ng offre une configuration plus
flexible, une meilleure gestion des performances et des fonctionnalités avancées telles que la prise en charge de SSL/TLS
pour la sécurité des transferts de journaux.

20
 Khalid-AMATOCH

Après avoir installé syslog-ng, nous devons configurer le fichier de configuration pour spécifier comment les journaux
doivent être transférés vers IBM QRadar (Linux DSM). Voici les étapes à suivre :

Figure 21 Syslog-ng

1. Connectez-vous à votre appareil Linux en tant qu'utilisateur root.

2. Ouvrez le fichier /etc/syslog-ng/syslog-ng.conf et ajoutez les informations suivantes :

1. source qr_source {
2. internal();
3. system();
4. };
5. filter qr_filter {
6. facility(auth, authpriv);
7. };
8. destination qr_destination {
9. tcp("<qradar_ip_address>" port(514));
10. };
11. log{
12. source(qr_source);
13. filter(qr_filter);
14. destination(qr_destination);
15. };

• Assurez-vous de remplacer <qradar_ip_address> par l'adresse IP d'IBM QRadar.

3. Redémarrez syslog-ng en tapant la commande suivante :

1. service syslog-ng restart

4. Connectez-vous à la console QRadar.

En suivant ces étapes, vous pourrez configurer l'ingestion des journaux Linux dans IBM QRadar de manière efficace.

21
 Khalid-AMATOCH

Figure 22 Linux QRadar

Veuillez-vous assurer que le DSM du système d'exploitation Linux prend en charge les types d'événements suivants :

• cron
• HTTPS
• FTP
• NTP
• Couche de sécurité d'authentification simple (SASL)
• SMTP
• SNMP
• SSH
• Changer d'utilisateur (SU)
• Événements du module d'authentification enfichable (PAM).

Et voilà, nous avons terminé le processus d'ingestion et de traitement des journaux. Dans les prochains chapitres, nous
aborderons la manière dont nous pouvons utiliser ces journaux pour créer des alertes et les rendre utiles.

22
 Khalid-AMATOCH

Chapitre 4- Scénarios d'utilisation

4.1 Gestion des Extensions dans IBM QRadar

La fonctionnalité de gestion des extensions dans IBM QRadar permet aux administrateurs de système de personnaliser
et d'étendre les capacités de leur environnement QRadar en ajoutant des fonctionnalités supplémentaires et des
intégrations tierces.

Avant de commencer, nous devons télécharger les extensions sur notre ordinateur local avant de pouvoir les installer
dans QRadar. Pour télécharger les extensions QRadar depuis IBM Security App Exchange
(https://apps.xforce.ibmcloud.com/) et depuis IBM Fix Central (www.ibm.com/support/fixcentral/).

Une extension est un ensemble de fonctions QRadar. Une extension peut inclure du contenu tel que des règles, des
rapports, des recherches, des jeux de référence et des tableaux de bord. Il peut également inclure des applications qui
améliorent les fonctions QRadar.

Figure 23 Extensions Management

4.2 Gestionnaire de cas d'utilisation

Dans le but de démontrer cette fonctionnalité, nous allons installer l'extension 'QRadar Use Case Manager'. L'extension
"QRadar Use Case Manager" offre une gamme de fonctionnalités puissantes conçues pour simplifier et améliorer la
gestion des cas d'utilisation de sécurité dans IBM QRadar. Elle permet aux analystes de sécurité de explorer les règles,
générer des rapports personnalisés, ajuster l'environnement en fonction des recommandations intégrées et visualiser la
couverture des menaces à travers le cadre MITRE ATT&CK. Cette extension est un outil essentiel pour optimiser
l'efficacité opérationnelle, améliorer la détection des menaces et renforcer la posture de sécurité globale de
l'organisation. Passons maintenant à la phase d'installation.

D'abord, nous devons télécharger les extensions à partir du lien fourni ci-dessus.

23
 Khalid-AMATOCH

Figure 24 QRadar Use Case Manager

Importation du fichier téléchargé dans la section des extensions.

Figure 25 Ajout d'extension

Assurez-vous de déployer après l'achèvement de la phase d'installation, et vous verrez que la fonctionnalité est ajoutée.

Figure 26 Gestion des extensions

Maintenant, pour configurer cette fonctionnalité, elle nécessite un jeton pour fonctionner. Cela est nécessaire pour
garantir la sécurité de l'accès aux données et limiter l'utilisation non autorisée.

24
 Khalid-AMATOCH

Figure 27 Creation du Service

Après avoir importé le jeton, nous pouvons accéder au tableau de bord et exploiter ses fonctionnalités. L'un de ses
avantages est de faciliter la gestion des règles, en permettant aux utilisateurs de créer, modifier et organiser les règles
de sécurité de manière efficace et intuitive.

Figure 28 Token

Figure 29bUse Case Manager Tableau de bord

25
 Khalid-AMATOCH

4.2.1 Création de Règles

Pour explorer davantage le package, je vais créer une règle qui recherche les journaux d'événements Windows, et plus
précisément les échecs de connexion, et génère un événement lorsqu'elle les trouve. Ce sera juste une petite
démonstration. Voici la première image montrant la création de la règle, tandis que la seconde montre quand la règle est
déclenchée

Figure 30 Creation du regle

Figure 31 Règle atteinte

Remarques :
• Si la règle n'a pas été déclenchée, la plupart du temps, c'est en raison de la gestion de l'index. Assurez-vous
d'avoir choisi un paramètre valide.
• Il est préférable de ne pas utiliser l'AQL dans la création de règles car cela consomme beaucoup de ressources.
• L'ordre des tests est très important, essayez toujours d'abord avec les volumes les plus importants avant les plus
faibles.

26
 Khalid-AMATOCH

• Le dépannage des performances des règles personnalisées avec findExpensiveCustomRules.sh est un excellent
outil qui aide à détecter les règles qui consomment beaucoup de ressources.
• Il est recommandé d'auditer l'événement ID 4688 car il enregistre la création de nouveaux processus dans
l'Observateur d'événements

4.2.2 Cas d’utilisation : Surveillance des Commandes malicieux

Ce cas d'utilisation vise à atténuer l'impact des attaques en détectant et limitant l'utilisation des commandes Windows
couramment exploitées par les attaquants. Sur la base des résultats de la recherche du CERT japonais, les attaquants
utilisent souvent les commandes Windows par défaut pour collecter des informations et propager des logiciels
malveillants au sein des réseaux.

Enquête Initiale :

• Analyser et surveiller l'utilisation des commandes telles que tasklist, ver, ipconfig et systeminfo, que les
attaquants utilisent couramment pour collecter des informations sur la machine infectée.

Figure 32 Enquête initiale (Top 10 des commandes)

La création de la règle est simple et directe. Nous devons élaborer une règle qui correspond aux journaux Windows, en
mettant l'accent spécifiquement sur l'événement de création de processus et plus précisément sur les commandes
utilisées dans la création du processus. Pour ce faire, nous utilisons les fonctionnalités de filtrage et de corrélation de
notre système de gestion des événements et des informations de sécurité (SIEM). Dans l'image suivante, vous pouvez
voir la règle que j'ai utilisée pour ce scénario particulier. En configurant cette règle, nous sommes en mesure de cibler
spécifiquement les activités liées à la création de processus qui pourraient indiquer une activité suspecte ou
malveillante.

Conseil: Here you can find the Microsoft Windows Content Extension to expand QRadar searches and reports.

27
 Khalid-AMATOCH

Figure 33 Création de règle

Figure 34 Offense

Remarque : Vous pouvez vous inspirer des règles proposées par SIGMA. Les règles SIGMA, également connues sous le
nom de signatures génériques pour la détection d'attaques, sont un ensemble de règles de détection d'attaques
génériques et normalisées qui peuvent être utilisées pour détecter un large éventail de comportements malveillants.
Elles sont conçues pour être indépendantes des fournisseurs et des produits, ce qui les rend polyvalentes et largement
utilisées dans le domaine de la cybersécurité. En vous appuyant sur les règles SIGMA, vous pouvez créer des règles
similaires dans votre SIEM pour détecter des comportements malveillants ou suspects dans votre environnement
informatique.

28
 Khalid-AMATOCH

4.3 Données de Référence dans QRadar

La fonctionnalité des Données de Référence dans IBM QRadar offre aux analystes en sécurité une méthode puissante
pour enrichir leurs analyses et améliorer la détection des menaces. Cette fonctionnalité permet d'ajouter des données
externes à QRadar afin d'améliorer la précision et la pertinence des détections et des enquêtes.

La fonctionnalité des Données de Référence peut être illustrée à travers deux aspects :

• Données de renseignements sur les menaces externes : Vous pouvez utiliser des collections de données de
référence pour intégrer des données d'indicateurs de compromission (IOC) provenant de fournisseurs tiers dans
QRadar. QRadar utilise ces données IOC pour détecter plus rapidement les comportements suspects, ce qui aide
les analystes de sécurité à enquêter sur les menaces et à répondre plus rapidement aux incidents.
• Données professionnelles : Les collections de données de référence peuvent contenir des données métiers
spécifiques à votre organisation, telles qu'une liste d'utilisateurs ayant un accès système privilégié. Utilisez les
données métier pour créer des listes de blocage et des listes blanches.

Pour cette fonctionnalité, je vais utiliser une extension comme illustré dans l'image ci-dessous pour faciliter la gestion
des données de référence.

Figure 354.3 Extension de Donnée de Référence

Pour démontrer la fonctionnalité et l'utilité de la capacité de "données de référence" fournie par IBM QRadar, nous
étudierons le dernier rapport de menace publié par l'unité 42. L'unité 42 est un groupe de recherche en cybersécurité
affilié à Palo Alto Networks, spécialisé dans l'analyse des menaces et la recherche sur les logiciels malveillants. Leurs
rapports sont largement respectés dans la communauté de la cybersécurité pour leur précision et leur perspicacité sur
les menaces émergentes et les tendances d'attaques.

Figure 36 Unit 42

29
 Khalid-AMATOCH

En incorporant les indicateurs de compromission (IOC) et les données de menace des rapports de l'unité 42 dans nos
collections de données de référence, nous visons à améliorer la capacité de QRadar à détecter les activités suspectes et
les menaces potentielles. Nous analyserons les conclusions du rapport de l'unité 42 et identifierons les principaux
données IOC telles que les adresses IP, les noms de domaine, les URL et autres artefacts associés à des activités
malveillantes. Ces données IOC seront ensuite importées dans les données de référence de QRadar, enrichissant ainsi sa
base de renseignements sur les menaces.

Figure 37 Création de référence-Set

Après avoir créé l'ensemble de référence, il est maintenant temps d'ajouter les indicateurs de compromission (IOC).

Figure 38 L'ajout des IOCs

30
 Khalid-AMATOCH

Maintenant, créons notre règle qui filtre les sources IP pour les tentatives de scan Ivanti.

Figure 39 Ajout de règle

31
 Khalid-AMATOCH

4.4 Conclusion
Dans ce document, nous avons exploré plusieurs fonctionnalités clés de IBM QRadar, notamment l'ingestion de logs
Linux, l'utilisation de données de référence, et la création de règles de détection d'incidents basées sur des indicateurs
de compromission (IOC). Nous avons également examiné comment intégrer des données provenant de rapports de
menaces externes, tel que celui de l'unité 42, dans les référentiels de données pour renforcer la détection des menaces.
Enfin, nous avons créé des règles de détection personnalisées pour identifier les activités suspectes sur le réseau. En
combinant ces fonctionnalités, nous avons amélioré la capacité de QRadar à détecter et à répondre efficacement aux
incidents de sécurité.

Dans le prochain document de suivi, nous explorerons davantage les fonctionnalités de QRadar, notamment : la gestion
des incidents, l'analyse comportementale des utilisateurs, l'intégration des données de flux réseau, la personnalisation
des rapports, l'automatisation des réponses aux incidents et l'intégration des données de vulnérabilité. Restez à l'écoute
pour plus de détails.

32