Bienvenue dans ce module consacré à l'opération de sécurité et surveillance, nous allons explorer les

aspects essentiels de la surveillance des menaces de sécurité, la configuration pour une sécurité
renforcée, l'identification proactive des menaces et l'utilisation de l'automatisation en matière de
sécurité.

La surveillance des menaces de sécurité est une composante cruciale de toute stratégie de sécurité.
Que ce soit la surveillance des activités suspectes sur un réseau ou la détection d'intrusions
potentielles, une surveillance efficace peut aider à prévenir les attaques avant qu'elles ne causent des
dommages.

Ensuite, nous aborderons la configuration pour une sécurité renforcée. Cela implique la mise en place
de mesures de sécurité robustes, telles que des pare-feu, des systèmes de détection des intrusions et
des politiques de sécurité strictes pour protéger les données et les systèmes critiques.

L'identification proactive des menaces consiste à anticiper les attaques potentielles en analysant les
tendances, en surveillant les vulnérabilités et en restant à l'affût des nouvelles menaces émergentes.
Une approche proactive permet de prendre des mesures préventives avant qu'une attaque ne se
produise.

Enfin, nous verrons comment l'automatisation peut être un atout précieux en matière de sécurité. De
la gestion des correctifs logiciels à la détection des anomalies en passant par la réponse aux incidents,
l'automatisation peut accroître l'efficacité opérationnelle et réduire les délais de réaction face aux
menaces.

En conclusion, ce module vous fournira les connaissances et les outils nécessaires pour mettre en
place des opérations de sécurité et de surveillance efficaces dans votre environnement informatique.
Restez avec nous pour explorer en détail chacun de ces sujets critiques.
 Bienvenue dans ce chapitre consacré à la sécurité de surveillance. Aujourd'hui, nous
explorerons les différentes facettes de la surveillance en matière de sécurité etcomment analyser
efficacement les sorties pour détecter et prévenir les menaces potentielles.

Tout d'abord, nous parlerons d'analyser les sorties de la surveillance du réseau. Cela implique
de surveiller attentivement le trafic réseau pour repérer les activités suspectes telles que des
tentatives d'intrusion ou des communications malveillantes.

Ensuite, nous aborderons l'analyse des sorties de la surveillance des appareils. Il est essentiel de
surveiller de près les appareils connectés au réseau pour détecter les comportements anormaux ou
les signes de compromission.

Puis, nous passerons à l'analyse des sorties de la surveillance des points d'extrémité. Cela comprend
la surveillance des ordinateurs, des appareils mobiles et d'autres points finaux pour détecter les
menaces potentielles qui pourraient compromettre la sécurité du système.

Ensuite, nous nous concentrerons sur l'analyse des sorties de la surveillance des e-mails. Avec
la prolifération des attaques par phishing et les e-mails malveillants, il est crucial de surveiller les
communications électroniques pour détecter les menaces et les tentatives d'escroquerie.

Après cela, nous discuterons de la configuration de l'examen des journaux et des outils SIEM
(Security Information and Event Management). Ces outils sont essentiels pour agréger, corréler et
analyser les données de surveillance afin de détecter les modèles et les anomalies.

Nous passerons ensuite à l'analyse et à l'interrogation des journaux et des données SIEM.
Cela implique d'explorer les données pour identifier les menaces potentielles, enquêter sur les
incidents de sécurité et prendre les mesures nécessaires pour y remédier.

Enfin, nous aborderons l'application de stratégies de détection et de confinement. Il s'agit de

mettre en place des politiques et des procédures pour détecter les menaces dès qu'elles surviennent
et pour limiter leur impact sur le système.

En conclusion, ce chapitre vous fournira les connaissances et les compétences nécessaires pour
analyser efficacement les sorties de surveillance en matière de sécurité et pour renforcer la posture
de sécurité de votre organisation. Restez avec nous pour explorer en détail chacun de ces sujets
critiques.

Dans ce chapitre sur la sécurité de surveillance, nous explorons les différentes facettes de la
surveillance en matière de sécurité et comment analyser efficacement les sorties pour détecter et
prévenir les menaces potentielles.

Nous commençons par l'analyse des sorties de la surveillance du réseau, en surveillant attentivement
le trafic réseau pour repérer les activités suspectes telles que des tentatives d'intrusion ou des
communications malveillantes.
Ensuite, nous examinons les sorties de la surveillance des appareils, essentielles pour détecter les
comportements anormaux ou les signes de compromission.

Nous abordons également la surveillance des points d'extrémité, y compris des ordinateurs et des
appareils mobiles, pour identifier les menaces potentielles.

Ensuite, nous nous concentrons sur l'analyse des sorties de la surveillance des e-mails, crucial avec la
prolifération des attaques par phishing.

Nous discutons également de la configuration des journaux et des outils SIEM pour détecter les
modèles et les anomalies, puis de l'analyse et de l'interrogation des données SIEM pour enquêter sur
les incidents de sécurité.

Enfin, nous abordons l'application de stratégies de détection et de confinement pour limiter l'impact
des menaces sur le système.

Ce chapitre fournira les compétences nécessaires pour renforcer la posture de sécurité de votre
organisation.

● Tcpdump est un utilitaire de capture de paquets en ligne de commande. Il est crucial de

comprendre la définition de tcpdump et comment l'utiliser de manière applicable.

Voici quelques commandes de commutateur courantes :

• X = capturer la charge utile en hexadécimal et en ASCII

• XX = capturer en hexadécimal et en ASCII et inclure l'en-tête de liaison de données

• n = afficher l'adresse au format numérique

• nn = afficher l'adresse et les ports au format numérique

• e = inclure l'en-tête de liaison de données

• s (octets) = définir une longueur personnalisée en octets

• w (fichier) = écrire la sortie dans un fichier

• v (vv ou vvv) = augmenter la verbosité

est un outil puissant similaire à tcpdump, mais avec une interface graphique conviviale. Vous pouvez
utiliser les mêmes commandes de syntaxe dans Wireshark, ce qui le rend facile à apprendre si vous
êtes familier avec tcpdump.

L'analyse de paquets consiste à examiner minutieusement les en-têtes et les données de charge utile
de une ou plusieurs trames dans le trafic réseau capturé. C'est une pratique essentielle pour détecter
les activités suspectes et maintenir la sécurité du réseau.

Les outils suivants sont essentiels pour détecter les activités de capture de paquets sur un réseau :
 ● Tcpdump :

Tcpdump est un utilitaire de capture de paquets en ligne de commande. Il est crucial de comprendre
sa définition et comment l'utiliser de manière pratique.

Syntaxe de base : tcpdump -i eth

"Eth" représente l'interface que vous écoutez, et tout ce qui suit "-" est un commutateur de
commande.

Quelques commandes de commutateur courantes :

X : Capture de la charge utile en hexadécimal et en ASCII

XX : Capture en hexadécimal et en ASCII, incluant l'en-tête de liaison de données

n : Affichage de l'adresse au format numérique

nn : Affichage de l'adresse et des ports au format numérique

e : Inclusion de l'en-tête de liaison de données

s (octets) : Définition d'une longueur personnalisée en octets

w (fichier) : Écriture de la sortie dans un fichier

v (vv ou vvv) : Augmentation de la verbosité

● Wireshark est un outil puissant similaire à tcpdump, mais avec une interface graphique
conviviale. Vous pouvez utiliser les mêmes commandes de syntaxe dans Wireshark, ce qui le
rend facile à apprendre si vous êtes familier avec tcpdump. Interface graphique intuitive :
Wireshark présente toutes ses options dans une interface utilisateur similaire à celle de
Microsoft, facilitant la navigation et l'utilisation des fonctionnalités.Version en ligne de
commande : Si vous préférez une approche en ligne de commande, vous pouvez utiliser
"tshark", une version de Wireshark uniquement en ligne de commande.
● L'analyse de paquets consiste à examiner minutieusement les en-têtes et les données de
charge utile de une ou plusieurs trames dans le trafic réseau capturé. C'est une pratique
essentielle pour détecter les activités suspectes et maintenir la sécurité du réseau.

Un cas d'utilisation exemplaire de l'analyse de paquets dans le domaine de la sécurité est la détection
de données binaires envoyées sur un réseau. Des outils spécialisés, tels que NetworkMiner, Suricata
et Zeek/bro, peuvent interpréter ce type de données. Bien que légèrement différents les uns des
autres, ces outils jouent tous un rôle crucial dans le découpage de fichiers et l'analyse de paquets,
renforçant ainsi la sécurité globale du réseau.
 ● L'analyse de protocole consiste à examiner les statistiques d'utilisation par protocole
dans une capture de paquets ou un échantillonnage du trafic réseau. Cette pratique
permet de mieux comprendre le comportement du réseau et d'identifier les éventuelles
anomalies ou intrusions.
● L'analyse de flux implique la capture d'un ensemble complet de paquets de données. Cette
pratique permet de mettre en évidence les tendances ou les motifs dans le trafic réseau,
d'alerter sur les anomalies et de créer des visualisations pour identifier des tendances
spécifiques d'événements. Cette approche exhaustive de l'analyse permet une
compréhension approfondie du comportement du réseau, en mettant en lumière les
fluctuations de trafic et les comportements inhabituels. En identifiant les tendances et en
alertant sur les anomalies, l'analyse de flux aide à détecter rapidement les incidents de
sécurité potentiels et à prendre des mesures correctives proactives.

Diapositive : Types d'Analyses de Flux

Voici quelques types d'analyses de flux :

1. Netflow : Développé par Cisco, cet outil offre une analyse ponctuelle pour diagnostiquer les
problèmes de sécurité au fur et à mesure de leur apparition. Il permet de surveiller le trafic réseau en
temps réel et de détecter les anomalies.

2. Zeek/bro : Agissant comme un moniteur réseau passif, Zeek/bro lit les paquets d'un tap réseau et
stocke les fichiers au format JSON. Il offre une analyse approfondie des données de paquets, aidant à
détecter les menaces potentielles et à analyser le comportement du réseau.

3. MRTG (Multi Router Traffic Grapher) : Ce logiciel crée une interface visuelle pour représenter les
données de trafic collectées. Il fournit des indications sur les tendances de performance ou les
anomalies, permettant ainsi une surveillance proactive du réseau.

Ces différentes méthodes d'analyse de flux offrent des perspectives variées pour surveiller et analyser
le trafic réseau, permettant ainsi de détecter rapidement les problèmes de sécurité et d'optimiser les
performances du réseau.

Dans l'analyse de la génération de domaines, les adresses IP suspectes sont vérifiées via des listes
noires, formées à partir de logiciels malveillants et de communications C2 classiques. Des plateformes
en ligne telles que Brightcloud.com, Mxtoolbox.com, Urlvoid.com et ipvoid.com sont fréquemment
utilisées à cette fin. Les Algorithmes de Génération de Domaines (DGA) sont une méthode utilisée par
les logiciels malveillants pour générer dynamiquement des noms de domaine, échappant ainsi aux
listes noires. Les DGAs facilitent la mise en place de réseaux de commande et de contrôle (C&C) en
utilisant des stratégies telles que la création de faux services DNS dynamiques et la sélection de
domaines lors de la connexion C2, rendant ainsi la détection et le blocage des attaques plus difficiles.

nous mettons en lumière l'importance cruciale de la revue des journaux pare-feu, une pratique
incontournable pour la surveillance et la gestion de la sécurité du réseau.

Le protocole Syslog, jouant un rôle central dans cette démarche, permet à une multitude d'appareils
et d'applications logicielles de transmettre leurs journaux et enregistrements d'événements à un
serveur central. Cela offre une visibilité essentielle sur les activités du réseau.

Examen des journaux du pare-feu d'application Web (WAF)

• Un pare-feu d'application Web (WAF) est un pare-feu conçu spécifiquement pour protéger les
logiciels s'exécutant sur les serveurs Web et leurs bases de données en aval contre les attaques par
injection de code et les attaques de déni de service (DoS).

Examen des journaux de système de détection/prévention d'intrusions (IDS/IPS)

Un système de détection d'intrusion (IDS) est un système logiciel et matériel qui analyse, audite et
surveille l'infrastructure de sécurité à la recherche de signes d'attaques en cours.

Exemples de solutions IDS/IPS :

- Snort

- Zeek

- Security Onion

Les solutions IDS/IPS sont capables de produire des

données dans les formats de sortie suivants :

- Syslog

- CSV

- Tcpdump

- Sortie unifiée