Académique Documents
Professionnel Documents
Culture Documents
Mise en Place Dune Solution SOC Open Source
Mise en Place Dune Solution SOC Open Source
Projet Pentesting
Réalise par :
GHANMI Oussama
RIAHI Mortadha
IBENHAJABDELTIF Bilel
AZIZI Oumayma
2 Mise en place d’une solution SOC open source
............................................................................................................................. 1
Introduction général ................................................................................................................................... 5
Chapitre 1 : Analyse des menaces et des besoins ..................................................................................... 6
1.1 Introduction ................................................................................................................................... 6
1.2 Analyse des menaces .................................................................................................................... 6
1.2.1 Les menaces internes : .......................................................................................................... 6
1.2.2 Les menaces externes : .......................................................................................................... 7
1.2.3 Les menaces naturelles : ....................................................................................................... 7
1.3 Analyse des besoins ...................................................................................................................... 8
1.4 Solution proposée.......................................................................................................................... 9
1.5 Conclusion .................................................................................................................................... 9
2 Chapitre 2 : Architecture d’une solution SOC open source ......................................................... 10
2.1 Introduction ................................................................................................................................. 10
2.2 Architecture modulaire ............................................................................................................... 10
2.3 Composants d'une solution SOC open source............................................................................. 10
2.4 Architecture de la solution SOC open source ............................................................................. 10
2.5 Conclusion .................................................................................................................................. 11
3 Chapitre 3 : Conception et réalisation de la Solution SOC ........................................................... 12
3.1 Introduction ................................................................................................................................. 12
3.2 Installation d'ELK STACK et configuration ............................................................................... 12
3.2.1 C'est quoi ELK .................................................................................................................... 12
3.2.2 ELK Installation .................................................................................................................. 12
3 Mise en place d’une solution SOC open source
Introduction général
Dans un monde de plus en plus interconnecté, les cyberattaques sont devenues une menace majeure pour
les organisations de toutes tailles. Les cybercriminels sont de plus en plus sophistiqués et utilisent des
techniques de pointe pour infiltrer les systèmes informatiques et voler des données sensibles.
Pour se protéger contre ces menaces, les organisations doivent mettre en place des mesures de sécurité
efficaces. Un centre de sécurité opérationnel (SOC) est un élément essentiel de toute stratégie de sécurité
informatique.
Un SOC est une équipe dédiée à la surveillance, à la détection et à la réponse aux incidents de sécurité
informatique. Les SOC utilisent une variété de technologies et de techniques pour collecter des données
de sécurité, identifier les menaces potentielles et répondre aux incidents de sécurité.
La mise en place d'un SOC peut être un projet complexe et coûteux. Cependant, les avantages potentiels
d'un SOC bien conçu et mis en œuvre sont considérables. Un SOC efficace peut aider les organisations à :
2.1 Introduction
La mise en place d'un centre de sécurité opérationnel (SOC) est une décision importante pour
toute organisation. Un SOC efficace peut aider à réduire le risque d'incidents de sécurité, à
améliorer la visibilité de la sécurité et à répondre plus rapidement aux incidents.
Ce chapitre traite de l'importance de l'analyse des menaces et des besoins avant de mettre en
place un SOC. L'analyse des menaces permet d'identifier les différentes menaces auxquelles
une telle organisation est exposée. L'analyse des besoins permet de déterminer les
fonctionnalités et les performances requises pour le SOC.
Les menaces internes sont celles qui proviennent des employés, des partenaires ou des sous-
traitants de l'organisation. Elles peuvent être intentionnelles ou non intentionnelles.
Les menaces internes non intentionnelles sont souvent causées par des erreurs humaines,
telles que :
7 Mise en place d’une solution SOC open source
- Les erreurs de configuration : Les erreurs de configuration peuvent ouvrir des portes
d'entrée aux cyberattaques.
- La perte ou le vol de données : La perte ou le vol de données peut entraîner une violation
de la confidentialité ou de l'intégrité des données.
- Les logiciels malveillants : Les logiciels malveillants, tels que les virus, les vers et les
chevaux de Troie, peuvent être introduits accidentellement dans les systèmes de
l'organisation.
Les menaces externes sont celles qui proviennent d'acteurs malveillants, tels que les pirates
informatiques ou les espions. Elles sont généralement motivées par la vengeance,
l'enrichissement personnel ou la concurrence.
- Les cyberattaques : Les cyberattaques consistent à exploiter des vulnérabilités dans les
systèmes ou les applications de l'organisation pour accéder aux données ou les
endommager.
- L'ingénierie sociale : L'ingénierie sociale consiste à tromper les utilisateurs pour qu'ils
divulguent des informations sensibles ou ouvrent des portes d'entrée aux cyberattaques.
- Le phishing : Le phishing consiste à envoyer des e-mails ou des messages texte
frauduleux pour tromper les utilisateurs afin qu'ils divulguent des informations sensibles.
- Le ransomware : Le ransomware consiste à chiffrer les données de l'organisation et à
exiger une rançon pour les déchiffrer.
Les menaces naturelles sont celles qui proviennent de phénomènes naturels, tels que les
catastrophes naturelles ou les pannes de courant. Elles peuvent avoir un impact important sur
la sécurité des organisations, notamment en provoquant des pertes de données, des
interruptions des activités et des violations de la confidentialité.
- Les catastrophes naturelles : Les catastrophes naturelles, telles que les ouragans, les
inondations et les tremblements de terre, peuvent endommager les infrastructures
physiques de l'organisation et rendre les systèmes inopérants.
- Les pannes de courant : Les pannes de courant peuvent interrompre les activités de
l'organisation et rendre les systèmes inaccessibles.
- Les tempêtes solaires : Les tempêtes solaires peuvent perturber les communications et les
systèmes électroniques
8 Mise en place d’une solution SOC open source
Il est important de comprendre les différents types de menaces auxquelles une organisation
est exposée afin de pouvoir mettre en place des mesures de sécurité efficaces pour les
atténuer.
- Besoins en technologies :
Les besoins en technologies pour un SOC varient également en fonction de la taille et de la
complexité de l'organisation. En général, un SOC doit disposer des technologies suivantes :
Un système de gestion des événements de sécurité (SIEM) : Le SIEM est un outil logiciel
qui collecte, analyse et centralise les données de sécurité provenant de différentes
sources.
Un système de gestion des incidents de sécurité (SOAR) : Le SOAR est un outil logiciel
qui automatise les tâches de réponse aux incidents de sécurité.
Des outils d'analyse des données : Ces outils sont utilisés pour analyser les données de
sécurité afin de détecter les menaces potentielles.
Des outils de réponse aux incidents : Ces outils sont utilisés pour prendre les mesures
appropriées pour atténuer les incidents de sécurité.
9 Mise en place d’une solution SOC open source
- Besoins en processus
Les besoins en processus pour un SOC varient en fonction de la taille et de la complexité de
l'organisation. En général, un SOC doit disposer des processus et des procédures suivants :
Un processus de surveillance de la sécurité : Ce processus définit les activités de
surveillance des données de sécurité.
Un processus de détection des incidents de sécurité : Ce processus définit les activités de
détection des incidents de sécurité.
Un processus de réponse aux incidents de sécurité : Ce processus définit les activités de
réponse aux incidents de sécurité.
Un SOC basé sur le cloud : Le cloud computing offre une flexibilité et une scalabilité qui
sont essentielles pour les SOC.
Une architecture modulaire : Une architecture modulaire permet aux organisations de
choisir les composants qui répondent à leurs besoins spécifiques.
Des outils et technologies open source : Les outils et technologies open source offrent un
bon rapport qualité-prix et une grande flexibilité.
2.5 Conclusion
L'analyse des menaces et des besoins est une étape essentielle dans la mise en place d'un
SOC. Cette analyse permet d'identifier les risques les plus importants auxquels l'organisation
est exposée et de déterminer les fonctionnalités et les performances requises pour le SOC.
10 Mise en place d’une solution SOC open source
Un système de gestion des événements de sécurité (SIEM) : Le SIEM est un outil logiciel
qui collecte, analyse et centralise les données de sécurité provenant de différentes
sources.
Un système de gestion des incidents de sécurité (SOAR) : Le SOAR est un outil logiciel
qui automatise les tâches de réponse aux incidents de sécurité.
Des outils d'analyse des données : Ces outils sont utilisés pour analyser les données de
sécurité afin de détecter les menaces potentielles.
Des outils de réponse aux incidents : Ces outils sont utilisés pour prendre les mesures
appropriées pour atténuer les incidents de sécurité.
L'architecture de la solution SOC open source dépend des besoins spécifiques de l'organisation.
Cependant, une architecture typique comprend les composants suivants :
Un cloud public : Le cloud public est souvent utilisé pour héberger les composants d'une
solution SOC open source.
Un réseau privé virtuel (VPN) : Le VPN est utilisé pour sécuriser la communication entre
les différents composants de la solution SOC.
Un serveur SIEM : Le serveur SIEM est utilisé pour collecter, analyser et centraliser les
données de sécurité.
Un serveur SOAR : Le serveur SOAR est utilisé pour automatiser les tâches de réponse
aux incidents de sécurité.
Des serveurs d'analyse des données : Les serveurs d'analyse des données sont utilisés
pour analyser les données de sécurité afin de détecter les menaces potentielles.
Des serveurs de réponse aux incidents : Les serveurs de réponse aux incidents sont
utilisés pour prendre les mesures appropriées pour atténuer les incidents de sécurité.
3.5 Conclusion
La mise en œuvre d'une solution SOC open source peut être une tâche complexe. Cependant, en
suivant une architecture modulaire, les organisations peuvent choisir les composants qui
répondent à leurs besoins spécifiques.
12 Mise en place d’une solution SOC open source
4.1 Introduction
ELK Configuration
Elasticsearch configuration
Toutes les configurations ont été effectuées dans le fichier elasticsearch.yml situé dans
/etc/elasticsearch/elasticsearch.yml. Pour l'ouvrir, utilisez la commande suivante : sudo nano
/etc/elasticsearch/elasticsearch.yml
Ce sont les chemins par défaut pour les données et les journaux d'Elasticsearch.
Ensuite, accédez à la section réseau du fichier. La section réseau est très simple, vous n'avez
même pas besoin de mentionner le port si vous utilisez celui par défaut. Cependant, vous
devez modifier http.port et annuler le commentaire si vous allez utiliser un autre port.
Kibana configuration :
Toutes les configurations ont été effectuées dans le fichier kibana.yml situé dans /etc/kibana/kibana.yml.
Pour l'ouvrir, utilisez la commande suivante :
Pour rendre Kibana accessible à distance, nous devons définir server.host: "0.0.0.0". Il n'y
a aucune restriction en ce qui concerne le port sur lequel cela doit se faire. Nous le
laisserons donc à la configuration par défaut qui est 5601.
Maintenant, vous devriez pouvoir accéder à votre Kibana depuis le navigateur en utilisant
l'adresse http://192.168.159.139:5601.
Logstash configuration :
Maintenant, nous allons aborder la configuration de Logstash :
Utilisez la commande suivante pour afficher le contenu du fichier logstash-sample.conf :
bashCopy code
sudo cat /etc/logstash/logstash-sample.conf
Beats configuration
16 Mise en place d’une solution SOC open source
Analyse de LOG:
On procède à l'installation de MISP, TheHive, et Cortex à l'aide de Docker, dans le cadre de notre
projet , en mettant en place un environnement propice à la gestion des informations sur les
menaces, la corrélation des incidents, et l'analyse automatisée, afin de faciliter la production d'un
rapport de stage.
Cortex: Cortex est une plateforme open source conçue pour l'analyse automatisée de
cybermenaces. Il offre une extensibilité importante grâce à un écosystème de modules,
permettant d'intégrer divers outils et services pour enrichir les données de sécurité. Cortex est
souvent utilisé en conjonction avec MISP et TheHive pour renforcer la capacité d'analyse et de
réponse aux incidents.
MISP (Malware Information Sharing Platform & Threat Sharing) : MISP est une plateforme de
partage d'informations sur les menaces et de gestion des incidents de sécurité. Elle facilite la
collecte, la normalisation, le partage et l'exploitation collaborative des informations liées aux
18 Mise en place d’une solution SOC open source
menaces entre les organisations. MISP permet de créer des événements, d'y ajouter des attributs,
et de partager ces données avec d'autres instances MISP.
TheHive : TheHive est une plateforme de gestion et de réponse aux incidents de sécurité. Elle
offre une interface centralisée pour traiter et suivre les incidents, intégrant des fonctionnalités de
corrélation et d'analyse des alertes. TheHive permet aux équipes de sécurité de collaborer
efficacement, d'automatiser certaines tâches et de suivre le cycle de vie complet des incidents.
Docker: Docker est une plateforme de conteneurisation qui simplifie le déploiement et la gestion
d'applications. Il permet d'emballer une application et ses dépendances dans un conteneur,
assurant une exécution cohérente et isolée sur n'importe quel environnement compatible avec
Docker. L'utilisation de Docker facilite le déploiement et la mise à l'échelle de Cortex, MISP et
TheHive, garantissant une gestion efficace des ressources et une flexibilité accrue.
Conclusion Générale