Académique Documents
Professionnel Documents
Culture Documents
d’Information
Outils d’Analyse et de Corrélation des Logs Systèmes et Réseaux
Sommaire
Problématique
L’activité d’un processus, d’une application ou d’un réseau informatique
c’est:
• Une série d’événements
Tracer l’activité d’une application :enregistrer chronologiquement ses
événements dans un fichier ou dans une base de données:
• On parle de fichier de traces ou fichier de logs, ou encore journal
d’événements
Définition et description
• Définition :Fichier regroupant l'ensemble des événements survenus sur un
logiciel, une application, un serveur ou tout autre système informatique
• Description : Un log (ou fichier log) se présente sous la forme d'un fichier texte
classique, reprenant de façon chronologique, l'ensemble des événements qui ont
affecté un système informatique et l'ensemble des actions qui ont résulté de ces
événements.
Exemple : serveur de type Web, le fichier log regroupe à la fois les demandes
d'accès à chacun des fichiers du serveur :
• date et heure précise de la tentative d'accès
• adresse IP du client ayant réalisé cet accès
• fichier cible accédé
• le système d'exploitation et le navigateur utilisé pour cet accès
• La réponse fournie par le serveur à cette demande d'accès : si le fichier est
trouvé, le poids de celui-ci... sinon, le type d'erreur rencontré.
Exemple : Journal d’événements Windows
Exemple : Journal d’événements Windows
Applications
• Les événements enregistrés sont les accès au système, les déconnexions, les
modifications de fichiers, les envoies et réceptions de messages, etc.
• On consacre typiquement une ligne par événement, en commençant par le
moment exact (date, heure, minute, seconde) où il a eu lieu.
• L’analyse des logs
• La corrélation de logs
• L’analyse des logs & La corrélation de logs
• Les enregistrements d'événements dans des fichiers Logs peuvent également
avoir une importance légale
Principe
Rapports statistiques
• Nombre de messages reçus par heure, jour, semaine, mois, année
• Pourcentage de virus dans les messages reçus
• Pourcentage de virus dans les messages émis
• Pourcentage de spams dans les messages reçus
• Pourcentage de messages contenant des pièces jointes interdites
• Pourcentage de messages dont le nom de domaine de l'émetteur est usurpé
(spoofing)
• Pourcentage de messages rejetés pour cause de taille trop importante
• Statistiques envoi de mails par domaine destination
• Evolution volumétrique d’envoi des mails
• Statistiques envoi de mails par utilisateur
Rapports statistiques
Exemple d’Indicateurs relatifs au surf Internet :
• Nombre de tentatives de connexions rejetées suite à échec d'authentification
par heure, jour, semaine, mois, année
• Pourcentage global de tentatives d'accès à des sites Web interdits
• Pourcentage de tentatives d'accès par catégorie interdite (jeux, mp3,
violence...)
• Nombre de pages bloquées contenant des codes malveillants (ActiveX,
JavaScript)
• Pourcentage de virus détectés dans les téléchargements FTP
• Statistiques de consultation des sites web http et https
• Statistiques des téléchargements et des flux applicatifs.
Exemples de Rapports statistiques
Exemples de Rapports statistiques
Intérêt
OSSEC :
• Développé par Daniel Cid en 2006
• Ecrit en C sous licence GPL3
• Trend Micro a assurer qu’OSSEC allait rester un produit sous licence libre
Fonctionnalités d’OSSEC :
• Vérification de l’intégrité des fichiers et du système de fichiers
• Analyse des logs et de la base de registre
• Détection de rootkits
• Mécanisme de prévention active
Fonctionnalité qui consiste à réaliser une action pour contrer activement
certaines attaques. L’action pourrait être, par exemple, l’injection d’une règle
temporaire dans le pare-feu.
Architecture d’OSSEC
OSSEC est multiplates forme
OSSEC dispose de deux modes de fonctionnement :
• Mode Serveur/Agent
• Mode Standalone
OSSEC en Mode Serveur/Agent
Installation et Configuration d’OSSEC
Installation simple et propre
• Se rendre sur le site : http://www.ossec.net/main/downloads/
• Télécharger l’archive : ossec-hids-2.5.1.tar.gz
• Extraire l’archive, et lancer le script « install.sh »
• # sudo tar -zxvf ossec-hids-*.tar.gz (ou gunzip -d; tar -xvf)
• # cd ossec-hids-*
• # sudo ./install.sh
• Installer les agents Windows : ossec-agent-win32-2.5.1.exe
• Démarrer OSSEC :
• # /var/ossec/bin/ossec-control start
Installation et Configuration d’OSSEC
• Si l’archive ossec-hids-2.5.1.tar.gz se trouve sur votre clé USB, il
faudra d’abord monter la Clé USB sur le serveur OSSEC, puis
copier l’archive vers un répertoire donné. Par exemple :
• # sudo mkdir /media/USB
# sudo mount /dev/sdb1 /media/USB
• # cd /media/USB
# sudo cp ossec* /home/lpasr
# cd /home/lpasr
Ajout d’un agent OSSEC