Avantages Et Mise en Œuvre D'un Système SIEM
April 15, 2023 | Author: Anonymous | Category: N/A
Short Description
Download Avantages Et Mise en Œuvre D'un Système SIEM...
Description
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Page 1
Avantages et mise en œuvre d'un système SIEM Luis Miguel Jaso Marquina Master en technologies de l'information et sécurité Télécommunications (UOC, URV, UAB). Directeur du TFM: Marco Antonio Lozano Merino Maître de conférences Victor Garcia Police en charge du sujet: Juin 2018
https://translate.googleusercontent.com/translate_f
1/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
je
Page 2
Ce travail est soumis à une licence de Reconnaissance-Non Reconnaissance -Non Commerciale NoDerivs 3.0 Espagne par Creative Chambre des communes
https://translate.googleusercontent.com/translate_f
2/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
ii
Page 3
FEUILLE DE TRA T RAV VAIL FINALE FI NALE
Titre de l'œuvre:
Avantages et mise en œuvre d'un sy Avantages système stème SIEM
Nom de l'auteur: Luis Miguel Jaso Marquina Marquina Nom du consultant: Marco Antonio Lozano Merino Nom de la PRA: Police Víctor García Date de livraison (mm / aaaa): 06/2018 Titre:
Master en en sécurité de Technologies de l'information et Télécommunications
Zone finale du projet: Projet principal final Langue de travail: espagnol Mots-clés
IT, IT, sécurité, SIEM, HIDS, Elastic Empiler
Résumé des travaux (maximum 250 mots): Avec l'objectif, l'objectif, le contexte de application, méthodologie, résultats et conclusions des travaux. Forte demande des organisations dans le contexte de la sécurité l'informatique, l'informati que, a suscité leur intérêt pour les systèmes SIEM. Il Ce travail montre, d'une part, une approche théorique sur ce qu'un SIEM et ses systèmes les plus populaires ont développé, d'autre part, une approche pratique de la mise en œuvre d'un système SIEM. Ce système est composé d'un série de composants basés sur Open Source, qui décrit leur fonctionnalités fonctionnali tés et certains cas d'utilisation. Le système implémenté est basé sur l'intégration Elastic Stack (Elasticsearch, Logstash, Kibana et beats) avec d'autres technologies telles que Wazuh (HIDS), Search Guard et Sentinl. Avec la mise en œuvre du système SIEM, la sécurité a été gérée dans: les systèmes fin, un pare-feu, un serveur Web et un serveur NAC. Ils ont tous été surveillé par un HIDS intégré au SIEM (Wazuh). Au CNA et au les pare-feu ont été extraits de leurs journaux bruts et traités pour les intégrer dans notre SIEM, pouvant effectuer un filtrage intelligent en temps réel ou en légal. La sécurité d'accès au SIEM et de la communication communication avec les capteurs est a été fait via Search Guard, s'intégrant parfaitement à notre SIEM. Enfin, le système d'alerte et de reporting est basé sur la solution ouverte source Sentinl. Ce travail a essayé de montrer que, à partir des composants décrit précédemment, précédemment, tous Open Source, vous pouvez développer un
https://translate.googleusercontent.com/translate_f
3/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
iii
Page 4
Système SIEM qui offre les fonctionnalités de base nécessaires à la gestion de la sécurité dans une organisation.
Résumé (en anglais, 250 mots ou moins): La forte demande de la part des organisations organisations dans le cadre de l'informatique sécurité, a suscité leur intérêt pour les systèmes SIEM. Le présent travail montre, d'une part, une approche théorique sur ce qu'est un SIEM et le plus populaire SIEM et d'autre part, ce travail mène une approche pratique de la mise en place d'un système SIEM. Ce système est composé d'une série de composants basés sur Open Source, dans lesquels ses fonctionnalités et certaines utilisent les cas sont décrits. Le système implémenté est basé sur l'intégration d'Elastic Stack (Elasticsearch, (Elasticsear ch, Logstash, Kibana et beats) avec d'autres technologies telles que Wazuh (HIDS), Search Guard et Sentinl. Avec la mise en œuvre du système SIEM, la sécurité a été gérée en: final systèmes, un pare-feu, un serveur Web et un serveur NAC. Tous ont été surveillé par un HIDS intégré au SIEM (Wazuh). En outre, dans le CNA et dans le pare-feu, leurs journaux bruts ont été extraits et traités pour intégrer dans notre SIEM, pouvant effectuer un filtrage intelligent en temps réel ou en mode médico-légal. La sécurité d'accès au SIEM et la communication avec les capteurs ont été réalisés via Search Guard, cela intègre notre SIEM à la perfection. Enfin, le système d'alerte et de reporting est basé sur l'open source Solution Sentinl. Avec ce travail, nous avons essayé de démontrer que, à partir de la description précédente composants, tous Open Source, un système SIEM peut être développé offrant fonctionnalités fonctionnali tés de base et nécessaires pour la gestion de la sécurité dans une organisat organisation. ion.
iv https://translate.googleusercontent.com/translate_f
4/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Page 5
Indice
1.- Introduction ………………. ……………………………. ……………………… 1 1.1.- Contexte et justification des travaux ……………. …………………… .1 1.2.- Objectifs des travaux ……………………………. …………………… ..1 1.3.- Approche méthodologique …………………………. …………………… .. 2 1.4.- Planification des travaux ………………………. ……………………… 3 1.5.- État de la technique ……………………………………. ……………… ...... 5 1.6.- Ressources …………………………………………. ……………………. 5 2.- Fondements théoriques ……………………………………. ……………………………………. ………………… .. 6 2.1.-Concepts théoriques d'un SIEM. Caractéristiques…. ……………… .. 6 2.2.- Architecture des systèmes SIEM …………………. ………………. 8 2.3.- Centre des opérations de sécurité. SOC …………. ……………. dix 2.4.- Comparaison entre différents SIEM …………………. ………… ...... 12 2.5.- Choix, justification et caractéristiques du SIEM à mettre en œuvre ... 17 3.- Développement des travaux pratiques. Implémentation SIEM. ………… ... 18 3.1.- Laboratoire. Objectifs ……………………………………………… .. 18 3.2.- Installation d'Elastic Stack et de son environnement …………… ………………………… …………… .. 20 3.3.- Sécurité SIEM. Search Guard ………………………………… 23 3.4.- Installation du HIDS / IPS. Wazuh ……………………………………… 28 3.5.- Installer Beats ………………………………………………… .. 37 3.6.- Alertes. Sentinl ……………………………………………………… ... 42 3.7.- Essais avec capteurs. Cas d'utilisation ……………………………… 43 4. Conclusions …………… .. …………………………………………………… …………………………………………………….. 53 5.- Glossaire ……………… .. ……………………………………………………… .. 54 6.- Bibliographie …………… .. …………………………………………………… ………………………………………………………. …. 56 7.- Annexes ………………… ... .. . ……………………………………………………… ……………………………………………………… 57
v
https://translate.googleusercontent.com/translate_f
5/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Page 6
Liste des figures Illustration 1.-Architecture logique SIEM ........................................... ............. 8 Illustration Illustrati on 2.- Architecture physique du SIEM. Adaptation de la figure [1-78] ........ 9 Illustration 3.- Workflow d'un SOC .......................................... ...................... 12 Illustration 4.- Le quadrant magique de Gatner pour le SIEM. Décembre 2017 ....... 13 Illustration 5.-Schéma du réseau du laboratoire. ................................................ 19 Illustration 6.-Schéma logique du laboratoire. ................................................. 19 Illustration 7.- Installation du référentiel Elastic Stack. .............................. vingt Illustration 8.- Ceci du service elasticsearch. ................................................. vingt Illustration 9.- Accès http à elasticsearch. .................................................. ... vingt et un Illustration Illustrati on 10.-Introduction de l'IP du serveur pour qu'il puisse être appelé elasticsearch à partir d'autres endroits. .................................................. ......... vingt et un Illustration Illustrati on 11.-Appel à elasticsearch via l'adresse IP du serveur SIEM. .. vingt et un Illustration 12.-Application Web Kibana. .................................................. ..... 2. 3 Illustration 13.- Outil d'extension Elasticsearch. ........................................... 2. 3 Illustration Illustrati on 14.-Certificats et fichier de configuration pour elasticsearch ....... 24 Illustration Illustrati on 15.-Lignes à ajouter au fichier de configuration elasticsearch. elasticsearch. .. 25 Illustration Illustrati on 16.- Désactivation de la version Entreprise de Search Guard ................ ................ 25 Illustration 17. Emplacement du fichier «sg_internal_users.yml» ....................... 25 Illustration 18.-Admin de l'utilisateur dans Search Guard ......................................... ..... 26 Illustration 19.-Certificats nécessaires ............................................ ................ 26 Illustration 20.-sgadmin.sh outil pour générer les utilisateurs et leurs rôles ..... 26 Illustration Illustrati on 21.- Commande pour générer des utilisateurs et des rôles dans Search Guard. ...... 26 Illustration 22.-Identifiants du client ljasomar et luismi. ............................... 27 Illustration Illustrati on 23.-Accès obligatoire à Elasticsearch par https et avec des identifiants identifiants.. .................................................. .................................................. .................... 27 Illustration Illustrati on 24.-Privilèges de l'utilisateu l'utilisateurr admin dans Elasticsearch après entrez les informations d'identification. .................................................. ................................. 27 Illustration Illustrati on 25.-Accès à Kibana sécurisé par Search Guard. ...................... ...................... 27 Illustration Illustrati on 26.-Personnalisation de la page de connexion Kibana. .................... .................... 28 Illustration Illustrati on 27.-Page de connexion Kibana personnalisée. ................... ............................ ............. 28 Illustration 28.- Création du référentiel pour wazuh. ...................................... 29 Illustration 29.-Statut du service wazuh-manager. ................................... 29 Illustration 30.- Version Python. .................................................. ................ 29 Illustration 31.-État du service API Wazuh. ............................................ 30 Illustration Illustrati on 32.- Fichier de configuration Logstash, pour intégration avec wazuh. .................................................. .................................................. ........ 30 Illustration 33.-Téléchargé et chargé le modèle JSON Wazuh pour Elasticsearch. .................................................. ............................................... 31 Illustration 34.-Plugin Wazuh pour Kibana. ................................................. 31 Illustration 35.-Wazuh intégré dans Kibana, montrant la configuration de l'API par Wazuh. Wazuh. .............. ....................... .................. ................... .................. ........ ......... .................. ................... ................... .................. ............. .... ... 32 Illustration 36.-API Wazuh configurée et IDS prêt à être utilisé. ............ 32 Illustration 37.- Inscription d'un mandataire au SIEM. ......................................... 33 Illustration 38.- Extraction du mot de passe, en SIEM, depuis la machine «fw.ouc.edu» pour pouvoir y être transféré. transféré. ............. ....................... ................... .................. .................. ......... ........ ............ 3. 4 Illustration 39.-Importation de la clé SIEM pour fw.ouc.edu depuis le client. .................................................. .................................................. .................... 3. 4 Illustration Illustrati on 40.-ossec.conf sur le client, pointant vers le SIEM (192.168.1.50). .................................................. .............................................. 3. 4 vu
https://translate.googleusercontent.com/translate_f
6/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Page 7
Illustration 41.- Démarrage de l'agent dans le client fw.uoc.edu ............................... 35 Illustration 42. fw.uoc.edu enregistré à Wazuh et actif. ................................ 35 Illustration 43.- Machines clientes contrôlées par IDS Wazuh. .................. 35 Illustration 44.- Vue principale des événements de sécurité dans l'ensemble de machines inspectées. .................................................. ............................ 36 Illustration 45.-Filebeat à télécharger sur radius.uoc.edu. ................................. 36 Illustration Illustrati on 46.-Configuration dans la section "prospecteurs" de filebeat.yml. .... 37 Illustration Illustrati on 47.-Configuration pour connecter Filebeat à elasticsearch via SSL. .................................................. .................................................. .................... 37 Illustration Illustrati on 48.- Depuis Kibana Management, vous pouvez accéder aux modèles d'index. .. 38 Illustration Illustrati on 49.- Création d'un index dans Kibana pour filebeat. ................. ....................... ...... 38 Illustration 50.- Attribution des noms d'index. ............................................ 38 Illustration Illustrati on 51.-Création de l'index selon le fichier patternbeat-6.2.3patternbeat-6.2.3- * .......... ................. ....... 39 Illustration 52.- Index créé avec les champs attribués. ............................... 39 Illustration 53.- Télécharger metricbeat 6.2.3. ................................................ 40 Illustration Illustrati on 54.- Configuration pour charger les tableaux de bord dans Kibana. .............. 40 Illustration Illustrati on 55.- Configuration pour se connecter à elasticsearch par SSL. ........ 40 Illustration Illustrati on 56.- Activation des modules apache et MySQL ......... ................... .............. 40 Illustration Illustrati on 57. Commande de chargement des tableaux de bord metricbeat dans Kibana. .................................................. .................................................. .................... 41 Illustration 58.-Tableaux de bord chargés dans Kibana par metricbeats. ................... 41 Illustration 59.- Installation du plugin Sentinl. .................................................. 42 Illustration 60.- Sentinl intégré à Kibana. .................................................. 42 Illustration Illustrati on 61.-Code de configuration Sentinl dans Kibana ...................... ...................... Illustration 62.- Vue générale (résumé)pour de tous les agents ........................ 43 42 Illustration 63.- Vue générale de l'agent Web. ................................................ 44 Illustration 64.-Surveillance FIM sur serveur Web. ....................................... 44 Illustration Illustrati on 65.- Audit de tous les serveurs connectés. ................... ........................ ..... Quatre cinq Illustration Illustrati on 66.- Graphique des violations de la politique de sécurité machines surveillées. .................................................. .............................. 46 Illustration Illustrati on 67.-Résumé des alertes et problèmes de l'audit. .................... .................... 46 Illustration 68.- Intégration de VirusTotal à SIEM. .......................................... 47 Illustration Illustrati on 69.- Répertoire à analyser dans la zone syscheck du fichier "ossec.conf" du SIEM. .................................................. .................................................. .... 47 Illustration Illustrati on 70.- Surveillance des virus, vers, chevaux de Troie, etc. à travers de VirusTotal. .................................................. .................................................. ... 47 Illustration 71.- Résultat de l'analyse du fichier eicar.com.txt, détecté par wazuh et analysé par VirusTotal. .................................................. ................. 48 Illustration 72.-Surveillance RadTest. Programme d'authentification rapport au................ rayon. .............. 48 Illustration Illustrati on 73. des utilisateurs connectés aupar rayon .................. ........ ...... 49 Illustration 74.- Surveillance du trafic dans la fw. .......................................... 49 Illustration 75.- État du système serveur Web. ..................................... cinquante Illustration 76.-Métriques du système du serveur Web. ..................................... cinquante Illustration 77.-Surveillance du service MySQL. ......................................... cinquante Illustration 78.-Génération de l'alerte. .................................................. ......... 51 Illustration 79.- Section d'entrée Sentinl. .................................................. ..... 51 Illustration 80.-Section condition Sentinl ........................................... ........ 51 Illustration 81.-Action après le déclenchement de l'alerte. ........................................... 52 Illustration 82.- Alerte affichée par Sentinl .......................................... ........... 52
vii
Page 8
https://translate.googleusercontent.com/translate_f
7/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
1. Introduction 1.1 Contexte et justification des travaux Le mémoire de maîtrise "Avantages et implémentation d'un système SIEM" que j'ai l'intention de développer portera sur un système de sécurité réseau, avec différents différen ts composants, dans lesquels le SIEM sera l'orchestrateur du système. Le travail combinera deux sections principales: • Section Recherche: Fondements théoriques du SIEM, caractéristiques, caractéristi ques, capacités, types de capteurs, fonctionnalités, fonctionnalités, intégration avec capteurs (IPS, IDP, etc.), sous-traitance du service SOC, besoin du système dans une organisation). organisation). Une comparaison sera faite entre les différents systèmes systèmes SIEM les plus populaires aujourd'hui et nous finaliserons en choisissant l'un d'entre eux pour pouvoir l'implémenter dans la partie développement. • Section développement: un petit laboratoire sera mis en place (par technologie virtuelle) dans laquelle nous installerons le SIEM choisi et nous intégrerons différents différents types de capteurs tels que IPS / IDS, NAC, scanner, scanner, etc. Des ccas as d'utilisation d'utilisation (tests) seront réali réalisés sés pour analyser ensuite le comportement du SIEM présentant un rapport à propos d'eux. Il tentera d'analyser toutes les caractéristiques du SIEM en testant. La mémoire comprendra un manuel d'installation et configuration de base et cas d'utilisation d'utilisation.. Dans ce travail, la partie la plus dédiée sera celle du développement, car c'est la qui a plus de complexité et nécessite plus d'efforts.
1.2 Objectifs des travaux Avec l'achèvement de ce TFM, j'ai l'intention de développer les éléments suivants compétences:
Objectifs Generals: 1. Capacité d'analyse et de synthèse de la sécurité d'un système. 2. Connaissance des outils et des tendances technologiques du marché pour sécurité informatiqu informatique. e. 3. Capacité à sélectionner sélectionner,, appliquer et intégrer les connaissances techniques et des scientifiques aptes à résoudre des problèmes dans de nouveaux contextes. 4. Capacité à communiquer des informations à des publics spécialisés et non spécialisé de manière claire et sans ambiguïté. 5. Capacité à rédiger de la documentation scientifique. 6. Capacité d'apprentissage autonome en consultant les informations. 7. Aptitude à jouer, présent présenter er et défendre devant les tribunaux université un exercice réalisé individuellement consistant en un projet global pour la sécu sécurité rité des tec technologies hnologies de ll'information 'information et communications à caractère professionnel.
1
Page 9
https://translate.googleusercontent.com/translate_f
8/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Objectifs spécifiques: 1. Connaissance du concept SIEM, de ses capacités et fonctionnalit fonctionnalités. és. 2. Connaissance des différent différentss outils et tendances technologiques du marché des systèmes de sécurité autour d'un SIEM. 3. Aptitude à utiliser des techniques de sécurité de base et des contre-mesu contre-mesures res pour prévenir les attaques. 4. Capacité à identifier identifier,, évaluer et gérer les principaux risques système dans l'environnement où le SIEM est installé. 5. Capacité d'identifier les vulnérabilités de la vie privée systèmes et capacité à les protéger. 6. Connaissance et utilisation des outils d'administration et protection du réseau et ge gestion stion des alertes alertes de sécur sécurité. ité. 7. Aptitude à concevoir, déployer, organiser et gérer des réseaux de communications résidentielles, commerciales ou institutions, assumant assumant la responsabilité de la sécurité du système et protection des des données des utilisateurs. 8. Aptitude à concevoir des solutions globales appropriées dans les scénarios complexes qui combinent des techniques et des contre-mesures contre-mesures connues pour prévention, détection détection et dissuasion dissuasion des attaques. 9. Connaissance des méthodes d'acquisition et d'analyse des preuves d'un incident de sécurité. Capacité à utiliser SIEM pour la gestion et la résolution des incidents. 10. Connaissance des problèmes de sécurité et de certains de leurs des solutions possibles. 1.3 Approche et méthode suivies Comme expliqué dans une section précédente, le TFM dispose de deux sections. Celui correspondant à "connaitre le SIEM" de manière générique et répond aux questions suivantes: • Qu'est-ce qu'un SIEM? • Quelles fonctionnalit fonctionnalités és possède-t-il? • Qu'est-ce que cela apporte à une organisati organisation? on? • Lesquels sont sur le marché aujourd'hui? • Comment peut-il être géré? • Avantages désavantages? • Comment est-il lié aux autres éléments de sécurité d'un réseau? • Quel SIEM convient à notre organisation? •…. Comme on peut le voir, cette section est une œuvre de recherche / apprentissage sur lesquels nous devons nous appuyer, fondamentalem fondamentalement, ent, dans les recherches Web et la bibliographie. L'autre section est celle qui correspond au "savoir faire", bref le travail pratique, la la mise en œu œuvre vre du systèm systèmee avec l'outil SIEM. dans ce cette tte section nous aborderons les points suivants: • Installation du système. • Configuration de celui-ci. 2
Page 10
• Tests. https://translate.googleusercontent.com/translate_f
9/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
• Rapports. Tous ces points seront réalisés de manière pratique dans un environnement de laboratoire virtuel. Ce sera le laboratoire d'essais. Enfin, un manuel sera préparé (il peut s'agir d'un document texte ou vidéotutoriel,l, etc.) de son fonctionnement. vidéotutorie
1.4 Planification du travail J'ai constitué trois groupes pour catégoriser les tâches à effectuer: 1. Phase de conception 1.1. Identification du sujet 1.2. Portée Justificati Justification 1.3. du on projet 1.4. Identification des objectifs 1.5. Proposition de méthodologie 1.6. Programme 1.7. La planification des ressources 1.8. Présentation du design. 2. Phase de développement. 2.1. Recherche d'informations et recherches sur SIEM et le système. Google. Bibliographie. 2.2. Développement des fondements théoriques. 2.2.1. Introduction. Concepts théoriques d'un SIEM. 2.2.2. Avantages d'un SIEM dans une organisation. 2.2.3. Caractéristiques SIEM. 2.2.4. Architecture de base des systèmes SIEM. Capteurs 2.2.5. des opérations de sécurité. SOC. Externalisation Externalisation.. 2.2.6. Centre Comparaison entre différents SIEM. 2.2.7. Choix, justification et caractéristiques caractéristiques du SIEM à mettre en œuvre dans la phase pratique. 2.3. Développement de travaux pratiques. Laboratoire avec le système SIEM choisi dans le dernier point. 2.3.1. Objectifs du laboratoire. 2.3.2. Installation du système SIEM et de son environnement. 2.3.3. Configuration de base du système SIEM. 2.3.4. Tests Tests avec des capteurs tels que (IDS / IPS, scanners, contrôle de accès, etc.). Alertes d'attaque, journalisation, corrélation de journaux, rapports, etc. 2.3.5. Préparation du manuel d'installation d'installation et de configuration. 2.3.6. Rapports sur les tests effectués effectués.. 2.3.7. Conclusions sur le système installé. 3. Phase finale 3.1. Préparation du rapport final du mémoire de maîtrise 3.2. Préparation de la présentation / vidéo du projet final du Master. 3.3. Soutenance de la thèse de maîtrise.
3
Page 11
https://translate.googleusercontent.com/translate_f
10/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
4
Page 12
1.5 État de la technique La sécurité du réseau d'une organisation est un point clé à considérer tout point de vue. Aujourd'hui, il existe d'innombrables outils en charge de la gestion de la sécurité (pare-feu, IDS, IPS, NAC, etc.), tous et chacun d'entre eux avec sa propre gestion particulière et s'il faut unir les efforts entre eux. Les SIEM existants intègrent la gestion de tous ces outils, gestion de la sécurité complète du réseau dans une seule interface commun. La plupart des SIEM existants sur le marché ont des similaire (contrôle (contrôle en temps réel, collecte de journaux, corrélation des mêmes, systèmes d'alerte, rapports, etc.), ce qui peut les différencier différencier sont: leur l'adaptation à l'environnement dans lequel il doit opérer, ses licences (prix, licence open source, etc.), sa gérabilité, son reporting, sa gestion criminalistique, analyse des risques, etc. Les systèmes SIEM sont nés de l'intégration de deux technologies différentes, qui ont été intégrés ces dernières années: • SEM. Gestion des événements de sécurité. Il s'est concentré sur le suivi https://translate.googleusercontent.com/translate_f
11/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
alertes de sécurité en temps réel générées par un pare-feu ou IDS / IPS. • SIM. Il a effectué les mêmes opérations que SEM à la différence que la gestion n'était pas en temps réel, étant en mesure de collecter des informations passées et générer des rapports basés sur celui-ci.
1.6 Ressources Les ressources nécessaires pour réaliser ce mémoire de maîtrise, grosso modo, ils seront: • Navigateur Internet. Google, Bing, etc. • Articles et références bibliographiques sur le présent ouvrage. • Laboratoire virtuel. Hôte Windows 10. Système de virtualisat virtualisation ion VirtualBox Virt ualBox 5. Machines virtuelles Ubuntu, CentOS 7, etc. • Logiciel SIEM choisi dans la phase théorique. • Système d'enregistrement vidéo. Nimbus et Lightworks 14. • Éditeur de texte Microsoft Word 2016. Feuille de calcul Excel 2016. • Générateur et logiciel d'organigramme - Microsoft Visio.
5
Page 13
2. Fondements théoriques Il devient de plus en plus difficile de faire face aux attaques qui se produisent réseaux informatiques, les systèmes SIEM aident les administrateurs réseau à automatiserr ce travail pour permettre la gestion de la sécurité du réseau automatise plus efficace. efficace. La demande de systèmes SIEM dans les organisations est une constante les dernières années. Comme l'indique Forecast, dans «Information Security, Worldwide, 2015-2021, 3T17 Update », les ventes de la technologie SIEM ont augmenté de 2001 billions de dollars en 2015 à 2,167 billions de dollars par an 2016. Aujourd'hui, la gestion et le traitement des menaces sont l'un des aspects le plus important à prendre en compte par les organisations modernes, consacrer les ressources nécessaires pour pouvoir répondre à tout incident sécurité qui se pose. Les systèmes SIEM agissent comme un référentiel journalisation journalisat ion des événem événements ents réseau liés à la sécurité, sécurité, uti utilisés lisés pour surveiller, identifier, documenter et même répondre à de tels incidents Sécurité. Certains des incidents de sécurité sont clairs et votre identification identification pourrait être simples, mais une grande partie des incidents de sécurité, bien qu'ils puissent être https://translate.googleusercontent.com/translate_f
12/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
évidents,dans ils sselecachent le grand nombre seconde produits dan réseau derrière d'une organisation, organis ation, et qued'événements sans systèm systèmee par SIEM, ils seraient complètement complèteme nt inaperçu. Les systèmes SIEM sont utilisés pour surveiller, identifier, documenter et même répondre aux incidents de sécurité. [1Introduction] L'une des grandes propriétés d'un système SIEM est la réduction des faux alertes, fréquemment produites, par exemple, via des systèmes de surveillance détection d'intrusion (IDS). Réduire les fausses alertes va de pair du filtrage et de la corrélation des événements de sécurité produits par le SIEM, discriminerr avec précision les situations que les capteurs classifient discrimine d'incidents de sécurité sans en être un. [1. Introduction]
2.1 Concepts théoriques d'un SIEM. fonctionnalités fonctionnalités L'acronyme SIEM vient de l'expression «Security Information and Event Management »(Security Information Information and Events Manager) et attribué à Gartner Amrit Williams et Nicolett Marcos. Les systèmes SIEM résultent de la convergence de deux technologies différentes [1Introduction]: • SEM (Security Events Manager). Trait Traiter er et surveiller événements de sécurité en temps réel, générés dans différents capteurs (FW, IDS, NAC, etc.), les corrèle et est capable de générer des alertes lorsque utilisateur.
6
Page 14
• SIM (Security Information Manager). Tout stocke événements générés par les capteurs qui y sont connectés, mais Contrairement à SEM, le traitement de ces événements se concentre sur la analyse historique, permettant l'analyse médico-légale, la surveillance et Préparation de rapports. Les systèmes SIEM combinent les capacités de ces deux technologies fournir l'ensemble de services suivant: • Collecte et gestion des logs. Capacité des systèmes SIEM à acquérir des données provenant de diverses sources, en particulier les plus importantes ou critiques (FW, IDS, serveurs, applications, etc.) et les stocker dans une base de données données centralisées. Cette base de données effectue initialement une analyse syntaxique des données, en les normalisant, normalisant, puisque les différents capteurs (éléments sources) envoient les données dans différents formats. Il faut avoir gardez à l'esprit que ces capteurs sont normalement très natures divers (ordinateurs avec différents différents systèmes d'exploitation, infrastructuree réseau telle que commutateur infrastructur commutateurs, s, routeurs, pare-feu, détection d'intrusion, etc.). Puis le SIEM, normalement, stocke toutes les données standardisées, les organise et applique un politique de rétention pou pourr répondre aux exigences de l'organisat l'organisation ion ou la réglementation en vigueur. Ces données sont également utilisées dans le temps réel, pour analyser la santé et la sécurité de ces capteurs et équipements qui Ils font partie de notre organisation et fournissent des données au SIEM. • Conformité à la réglementation en vigueur sur la sécurité des information. Tous les événements générés par les systèmes https://translate.googleusercontent.com/translate_f
13/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
étant collectés sous forme de journaux, ils peuvent être analysés sous des filtres et des règles pour auditer et valider llee respect de dess exigences imposées imposées par l'organisation l'organisati on dans sa politique de sécurité et répondre à ces exigences les exigences de sécurité et celles associées à la réglementation en vigueur. • Capacité médico-légale. Possibilité d'analyser les données et les alertes pour déterminer l'origine des incidents de sécurité et traiter se. • Agrégation et corrélation des événements de sécurité en temps réel. SIEM établit des relations entre différents événement événements, s, en étudiant la fréquence des événements, leur calendrier, etc., pour établir le la véracité de l'incident (éliminer les faux positifs) et être capable d'unir tous ces événements et considérez-les comme un seul incident, ce qui facilite votre traitement. Le moteur de corrélation peut prendre en compte des événements autres que recherché pour fournir une photographie plus complète du véritable cause du problème. • Capacité de réponse. Actions réactives. Une fois que le SIEM est capable d'identifier l'incident de sécurité après avoir collecté et adapté les les journaux et les corréler pour être sûr que l'incident est vrai, certains SIEM ont la capacité de réagir automatiquement face à de tels incidents en essayant d'atténuer le problème. Par exemple, Une fois la cause du problème confirmée, nous pourrions éteindre l'embouchure du basculer d'où le le problème eest st généré, ssii possible et approprié, ou filtrer l'accès à cette adresse IP particulière d'où provient l'incident, etc. sept
Page 15
• Sécurité sur les ordinateurs clients. Les systèmes SIEM ont la capacité pour surveiller surveiller la santé et l'état d'une équipe final finale. e. Par exemple, exemple, ils peuv peuvent ent surveiller l'état des ressources système d'un serveur, d'un bureau ou d'autres, les processus en cours d'exécution, analysent leur vulnérabilités, vulnérabilité s, surveillez l'état de votre antivirus, etc. • Surveillance et alertes de sécurité. Les systèmes SIEM ont la capacité de visualiser, surveiller et gérer tous les événements de Sécurité. Ils sont capables d'analyser automatiquement tous les événements et notifier uniquement ceux qui sont vraiment les plus pertinents. je sais vous devez être conscient de la grande quantité de données fournies par capteurs au système SIEM et celui-ci doit pouvoir alerter uniquement ceux qui sont vraiment significat significatifs, ifs, il s'agit vraiment "Trouvez l'aiguille dans la botte de foin" • Présentation des rapports de sécurité. Capacité de présentation de rapports exécutifs et techniques.
2.2 Architecture des systèmes SIEM [1-Chapitre 5] Un SIEM représente une machine complexe avec plusieurs pièces qui peuvent être caractériserr à la fois d'un point de vue logique et physique [1-78]. caractérise La figure suivante illustre l'architecture logique d'un système SIEM, avec le fonctionnalités qu'il peut héberger. Ils ne doivent pas être tous fonctionnalités fonctionnali tés décrites dans tous les SIEM, certains les intègrent tous et d'autres la plupart d'entre eux.
https://translate.googleusercontent.com/translate_f
14/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM Récolte et rétention de journaux
surveillance zation
Corrélation D'événements
SIEM
Alertes dans
Une analyse
Temps réel
légal
Tableaux de bord
Rapports
Conformité aux politiques Sécurité
Illustration 1.-Architectur 1.-Architecturee logique SIEM SIEM
Du point de vue physique, l'ensemble des pièces qui composent le SIEM leur indépendance est plus évidente, l'élément SIEM étant le orchestrateur orchestrate ur de l'ensemble du système intégré. SIEM peut être vu du point de vue d'un système de gestion des journaux, auquel des capacités sont ajoutées dans le domaine de la sécurité de l'information. l'information.
8
Page 16
Tout d'abord, nous recueillons les journaux de ces appareils intéressants d'un point de vue sécurité, nous ajoutons la possibilité d'analyser d'analyser,, les filtrant et les normalisant, nous préparons des règles qui nous alertent des événements les plus importants pour autant qu'ils remplissent certaines conditions qui ont été précédemmen précédemmentt implémentées, nous stockons les journaux avec une politique de rétention adéquate et mis en place un système de visualisation pour surveiller les données stockées dans le SIEM. Capteurs Pare-feu
IDS / IPS
Commutateurs
Les équipes
Les routeurs
NAC
Terminaux
Récolte de journaux
Filtré et
Alertes de règles
Magasins-
Normalisertion de journaux
mensonge de Journaux
Corrélation
Scanners Vulnera. Une analyse temps réel
Moniteurtion
Une analyse légal
Illustration 2.2.- Architecture Architecture physique physique du SIEM. SIEM. Adaptation de la figure figure [1-78]
Description des parties physiques: • Capteurs: ce sont les équipements de sécurité qui capturent les informations, Il peut s'agir de: routeurs, commutateu commutateurs, rs, serveurs, NAC, IDS / IPS, pare-feu et même des applications comme Nmap, OpenVAS, etc. Tout appareil https://translate.googleusercontent.com/translate_f
15/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
qui a à voir avec la sécurité et est capable de générer des journaux (logs), il devrait pouvoir être connecté au SIEM. • Collecte de journaux [1-81]: Il s'agit de la procédure de transfert du enregistre dans SIEM, et il existe essentielleme essentiellement nt deux méthodes selon qui est en charge de la tâche de récolte: le capteur «méthode push» ou la "méthode pull" SIEM. Dans la méthode "push", le capteur envoie les enregistrements vers SIEM au moyen d'une méthode (syslog, beats, nxlog, etc.) avec indépendance totale du SIEM, au lieu de cela dans la méthode "pull" il est nécessaire le SIEM pour initier la connexion afin de collecter les enregistrements enregistrements générés sur le capteur. Par exemple, dans la méthode «push», le SIEM pourrait lire le le capteur enregistre si nécessaire. • Filtrage et normalisation des journaux [1-83]: les enregistrem enregistrements ents de différents capteur et bien sûrcapteur de nature un format quicapteurs dépends du même et cedifférente, format estadoptez généralement très différent pour chaque type de capteur. SIEM devrait normaliser tous les différents formats sont arrivés des différents capteurs pour faciliter leur lire et autoriser les formats standard pour la corrélation ultérieure de événements. Le formulaire unifié au format journal facilite la création règles de corrélation. • Règles de corrélation d'alertes [1-85]: le SIEM doit avoir la capacité de générer des alertes via la visualisation, la messagerie, etc. de tous ceux
9
Page 17
les incidents qui enfreignent les règles de sécurité établies dans le même. Aussi, pour éviter les faux positifs et ne pas générer de fausses alertes qui détournerait notre attention et travaillerait en vain, les alertes devraient être généré par l'association de différents incidents, y compris provenant de différents différents capteurs, qui garantissent la véracité du se. Par exemple, un échec d'authentification d'une machine contre un serveur peut être dû à une erreur humaine et SIEM ne doit pas ne déclenche aucune alerte, mais si cet échec survient du même machine avec une fréquence de 100 fois par seconde, nous devrions penser qu'il peut peut s'agir d'une attaque par force brute eett du système SIEM • Stockage devraitdes alerter journaux de la même [1-89]:chose. pour travailler avec de grands volumes de et être en mesure de leur appliquer une bonne politique de conservation, conservation, nous avons besoin d'un entrepôt de bonne taille, qui pourrait être une base de données comme Oracle Database, MySQL, Microsoft SQL, etc., les fichiers texte tels que les fichiers JSON ou les fichiers binaires binaires.. En fonction de la le volume des enregistrements stockés peut être intéressant, pour améliorer le performances de stockage eett de recherche, recherche, en utili utilisant sant plusieurs stockage formant des grappes. • Surveillance [1-90]: La phase finale de l'architecture SIEM est la surveillance. Une fois que tous les enregistrements ont été collectés et traités il est nécessaire de pouvoir accéder aux informations stockées (analyse médico-légale), médico-légale), généralement avec des recherches intelligentes, elles doivent également être présentées rapports, graphiques, etc. qui nous donne une idée de l'état actuel du système ou le plus proche. La couche de surveillance SIEM rend nous pouvons l'état dedetous les capteurs en permet un seul de endroit connecté à lui.visualiser Enfin, la couche surveillance nous être capable de développer les règles qui extraient les informations des événements qui sont en cours de traitement.
2.3 Centre des opérations de sécurité. SOC. [5] https://translate.googleusercontent.com/translate_f
16/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Un Security Operations Center (SOC) est une équipe de personnes qui Ils surveillent en permanence les réseaux, les vulnérabilités des équipements, intrusions, ou tout symptôme d'activité anormale, développant le réponses appropriées à ces incidents, au sein d'une organisation. Il La taille de cette équipe dépendra de la taille de l'organisation à superviser. superviser. Ce groupe de personnes peut appartenir à l'organisation "Internal SOC", il peut s'agir d'un service externalisé ou même mixte. Les principales raisons pour lesquelles ceux qu'une organisation délègue la gestion de la sécurité à des services externes sont généralement dus à une éventuelle pénurie de ressources techniques et humaines éviter de répondre aux demandes croissantes de protection des données, des systèmes et des applications anti-menaces de plus en plus sophistiquées, tout en assurant conformité réglementaire. Sa mission principale est de parvenir à une meilleure détection des incidents de sécurité, enquêter sur tout ce qui se passe dans notre réseau au niveau de la sécurité et répondre les faiblesses et les incidents qui existent ou surviennent dans une organisation. De plus, un SOC envoie des rapports à l'organisation pour laquelle il gère la sécurité informatique informatique
dix
Page 18
afin que vous n'ayez aucun problème de conformité aux audits de sécurité et respect des réglementations en vigueur. Un SOC doit collecter et analyser les données relatives à la sécurité provenant de différentes différen tes sources telles que IDS, pare-feu, applications logicielles, logicielles, DNS, etc. Ce la photographie s'intègre parfaitement à l'utilisation des systèmes SIEM, pour pouvoir extraire tous ces enregistrements de différents systèmes et appliquer des règles pour générer le Alertes correspondantes en cas d'incidents de sécurité à signaler. Dû à cela, le SOC s'appuie normalement sur un système SIEM pour atteindre ses objectifs. Les SOC utilisent fréquemment des sources d'informations tierces pour pouvoir ainsi les iintégrer ntégrer aux systèmes systèmes SIEM, un une analyse plus précise de l'incident. Ces tiers peuvent être les bases de les données sur les menaces, où elles ont été précédemment analysées analysées et fournissent informations informatio ns véridiques importantes, qui pourraient être d'une grande aide pour les SOC lorsque le temps de gérer les incidents. Le processus pourrait être inversé, de sorte que des menaces inconnues capturés par le SIEM du SOC, pourraient être envoyés à ces systèmes externes pour eux d'analyser d'analyser.. Ces systèmes systèmes analyseront les menaces, les évaluer évalueront, ont, décider de sa sévérité, et apporter une réponse au SOC sur le se. Sur la base de cette réponse, le SOC doit prendre une décision sur la incident en fonction de sa gravité et en plus, le système externe ajoutera cette menace dans leurs bases de données indiquant la gravité ou l'innocuité de la idem pour une utilisation ultérieure dans toutes les organisati organisations ons qui en dépendent système externe. Les grands SOC utilisent souvent un système à trois niveaux pour gérer alertes de sécurité générées par un système SIEM. Dans le grand organisations organisat ions ces niveaux sont occupés par des personnes différentes, Dans les petites organisations, le personnel du SOC peut appartenir à divers https://translate.googleusercontent.com/translate_f
17/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
niveaux façon: en même temps. Les niveaux d'un SOC sont agissent comme suit • Niveau 1. Les analystes de niveau 1 sont chargés de surveiller alertes de sécurité en temps réel et décider si ces alertes sont réelles et s'ils sont suffisamment importants pour être mis à l'échelle au niveau 2, ou par le sinon ils sont si insignifiants qu'ils doivent être fermés immédiatement immédiatement sans rien entreprendre. • Les analystes de niveau 2 examinent les alertes reçu par le niveau 1 et corréler avec d'autres informations informations pour vérifier si l'incident de sécurité s'est produit et déterminer le actions possibles après cela. Une partie du travail consiste en évaluer l'impact potentiel de l'incident sur le ressources de l'organisation, déterminant la portée de l'incident, qui est l'impact sur l'organisation, si l'incident doit être priorisé ou non, etc. • Les analystes de niveau 3 sont du personnel expérimenté sécurité dont les responsabili responsabilités tés sont:
Onze
Page 19
o identifier et suivre de manière proactive les activités inhabituelles et les menaces sur le réseau et les éteindre avant les alertes du Acte SIEM. o Travailler avec des analystes de niveau 2 lorsqu'une menace détecté ou causé un incident. Comme on peut le voir, un système SIEM fonctionne le plus important dans un centre des opérations de sécurité.
Capteurs
Alerte SIEM Analystes Niveau 1
Pare-feu
IDS / IPS
Incident Commutateurs Les routeurs
Les équipes Terminaux
NAC
SIEM
Enquête
Scanners Vulnera.
Analystes de niveau 2
Enquête sur l'incident
Rechercher des menaces inconnues et enquête sur les incidents Corrélation de SIEM avec source de menace externe
Analystes de niveau 3
Menace BBBD Externe
Illustration 3.3.- Flux de travail travail d'un SOC
https://translate.googleusercontent.com/translate_f
18/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
2.4 Comparaison entre différents SIEM Le choix d'un système SIEM est assez compliqué, cela dépend fondamentalement fondamentalement des caractéristiques à contrôler, les cas d'utilisation nécessaire. Les organisations acquièrent souvent des SIEM surchargés, avec tous les caractéristiques caractérist iques et fonctionnali fonctionnalités tés possibles, souvent annoncées avec "Chants et sirènes" par les vendeurs et non conformes à la besoins de l’organisat l’organisation. ion.qui, Ende fait fait, , toutes ces fonctionnalit fonctionnalités és complexe ajoutent en complexité à un produit par sa nature, est déjà assez ses modèles les plus basiques.
12
Page 20
Ainsi, le choix d'un SIEM doit répondre aux besoins et attentes de l'organisation, l'organisation, il sera conforme à la taille appropriée de la même en termes de ressources (performances, stockage, etc.), il doit être intégré de la meilleure façon chemin dans l'infrastructure existante, existante, vous aurez besoin d'un outil de recherche de journaux agile et flexible, son système de visualisation et de génération de rapports montrant informations, informatio ns, alertes et rapports en temps réel adaptés à l'organisation (cadres, pour les audits, etc.) et enfin le prix du même. Il existe une variété de systèmes SIEM sur le marché, les plus populaires sont pratiquementt en paiemen pratiquemen paiementt intégral, seuls quelques-uns quelques-uns sont ouve ouverts rts source et avec des fonctionnalités limitées. Pour effectuer la comparaison des systèmes SIEM, nous utiliserons les systèmes le plus populaire [4], et la première chose que nous allons vous montrer est le Magic Quadrant de Gatner pour les systèmes SIEM, publié le 4 décembre 2017. [2]
Illustration 4. 4.-- Le quadrant quadrant magique de de Gatner pour pour le SIEM. Déc Déc 2017
https://translate.googleusercontent.com/translate_f
19/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Dans le quadrant précédent, on peut voir que les principaux systèmes SIEM sont QRadar (IBM), Splunk, LogRhythm et McAfee ESM, qui sont également les plus populaire associé associé à Alien AlientV tVault, ault, ArcSig ArcSight ht et RSA. Dans la comparaison suivante, un nouveau produit Open Source sera ajouté en tant que est ELK qui, bien que ce ne soit pas en soi un SIEM, l'ajout de plugins et configurations, configuratio ns, il peut avoir des caractéristi caractéristiques ques similaires. [2] [3] [4].
13
Page 21
QRadar QRadardes est journaux, un SIEM de la société IBM, avec gestion des composants supplémentaires res tels que gestion surveillance du réseau, et gestionsupplémentai des vulnérabilités risque. avantage
Désavantages
Il s'adapte aux moyennes et grandes organisations. organisations. N'intègre pas la surveillance du client final (OS) (points de terminaison), vous avez besoin de plugins tiers. Bon moteur de recherche, bien que concurrents Architecture flexible qui prend en charge divers environnements. comme Splunk et LogRhythm l'améliorent. Solution disponible en version physique ou virtuelle, centralisé ou distribué, il peut aussi être «sur cloud »ou cogéré avec des partenaires IBM QRadar. Possibilité de se connecter à la sécurité SIEM de L'outil de réponse aux incidents (IBM des tiers. Résilient) n'est pas natif et doit être connecté via à partir de l'outil de connexion tiers. Bon système de surveillance en temps réel et L'octroi de licences est déroutant et complexe. historique.
Cran Splunk est composé de deux composants, la solution Enterprise (le système SIEM) et deux solutions complémentai complémentaires res premium (Enterprise Security qui analyse cas d'utilisation et Splunk User Behavior Analytics - UBA qui améliore l'analyse de requêtes effectuées dans la version entreprise). avantage
Désavantages
SIEM avec l'addition (UBA) présente un superbe moteur de recherche. Ça pourrait être le meilleur avec LogRhythm. C'est un produit apprécié des clients.
Prix de licence élevé.
Splunk ne propose pas de version Appliance, vous devez installer sur du matériel pris en charge.
Grand parc d'entreprises associées qui facilite mise en œuvre dans les organisations. Il peut coexister avec d'autres systèmes, en utilisant d'autres cas d'utilisation, ouvrant la voie à équipes de sécurité souhaitant ajouter un Solution SIEM à votre environnement environnement où infrastructure centrale et sources d'enregistrement les événements sont déjà en cours.
LogRhythm https://translate.googleusercontent.com/translate_f
20/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
LogRhythm se compose de plusieurs composants qui peuvent fonctionner dans un conjointement conjointeme nt sur un appareil ou distribués. avantage
Désavantages
C'est une plateforme solide et évolutive à partir d'un seul périphérique jusqu'aux architectures architectures nn-tier. -tier. Interface utilisateur puissante qui fournit un solide expérience de surveillance du temps réel. Intègre les activités de réponse automatique et manuel contre les incidents de sécurité Bien adapté aux environnements ICS / SCADA Bon modèle d'implémentation et de support grâce à depuis le service de déploiement central.
Intégration difficile avec des solutions tierces. Apis moins ouverts aux tiers que leurs concurrents. Difficulté de mise à l'échelle pour prendre en charge des volumes de événements très élevés.
14
Page 22
Gestionnaire de sécurité d'entreprise - ESM ESM est le SIEM de McAfee, avec une interface utilisateur Web, des analyses base de données données d'événements d'événements,, capacités de rapport et gérer de manière centralisée les autres composants complémentaires à la solution. avantage
Désavantages
Licence simplifiée pour les différents options, à la fois physiques et virtuelles. Ils sont nativement intégrés à d'autres produits McAffe. Convient aux environnements ICS / SCADA.
Pire capacité d'analyse avancée, en comparaison avec d'autres concurrents. Moins de capacité d'automatisation et d'actions réponse que vos concurrents. Faibles offres de formation sur le produit. Inquiétude de la part des clients.
Amélioration progressive progressive de la satisfaction client, concernant le produit.
AlientVault AlienVault est introduit sur le marché avec deux offres différentes, Unified Security Management (USM) est une appliance (physique ou virtuelle) et USM Anywhere qui est une solution SaaS dans le cloud. avantage
Désavantages
Ils incluent des capacités de sécurité intégrées, tels que la détection d'actifs, IDS, scanners de sécurité vulnérabilités, etc. Prix du produit inférieur par rapport à leur concurrents.
Différences importantes importantes entre les capacités de les deux produits proposés (appliance et cloud).
Type de licence simple, flexible et facile à utiliser comprendre. Il dispose d'un produit Open Source (OSSIM), avec capacités limitées.
Flux de travail basé sur les rôles, intégration de tickets, prise en charge de plusieurs renseignements et capacités sur les menaces analyses avancées, à la traîne par rapport aux autres concurrents Orienté vers les petites et moyennes organisations. organisations.
ArcSight ArcSight Enterprise Security Manager (ESM) est le composant principal du Micro Focus SIEM. ESM fournit une analyse et une surveillance dans le temps réel, recherche, rapports, gestion de cas et flux de travail. avantage
Désavantages
Largem Lar gement ent uti utilis liséé dans dans les les SOC de gran grande de tail taille le et et compl complex exes. es.
Momen Mo mentt critiq critique ue pou pourr le prod produit uit aprè aprèss avoir avoir été
https://translate.googleusercontent.com/translate_f
21/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Personnalisation du connecteur qui permet normalisation d'un large éventail de sources journaux de de sécurité. Très flexible pour l'admission de différents cas d'utilisation et très orienté vers l'accomplissement de politiques et réglementations réglementations de sécurité en en vigueur. vigueur. L'API permet des intégrations étendues étendues dans Environnements Environneme nts SOC.
acheté par Micro Focus. possibilité de arrêt ou modifications majeures le même. Problèmes avec la complexité et les coûts de votre décharge. Des changements se produisent avec l'introduction de nouveaux modules qui peuvent donner comme résultat de la duplication des données.
quinze
Page 23
RSA RSA NetWitness Suite, Suite, est un produit Dell, axé sur la détection de menaces en temps réel, réponse aux incidents, analyse médico-légale médico-légale et cas de utilisationn des menaces tirant parti de la capture complète des paquets réseau, utilisatio événements de sécurité et données de journal, NetFlow et télémétrie à partir des points fin. avantage
Désavantages
Architecture flexible qui s'étend d'un seul périphérique aux implémentations implémentations complexes. complexes.
Interface utilisateur de base par rapport à leur concurrents.. RSA indique que cet aspect est concurrents il s'améliorera avec la prochaine version. Faible capacité de gestion des incidents. Les clients doivent souvent acheter un module complémentaire. Capacités d'automatisation et d'orchestratio d'orchestrationn limité.
Solution adéquate pour la mise en œuvre d'un SOC. Solution unique pour la détection des menaces et surveillance, enquête et réponse événements de sécurité
Pile élastique Elastic Stack est un ensemble de packages qui fonctionnent ensemble, le la plupart d'entre eux sont open source. Il est composé du moteur de recherche, d'un collecteur de données, agents de point de terminaison, système de visualisation X-pack (pas open source), qui est une combinaison d'outils avec différents des fonctions telles que les alertes, la sécurité, les rapports, la surveillance, etc. Elastic Stack est initialement un puissant gestionnaire d'événements, mais en raison de sa la flexibilité peut se rapprocher d'un système SIEM haute capacité. avantage
Désavantages
La plupart de ses composants sont open source. Dans sa forme de base, ce n'est pas un SIEM. Il est modulaire, les composants sont installés Un composant intéressant n'est pas encore ouvert avoir besoin. source, comme X-pack. Sa libération est annoncée en bref. Il dispose d'un puissant moteur de recherche (Elastic Rien n'est automatisé, vous devez le faire un Chercher). même. Il a des agents qui peuvent être installés dans Il n'est pas pris en charge, sauf si le serveurs ou postes de travail. produit sous licence par une entreprise entreprise telle que logz.io Plusieurs produits tiers peuvent être connectés. Gartner le présente comme une alternative choisie par un ensemble ensemble d'org d'organisations anisations en raison de les prix élevés d'acquisition d'un SIEM et le complexité de tirer la performance de l'ensemble des fonctionnalités pour lesquelles lesquelles il a été payé
https://translate.googleusercontent.com/translate_f
22/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Tous les produits précédemment évalués sont de bons candidats pour un usage professionnel professionnel,, ils ont ttous ous de bons collectionneurs collectionneurs d'événements, cependant certains produits ne disposent pas d'agents pour intégrer nativement le des points de terminaison tels que Splunk, McAfee ESM et AlientVault. Tous sauf Élastique Stack a des flux d'informations sur les menaces et ils ont tous un moteur puissant recherche d'événement, mettant mettant en évidence Elastic Stack, Splunk et LogRhythm. Ils sont tous prêts à se conformer aux politiques de sécurité et réglementations réglementat ions en vigueur, à l'exception d'Elastic Search qui devrait être implémentée implémentée..
16
Page 24
Certains produits comme AlientVault ne sont pas recommandés pour les organisations très grands. Une maxime dans la plupart de ces produits est leur coût, et la plupart les entreprises optent moins pour le plus adapté à leur organisatio organisationn mais pour le plus approprié au pprix rix que vous êêtes tes prêt à payer payer.. Il faut qque ue signifie que l'achat d'un système SIEM n'a pas de retour direct sur le l'investissement l'investissem sont évalués quesystèmes négativement. Autrem Autrement ent dit, quand il existe un incident etent le et faitl'amortissement de ne pas avoirne acquis l'un de ces suppose pertes économiques économiques consid considérables érables dans l'entreprise. Enfin, nous pouvons déterminer que chaque organisation doit mener à bien ses propre évaluation, évaluation, en te tenant nant compte non non seulement des forces eett des faible faiblesses sses présentés dans dans cet ouvrage ou ailleurs, sinon tous les les autres asp aspects ects de la SIEM qui peut être important pour l'organisatio l'organisation. n. Parce que chacun L'implémentation L'implément ation SIEM doit adresser un seul ensemble de sources de journal et doit prendre en charge différentes combinais combinaisons ons d'exigences de déclaration conformité, entre autres variantes, le meilleur système SIEM pour une l'organisation l'organisa tion peut ne pas convenir à une autre organisation.
2.5 Choix, justification et caractéristiques du SIEM à mettre en œuvre dans le phase pratique. Après avoir évalué certains des systèmes SIEM les plus populaires existants notre marché, le plus simple et en même temps le plus compliqué en raison de sa prix, serait serait d'opter pour l'un des produi produits ts mentionnés mentionnés ci-dessus. Parce que le système Elastic Stack est open source dans la plupart de ses composants et, en raison de leur modularité, les composants qui ne sont pas l'open source peut être remplacé par d'autres avec les mêmes fonctionnalités qu'ils sont. De plus, la transformation d'un gestionnaire de journaux, comme Elastic Stack, un système SIEM peut aider lors de la mise en œuvre ou évaluer simplement la mise en œuvre de la même chose à d'autres organisation organisations, s, j'ai a choisi de choisir le système Elastic Stack comme système SIEM à implémenter dans mon travail. Au départ, seuls les logiciels open source seront utilisés pour atteindre le emploi. Donc, tous ces composants Elastic Stack qui ne sont pas ouverts la source sera supprimée et remplacée par d'autres. En ce moment seul le package Elastic Stack X-pack n'est pas open source, donc il doit être remplacé par un autre ou d'autres offrant les mêmes fonctionnalités, spécifiquement spécifiquem ent Sentinl. https://translate.googleusercontent.com/translate_f
23/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Parce qu'Elastic Search est un gestionnaire de journaux puissant avec des surveillance de l'alimentation l'alimentation via Kibana, vous devez ajouter un paquet de des tiers pour couvrir certains des besoins importants d'un SIEM, tels que par exemple des alertes alertes,, des rapport rapports, s, des corrélations, corrélations, etc etc..
17
Page 25
3.-Développement des travaux pratiques 3.1.- Laboratoire. Objectifs. Le laboratoire a été réalisé à partir d'un PC éducatif Windows 10, avec un Mémoire RAM de 8 Go comme machine hôte de virtualisat virtualisation. ion. La La virtualisation a été réalisée à l'aide de l'environnement Oracle VirtualBox VirtualBox 5.2.8. L'objectif du laboratoire est d'essayer de mettre en place un SIEM à travers Composant principal d'Elastic Stack, ajout d'applications de sécurité et d'autres composants afin que ses fonctionnalités dépassent le cadre d'un gestionnaire de journaux. Parallèlement à la mise en œuvre, certains cas d'utilisation sont présentés, qui Parallèlement ils peuvent être élargis dans le prolongement du projet final de ce Master Master.. Le laboratoire est composé des composants (serveurs) suivants: ▪ Poste de travail W10. ou Metricbeat. o Agent IDS. ▪ Station de travail Linux. ou Metricbeat. o Agent IDS. ▪ Serveur SIEM o Système d'exploitation Linux CentOS 7. o Elastic Stack (Elasticsear (Elasticsearch, ch, Logstash, kibana, beats) ou Recherche sécurisée o IDS / IPS Wazuh ▪ Pare-feu o Serveur CentOS 7 (Iptables). o Agent IDS. ou Filebeats ▪ Serveur Web ou CentOS 7 (Apache 2). o Agent IDS. ou Metricbeat ▪ Serveur Radius ou CentOS 7 (Freeradius 3). o Agent IDS. ou Filebeat L'ensemble du laboratoire, à l'exception de la machine Windo Windows ws 10, sont des machines https://translate.googleusercontent.com/translate_f
24/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
périphériquess virtuels iindépendants périphérique ndépendants com comme me indiqué dans le diagramme diagramme de rés réseau eau physique.
18
Piste 26
L'INTERNET
.1
0,254
.cinquante
.quinze
.vingt 0,254
FW SIEM
Endpoint W10
Endpoint Linux
.5
serveur Web
.dix
Serveur RADIUS
5.-Schéma du réseau du laboratoir Illustration 5.-Schéma laboratoire. e.
Le serveur SIEM se compose d'Elastic Stack avec quelques plugins (Safe search) et le IDS / IPS Wazuh qui est un fork de OSSEC HIDS, et s'intègre parfaitement avec Pile élastique. La figure suivante montre le schéma logique du laboratoire, avec le applications et agents installés sur chaque serveur.
6.-Schéma Schéma logique logique du laboratoire. laboratoire. Illustration 6.-
https://translate.googleusercontent.com/translate_f
25/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
19
Page 27
3.2.- Installation d'Elastic Stack et de son environnement [6] 3.2.1.- Installation et configuration d'Elasticsearch. [6-Elasticsearch [6-Elasticsearch Reference] Tout d'abord, nous installons le référentiel Elastic Stack pour CentOS 7 comme comme le montre la figure.
Illustration 7.- Installation du référen référentiel tiel Elastic Stack.
Ensuite, nous installons Elasticsearch Elasticsearch..
Il est nécessaire d'avoir le java jdk installé.
Nous activons le service au démarrage, afin qu'il démarre démarre automa automatiquement tiquement lo lorsque rsque démarrez le serveur.
Enfin, nous démarrons elasticsearch.
Et nous vérifions que le démarrage du service a été correct.
Illustration 8.- Ceci du service service elasticsearch. elasticsearch.
https://translate.googleusercontent.com/translate_f
26/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Il est également possible qu'elasticsearch fonctionne correctement, Accès via le protocole "http" sur le port "9200".
vingt
Page 28
Illustration 9.- Accès http à elasticsear elasticsearch. ch.
Dans la figure précédente, vous pouvez voir la version d'elasticsearch et d'autres paramètres.. paramètres Une fois elasticsearch installé, il est nécessaire d'apporter des modifications à votre configurationn dans le fichier "/etc/elasticsearch/elasticsearch.yml" configuratio Plus précisément dans la section réseau, il sera sera nécessaire de changer la variable network.host avec avec l'adresse IP de la machine sur laquelle se trouve elasticsearch. elasticsearch. Alors nous pouvons l'appeler depuis d'autres endroits.
10.-Introdu .-Introduction ction de l'adresse l'adresse IP du serveur afin qu'elasticsearch qu'elasticsearch puisse puisse être appelé depuis depuis d'autres d'autres emplacements. emplacements. Illustration 10
Ensuite, vous pouvez voir que vous pouvez appeler elasticsearch via de l'adresse IP du serveur, comme illustré dans la figure suivante.
Illustration 11.-Appel elasticsearchh via l'adresse l'adresse IP du serveur serveur SIEM. SIEM. 11.-Appel à elasticsearc
https://translate.googleusercontent.com/translate_f
27/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
vingt et un
Page 29
3.2.2.-Installation de Kibana. [Référence 6-Kibana] 3.2.2.-Installation Comme nous avons déjà configuré le référentiel Elastic Stack pour installer elasticsearch, elasticsear ch, kibana est installé directement sur le serveur via le outil "miam".
Nous activons le service kibana au démarrage, démarrage, pour qu'il démarre automatiquem automatiquement ent lorsque le serveur démarre.
Dans le fichier de configuratio configurationn de kibana «/etc/kibana/kibana.yml», il sera sera nécessaire changer l'adresse elasticsearch elasticsearch en IP du serveur SIEM. Dans notre cas 192.168.1.50
Et nous allons définir l'adresse 192.168.1.50 comme IP d'appel vers kibana, afin de être accessible à partir d'autres endroits.
Une fois Kibana configuré, nous allons démarrer le service.
Comme pour elasticsearch, il est pratique de vérifier que le Le service Kibana a démarré avec succès.
Il est obligatoire d'autoriser l'accès, depuis le pare-feu SIEM, pour pouvoir accéder à kibana de n'importe quel endroit. Le service Kibana écoute sur le port 5601
https://translate.googleusercontent.com/translate_f
28/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
22
Piste 30
Via un navigateur Web, vous pouvez accéder en utilisant l'URL http://192.168.1.50:5601 sur le site Web de Kibana, comme indiqué ci-dessous http://192.168.1.50:5601sur figure. Avec l'installation de Elasticsearchh et Kibana Elasticsearc déjà nous avons dans fonctionnement une directeur de journaux. Clairement ce le gestionnaire de journaux n'a pas pas de record, record, depuis il n'a pas été connecté aucune source de Les données. Cependant, le but de ceci 12.-Application We Illustration 12.-Application Webb Kibana. le travail va un peu au-delà de la simple mise en œuvre d'un gestionnaire de données et doit lui fournir d'autres capacités pour ressembler à un SIEM.
3.3.-Sécurité SIEM. Rechercher Guard. [8] Comme SIEM est actuellement (toujours un gestionnaire de journaux), On constate qu'il n'y a aucun type de sécurité. L'accès à kibana est gratuit sachant simplement que l'URL est accessible, la connexion avec elasticsearc elasticsearchh ne fonctionne pas non plus il est sous ssl et aussi sans nom d'utilisateur et mot de passe comme Kibana. Search Guard est un plugin elasticsearch, qui assure la sécurité de accès à Kibana, présentant un accès web frontal à kibana avec une page nous devons entrer les informations d'identification. Il fournit également la sécurité pour elasticsearch, elasticsear ch, forçant l'accès via ssl et avec des informations d'identification. Dans le répertoire "/ usr / share / elasticsearch / bin" se trouve se trouve le binaire à installer les plugins "elasticsearc "elasticsearch-plugin" h-plugin"
Illustration 13 13..- Outil d'extension d'extension Elasticsearch. Elasticsearch.
Depuis le répertoire "usr / share / elasticsearch / bin" il faudra faudra écrire le commande suivante, en notant que la version du plugin doit correspondre à version d'elasticsearch. d'elasticsearch. Dans ce cas, la version d'elasticsearch est la 6.2.3.
https://translate.googleusercontent.com/translate_f
29/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
2. 3
Piste 31
Pour installer le plugin Search Guard pour Kibana, nous devons télécharge téléchargerr le version correct de la Suivant
adresse:
https://search.maven.org/#search%7Cgav%7C1%7Cg%3A%22com.floragunn%22%20AND%20a % 3A% 22search-guard-kibana-plugin% 22
Et choisissez la bonne version comme dans elasticsearch, dans ce cas 6.2.3 comme indiqué précédemment précédemment.. Une fois le plugin en notre possession, il est installé.
Une fois le plugin Elasticsearch et Kibana installé, il est nécessaire de générer certains certificats certificats pour exécuter la garde de recherche en production. Pour cela nous Nous téléchargeons téléchargeons un outi outill de générati génération on de certif certificat icat qui nous offre le même chercher garde dans la
adresse
https://search.maven.org/#search%7Cga%7C1%7Ca%3A%22search-guard-tlstool%22 https://search.maven.org/#search%7Cga%7C1%7Ca%3A%22se arch-guard-tlstool%22
Dans ce cas, nous avons choisi de télécharger télécharger le package «search-guard «search-guard-tlstool-tlstool1.1.tar »et procéder à sa décompression. décompression.
De là, avec l'outil, nous générons les certificats en nous appuyant sur le fichier d'exemple "config / example.yml".
Avec cette commande, les certificats et un fichier sont obtenus où le les lignes qui doivent être ajoutées au fichier de configuration elasticsearch "/Etc/elasticsearch/elasticsearch.yml".
Illustration 14 14.-Certificats .-Certificats et fichier fichier de configuration configuration pour pour elasticsearch elasticsearch
24 https://translate.googleusercontent.com/translate_f
30/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Piste 32
15.-Lignes à ajouter Illustration 15.-Lignes ajouter au fichier fichier de configuration configuration elasticsearch. elasticsearch.
La version communautaire du plugin étant installée, elle doit également être ajoutée dans le fichier de configuration elastic elasticsearch search la ligne suivante:
16.-- Désactivation de la version Entrepris Entreprisee de Search Search Guard Guard Illustration 16.
Ensuite, les utilisateurs nécessaires seront générés pour accéder elasticsearch elasticsear ch et kibana. Pour cela, nous accédons au fichier "sg_internal_user "sg_internal_users.yml" s.yml" situé dans le répertoire «/ usr / share / elasticsearch / plugins / search-guard6 / sgconfig ”, comme le montre la figure suivante.
17. Emplacement Illustration 17. Emplacement du fichier "sg_internal_us "sg_internal_users.yml" ers.yml"
Vous devrez modifier le fichier et ajouter les utilisateurs avec les rôles correspondant.. Dans ce travail, nous n'avons modifié que l'utilisateur admin, correspondant changer le mot de passe (générer le hachage avec l'outil de hachage qui est trouvé dans le répertoire "plugin / tool" et lui donnant le rôle d'administrateur d'administrateur..
25
https://translate.googleusercontent.com/translate_f
31/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Piste 33
18.-Admin de l'utilisateur Illustration 18.-Admin l'utilisateur dans Search Guard
Les certificats, préalablement préalablement générés, doivent être copiés dans un dossier où ils peuvent être lus. Dans le travail actuel, ils ont été copiés dans le dossier "/ Usr / share / elasticsearch / certs certs ", ", comme l'indique la figure suivante. Les certificats importants sont le CA, et ceux correspondant à "ljasomar.pem" et "ljasomar.key", puisqu'il s'agit s'agit d'un utilis utilisateur ateur enregis enregistré tré dans elas elasticsearch ticsearch dan danss sa configur configuration. ation.
19.-Certificats nécessaires Illustration 19.-Certificats nécessaires
Depuis le répertoire indiqué dans la figure suivante, nous lançons l'outil "Sgadmin.sh" pour collecter les modifications apportées au fichier "Sg_internal_users.yml" "Sg_internal_u sers.yml" et avoir un utilisateur disponible dans Search Guard qui peut gérer Kibana et Elas Elasticsearch. ticsearch.
20.-sgadmin.sh outil pour générer Illustration 20.-sgadmin.sh générer des des utilisateurs et leurs rôles
Dans la commande, il sera obligatoire d'indiquer l'AC, le certificat et la clé de l'un des utilisateurss existants dans la configuration elastics utilisateur elasticsearch, earch, avec leur mot de passe. La le mot de passe de l'utilisateur ljasomar se trouve dans le dossier où ils se trouvent tous les certificats. Plus précisément dans le fichier "client-certifica "client-certificates.readme". tes.readme".
21.- Commande pour générer Illustration 21.générer des utilisateurs et des des rôles dans dans Search Guard.
26
Piste 34 https://translate.googleusercontent.com/translate_f
32/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
22.-Identifiants du client ljasomar Illustration 22.-Identifiants ljasomar et luismi.
Elastic Stack est désormais sécurisé à l'aide du plugin Search Guard. le Les figures suivantes montrent que l'accès à Elastic est sécurisé.
Illustration 23.-Accès obligatoire à Elasticsearc Elasticsearchh par https et avec des identifiants. 23.-Accès obligatoire
Illustration 24.-Privilèges 24.-Privilèges de l'utilisateur admin admin dans Elasticsearch Elasticsearch après la saisie saisie des informations informations d'identification. d'identification.
La figure suivante montre que l'accès à Kibana n'est plus gratuit, il vous faut entrez des informations d'identificat d'identification ion valides . Si on le désire, peut changer le le logo et textes du page de connexion connexion qui Chercher Garde fournit pour Kibana. Dans le fichier configuration de Elasticsearch je sais peut ajouter des lignes comme la Quoi montrer l'illustrati l'illustration on 27.
25.-Accès à Kibana Illustration 25.-Accès Kibana sécurisé par Search Search Guard. Guard.
27
Piste 35
https://translate.googleusercontent.com/translate_f
33/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
26.-Personnalisation Illustration 26.-Personnalisa tion de la page page de connexion connexion Kibana. Kibana.
Dans l'illustratio l'illustrationn 27 est observé comme l'accès à Kibana à travers Search Guard a été personnalisé placement il nom du l'universitè et placement la indication de Présenter la informations d'identification dans Castillan .
27.-Page .-Page de connexion connexion Kibana Kibana personnalisée. personnalisée. Illustration 27
Enfin, il est essentiel de paramétrer le serveur SIEM à l'heure, afin que les logs sont appropriés au temps réel.
3.4.- Installation du HIDS / IPS - Wazuh [7] Wazuh est un système de détection d'intrusion open source (c'est un fork OSSEC), qui effectue l'analyse du registre, la FIM, la détection des rootkits, les alertes et réponse active (IPS). Wazuh s'intègre parfaitement à Elastic Stack et a des plugins pour pouvoir utiliser d'autres applications intéressantes, telles que "VirusTotal", "OpenScap", etc. Pour installer le Wazuh IDS / IPS, le référentiel wazuh doit être créé, comme le montre la figure suivante.
28
Piste 36
https://translate.googleusercontent.com/translate_f
34/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
28.- Création du Illustration 28.du référentiel référentiel pour wazuh. wazuh.
Une fois le référentiel créé, nous installons wazuh et vérifions que son service fonctionne correctemen correctement.t.
29.-Statut du service Illustration 29.-Statut service wazuh-manager wazuh-manager..
Il est nécessaire d'installer NodeJS pour utiliser l'API Wazuh et pour cela configurera le référentiel et le package sera installé.
Il faut vérifier que "Python" est installé. Avec version de contrôle Nous découvrirons découvrirons s'il est installé. Ce CentOS ntOS 7 est li livré vré avec la vversion ersion 2.7.5 de Python, dans sa version serveur minimale.
Illustration 30.Version Python. Python. 30.- Version
Une fois que nous savons que Python est installé, nous procédons à l'installation l'installation de l'API wazuh.
La figure suivante montre le bon fonctionnement fonctionnement de wazuh-api.
29
Piste 37
https://translate.googleusercontent.com/translate_f
35/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
31.-État du service Illustration 31.-État service API Wazuh. Wazuh.
Pour intégrer Elastic Stack à Wazuh, si les deux applications sont fonctionnant sur le même serveur, il sera nécessaire d'installer Logstash, qui est un Module Elastic Stack.
Dans la https://ra https://raw.gi w.githubusercontent thubusercontent.com/wazuh/waz .com/wazuh/wazuh/3.2/extensi uh/3.2/extensions/logstash/ ons/logstash/0101wazuh-local.conf nous avons une configuration de base de logstash, nous copions le fichier dans "/etc/logstash/conf.d/01-wazuh.conf " " et éditez-le commodément.
URL
32..- Fichier de configuration configuration Logstash, pour pour l'intégration l'intégration avec wazuh. wazuh. Illustration 32
Comme il est obligatoire de se connecter à Elasticsearch à l'aide de SSL, la section "sortie" du fichier, il sera nécessaire de le modifier et de le laisser comme indiqué dans la figure précédente. Il est nécessaire d'ajouter l'utilisateur "logstash" au groupe "ossec", afin que l'utilisateur "Logstash" dispose des privilèges appropriés.
30
Piste 38
Ensuite, le service Logstash est activé pour démarrer automatiq automatiquement uement dans https://translate.googleusercontent.com/translate_f
36/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Le démarrage du serveur SIEM et le service Logstash démarre.
Vous devez charger un modèle JSON fourni par wazuh pour Elasticsearch. Il faut d'abord le télécharger, puis le télécharger sur Elasticsearch. Elasticsear ch. Il est obligatoire de fournir les informations d'identification d'identification d'administrateur générées avec Search Guard, afin de télécharger télécharger le modèle sur Elasticsearch. Elasticsearch.
Illustration 33 33.-Téléchar .-Téléchargement gement et chargemen chargementt du modèle JSON de Wazuh Wazuh pour Elasticsear Elasticsearch. ch.
Il est recommandé d'augmenter le tas de mémoire limite Node.js, pour éviter problèmes de de dépassement de mémoire lorsque nous installons installons l'app l'application lication W Wazuh. azuh.
Une fois Wazuh intégré à Elasticsearch, il reste à l'intégrer à Kibana. Pour Par conséquent, nous installons le plugin wazuh pour Kibana (il doit correspondre au Version Elastic Stack, dans ce travail 6.2.3).
Illustration 34 34.-Plugin .-Plugin Wazuh Wazuh pour pour Kibana.
En accédant à Kibana, nous avons désormais le contrôle et le reporting intégrés dans SIEM Wazuh IDS, comme illustré dans la figure suivante. Pour pouvoir être utilisé, il est essentiel de configurer l'API Wazuh, comme indiqué sur la figure. le les informations d'identification d'identification sont celles de l'administrateur, fournies dans les sections avant la recherche Garde. Le port doit être 55000.
31
Piste 39
https://translate.googleusercontent.com/translate_f
37/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
35.-Wazuh Illustration 35.-W azuh intégré intégré dans Kibana, Kibana, montrant montrant la configuration configuration de l'API Wazuh. Wazuh.
Illustration 36.-API 36.-API Wazuh Wazuh configurée configurée et IDS prêt à être être utilisé.
L'IDS / IPS est prêt à être utilisé, nous devons maintenant installer les agents dans les machines que nous allons contrôler. Comme les machines sont externes au SIEM, il peut donc recevoir des alertes d'entre eux, il est obligatoire d'ouvrir le port 1514 / udp pour la communication entre les agents des machines et du SIEM.
Les agents des machines (Capteurs) pour wazuh sont installés de la même manière, avec lequel dans ce travail nous montrerons l'installation de l'un d'eux. L'agent où l'installation est affichée sera dans le pare-feu «fw.uoc.edu».
32
Piste 40
Pour l'installation de l'agent, la dernière version est téléchargée, téléchargée, selon le système d'exploitation utilisé et installé. Pour le pare-feu, nous télécharger téléchargerons ons le Package RPM 64 bits.
https://translate.googleusercontent.com/translate_f
38/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Ensuite, la machine doit être enregistrée dans le SIEM, via le L'outil "manage_agents" fourni par wazuh, comme indiqué dans le figure suivante.
Nous choisissons choisissons d'ajouter uunn agent (A) et nous fournisso fournissons ns les données du pare-feu.
Illustration 37 37..- Inscription d'un mandataire mandataire au SIEM.
Après avoir enregistré l'agent dans SIEM, il est nécessaire de transférer le Clé générée dans SIEM à l'agent de la machine distante. Dans ce cas le pare-feu fw.ouc.edu.
33
Piste 41
https://translate.googleusercontent.com/translate_f
39/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
38.- Extraction du mot de passe, Illustration 38.passe, en SIEM, SIEM, de la machine machine «fw.ouc.edu» «fw.ouc.edu» pour pouvoir pouvoir y être transféré.
Maintenant à partir de la machine cliente, "fw.ouc.edu", la clé copiée est importée ci-dessus et ajoutez l'agent. Avec l'outil "manage_agents", mais cette fois lancé depuis la machine cliente.
39.-Importation .-Importation de la clé SIEM pour fw.ouc.edu fw.ouc.edu depuis depuis le client. client. Illustration 39
Maintenant il faut sur le client, pointer sur le serveur où se trouve le SIEM, via le fichier «/var/ossec/et «/var/ossec/etc/ossec.conf». c/ossec.conf». L'adresse IP SIEM est saisie.
40.-ossec.conff sur le client, pointant vers le SIEM (192.168.1.50 Illustration 40.-ossec.con (192.168.1.50). ).
3. 4
Piste 42
Enfin, dans le client, nous démarrons le service "ossec-control" et c'est tout a enregistré le pare-feu "fw.uoc.edu" dans SIEM, plus spécifiquement dans IDS Wazuh.
https://translate.googleusercontent.com/translate_f
40/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
41.- Démarrage de l'agent dans Illustration 41.dans le client fw.uo fw.uoc.edu c.edu
Illustration 42. fw.uo fw.uoc.edu c.edu enregistré enregistré à Wazuh Wazuh et actif.
Les autres clients (serveur Web, Radius, Endpoint W10 et Endpoint Linux) sont enregistreraa de la même manière. enregistrer Après l'installation l'installation des agents dans le SIEM, nous avons déjà tous les machines contrôlées par l'IDS.
43.- Machines Illustration 43.Machines clientes contrôlées contrôlées par IDS IDS Wazuh. Wazuh.
35
Piste 43
Pour le moment, IDS est déjà installé avec tous ses agents dans le machines clientes à inspecter. La figure suivante montre la vue main, avec un résumé de ce qui se passe sur tous les ordinateurs inspecté.
https://translate.googleusercontent.com/translate_f
41/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Illustration 44 44..- Vue Vue principale des événements événements de sécurité sécurité dans l'ensemble l'ensemble des machines machines inspectées. inspectées.
3.5.- Installation de beats. [Référence de la plateforme 6-Beats] 3.5.1.-Filebeat [6-Filebeat Reference] 3.5.1.-Filebeat La première étape consiste à télécharger le rythme depuis la machine cliente correspondant,, à titre d'exemple pour ce travail, il sera installé sur le serveur correspondant "Radius.uoc.edu", "Radius.uoc.ed u", afin de pouvoir envoyer les journaux d'authentification au SIEM. Pour la collecte de journaux génériques fournis par un tiers, le beat approprié est Filebeat.
Illustration 45.-Filebeat 45.-Filebeat à télécharge téléchargerr sur radius.uoc.edu. radius.uoc.edu.
Après le téléchargement, Filebeat est installé avec yum ou rpm.
36
Piste 44
Une fois Filebeat installé, il est nécessaire de le configurer pour collecter le journal qui invité et soumis avec succès à elasticsearch elasticsearch.. Le fichier de configuration Filebeat, il se trouve dans «/etc/filebeat/filebeat.yml». Il suffit de réaliser quelques changements dans le "prospecteur", indiquant que le journal collectera les données et faire correspondre la sortie Filebeat à elasticsearch (la connexion est SSL). Il suffira d'activer la section journal et d'indiquer le fichier à partir duquel le fichier bat enverra les journaux à elasticsearc elasticsearch. h. La figure suivante montre les modificatio modifications, ns, collectant événements d'un fichier de rayon appelé "linelog", où tous les authentifications.
https://translate.googleusercontent.com/translate_f
42/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
46.-Configurationn dans la section Illustration 46.-Configuratio section "prospecteurs" "prospecteurs" de filebeat.yml.
Après cette modification, la section "Sortie Elasticsearch" doit être modifiée pour indiquez à Filebeat comment se connecter à Elastic Search. Comme elasticsearch seul prend en charge charge les co connexions nnexions SSL, auparavant auparavant il est nécessair nécessairee d'apporter le le certificat CA Elasticsearch Elasticsear ch pour référence. Dans le présent travail, ce certificat a été copié dans le dossier «/ etc / pki / out / root-ca-pem» root-ca-pem» . .
47.-Configuration -Configuration pour connecter connecter Filebeat Filebeat à elasticsearch elasticsearch via SSL. Illustration 47.
Enfin, le service Filebeat sera levé et le journal de rayon sera envoyé dans temps réel pour elasticsearch elasticsearch..
37
Piste 45
Pour surveiller ces journaux dans le SIEM, cela se fera via Kibana. Pour cela est nécessaire pour créer l'index dans Kibana et les journaux peuvent être surveillés.
Illustration 48 48..- Depuis Kibana Kibana Management, Management, vous pouvez accéder accéder aux modèles modèles d'index. d'index.
https://translate.googleusercontent.com/translate_f
43/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
À partir des modèles d'index, nous allons créer un nouvel index comme indiqué ci-dessous figure.
Illustration 49 49..- Création d'un d'un index dans dans Kibana pour pour filebeat.
Ensuite, un nom d'index sera attribué pour collecter tous ces documents (enregistrements) (enregistrements) commençant par le modèle Filebeat-6.2.3- *.
50..- Attribution des des noms d'index. d'index. Illustration 50
38
Piste 46
Il est indiqué que le filtrage se fait en fonction de la variable de "@timestamp" et du indice.
Illustration 51 51.-Création .-Création de l'index selon le modèle filebeat-6.2.3filebeat-6.2.3- *
https://translate.googleusercontent.com/translate_f
44/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Par la suite, l'index créé avec les champs et leur caractéristiques. caractérist iques. Dans la figure suivante, vous pouvez voir les champs qui sont ont envoyé du journal de rayon (linelog).
Illustration 52 52..- Index créé créé avec les champs champs attribués. attribués.
Cette même configuration sera effectuée avec le pare-feu pour surveiller le refus produits par elle. 3.5.2 Metricbeat [6-Metricbeat Reference] Metricbeat est un agent Elastic Stack installé sur les serveurs pour collecter des métriques du système d'exploitation et des services en cours d'exécution sur le serveur. Dans ce travail, il sera installé sur le serveur Web, à titre d'exemple. Vous commencez par télécharger l'agent metricbeats puis installez-le et configurez-le sur l'ordinateur client. Dans ce cas sur le serveur Web.
39
Piste 47
Illustration 53.Télécharger metricbeat metricbeat 6.2.3. 53.- Télécharger
Metricbeat est installé.
Une fois installé, il est configuré. Le fichier de configuration est trouvé dans «/etc/metricbeat/metricbeat.yml ». ». La section de Kibana, pour charger automatiquement automatiquement les tableaux de bord apportés par metricbeats.
https://translate.googleusercontent.com/translate_f
45/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
54.- Configuration Illustration 54.Configuration pour charger charger les tableaux de bord dans dans Kibana. Kibana.
La sortie Metricbeat doit être configurée pour se connecter via SSL avec elasticsearch.
Illustration 55.Configuration pour se connecter connecter à elasticsear elasticsearch ch par SSL. SSL. 55.- Configuration
Pour finir la configuration nous activerons les modules correspondant à "Apache" et "MySQL", afin que les métriques de ces services soient collectées, en plus de la métrique système déjà activée par défaut. À partir de dossier "/etc/metricbeat/modules.d", renommez simplement le module "****. Yml.disable " Yml.disable " à "****. Yml " " pour tout module que nous voulons activer.
Illustration 56 56..- Activation des des modules apache apache et MySQL. MySQL.
40
Piste 48
Avec la commande " Metricbeat " Metricbeat setup –dashboards –dashboards " " nous allons charger les les tableaux de bord dans Kibana.
57. Commande de chargement Illustration 57. chargement des tableaux de de bord metricbeat dans dans Kibana.
Enfin, nous allons démarrer le service
Une fois les tableaux de bord installés par metricbeat, la figure suivante montre ceux qui ont été laissés en raison de leur importance (Apache, MySQL et System). Il a a quitté le tableau de bord Windows, pour surveiller EndPoint par Metricbeat W10.
https://translate.googleusercontent.com/translate_f
46/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
58.-Tableaux Illustration 58.-Ta bleaux de bord chargés chargés dans dans Kibana par metricbeats. metricbeats.
3.6.- Alertes. Sentinl. Pour réaliser un système d'alertes entièrement intégré avec Elastic Stack, Vous avez utilisé le plugin Sentinl 6. Ce plugin fournit des fonctionnalités de alertes, surveillance et rapports. Son installation est similaire à toutes les installations du plugin Elastic Stack. Une fois qu'il se trouve dans le répertoire où ils sont exécutés les plugins Kibana, nous exécutons l'ordre de téléchargement téléchargement et installation.
41
Piste 49
59.- Installation du Illustration 59.du plugin Sentinl. Sentinl.
Une fois le plugin installé, il est nécessaire d'accéder au fichier Configuration de Kibana "/etc/kibana/kibana.yml" "/etc/kibana/kibana.yml" et ajoutez les lignes de code nécessaire à la fin de ce fichier, comme indiqué dans la figure suivante. Plus tard, le service Kibana est redémarré et le Fonctionnalitéé d'alertes et de rapports «Sentinl» dans Kibana. Fonctionnalit
https://translate.googleusercontent.com/translate_f
47/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM Illustration 60.60.- Sentinl intégré intégré à Kibana. Kibana.
61.-Code de configuration pour Sentinl Illustration 61.-Code Sentinl dans Kibana
3.7.-Tests avec capteurs. Cas d'utilisation 3.7.1- Wazuh IDS / IPS [7-Manuel de l'utilisateur] Wazuh est un IDS / IPS qui s'intègre parfaitement à Elastic Stack. Dans le Cet article étudiera uniquement la partie IDS en raison de la charge de travail. Les actions post-alerte est un module qui a wazuh et entre autres
42
Piste 50
peut conduire conduire à un déni ddee service d'une ressource en fonction de ssaa gravité de l'alerte. Par exemple, via iptables. 3.7.1.1-V 3.7.1.1-Vue ue d'ensemble IDS / IPS
Wazuh a un aperçu où il montre le résumé de l'évolution de la alertes de sécurité, le nombre d'alertes reçues, le nombre d'alertes grave, le nombre d'authentifications réussies dans un temps donné. De plus, il présente des tableaux avec l'évolution des alertes, le numéro d'alerte par agent, leur statut et enfin un résumé des aalertes lertes indiquant le niveau de gravité et les heures de déclenchement, et un résumé groupes d'alerte. Tout cela est montré dans la figure suivante (illustration 62). Vous pouvez voir l'aperçu de tous les agents ou vous pouvez également voir cette vue récapitulative, pour chacun des agents individuellem individuellement. ent. En réalité, toutes les vues wazuh peuvent référencer tous les agents globalement ou nous pouvons cibler chaque agent individuellement comme le montre l'illustration 63.
https://translate.googleusercontent.com/translate_f
48/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Illustration 62 62..- Vue générale (résumé) (résumé) de tous tous les agents agents
43
Piste 51
Illustration 63.de l'agent Web. Web. 63.- Vue générale de
https://translate.googleusercontent.com/translate_f
49/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
3.7.1.2-FIM. Surveillance de l'intégrité des fichiers
Wazhu dispose d'un scanner (syscheck) qui vérifie périodiquement si le les fichiers, de certains répertoires choisis dans la configuration, ont été créés, supprimés ou modifiés. Ces répertoires peuvent être analysés tous les certaine heure, avec une périodicité ajustée par l'administrateur ou vérifiée temps réel.
64.-Surveillancee FIM sur serveur Illustration 64.-Surveillanc serveur Web. Web.
Dans la figure 64, il regarder la création, modification et effacement ultérieur de fichier "fim.html" dans il annuaire "/ Var / www / html / web" Quoi ce configuré pour alerte à temps réel et le prochain figure le SIEM afficher les changements fait dans ledit fichier.
Il y a une application dans wazuh, avec laquelle, via une "api", vous pouvez connecter le FIM avec l'application dans le cloud "Virustotal", "Virustotal", qui en plus de suivre l'évolution de
44
Piste 52
fichier, après le même je l'examinerais pour vérifier que non virus. 3.7.1.3-Suivi des politiques de sécurité. Audit d'équipement.
La surveillance des politiques effectue un audit des politiques de sécurité du différents différen ts serveurs et indique les faiblesses à corriger en fonction des Système CIS pour le système d'exploitation de chaque serveur. Dans la figure suivante, on peut voir que plusieurs serveurs ne sont pas conformes les exigences du CIS et indiquer à quelle section ils ne se conforment pas. Par exemple, notez que l'outil de sécurité n'est pas activé sur le serveur Web SELinux et que plus de 4 erreurs d'accès sont autorisées sur plusieurs serveur serveurss via SSH, etc.
https://translate.googleusercontent.com/translate_f
50/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
65.- Audit de tous Illustration 65.tous les serveurs connectés.
Quatre cinq
Piste 53
66.- Graphique Illustration 66.Graphique des violations violations de la politique politique de sécurité sécurité dans les machines surveillées. surveillées.
La figure ci-dessus présente un graphique de tous les équipements surveillés par le SIEM, avec le nombre d'alertes pour non-respect de la norme CIS.
La présente alertes du se peut voirfigure dans suivante la deuxième ligneun durésumé résumédes de l'alerte, queserveur le webWeb. a été Ilattaqué avec succès.
https://translate.googleusercontent.com/translate_f
51/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
67.-Résumé des alertes et problèmes Illustration 67.-Résumé problèmes de l'audit. audit.
46
Piste 54
3.7.1.4-Surveillance des virus. VirusTotal. VirusTotal.
Wazuh dispose d'un système d'intégration tiers pour, par exemple, analyser fichiers avec un contenu potentiellement malveillant (virus). (virus). C'est le cas de l'intégration avec VirusTotal. VirusTotal est une application puissante composée de plusieurs produits antivirus capables d'analyser les ressources en ligne. Cet outil via son API et avec l'outil IDS FIM Wazuh, ils effectuent une analyse de tous ces fichiers qui ont été créés, modifié, en bref, surveillé l'outil FIM de Wazuh (syscheck). Une fois que lepar système FIM détecte qu'un fichier a été modifié ou créé dans un répertoire spécifié, téléch téléchargez argez la signature du fichier dans l'application en ligne à partir de VirusTotal et est analysé par plus de 60 antivirus en ligne, offrant un résultat fiable du fichier analysé. Le résultat est passé à wazuh et affiché dans l'interface Kibana. Pour intégrer VirusTotal à Wazuh, ajoutez simplement le code indiqué dans le illustration illustrati on 65 dans le fichier «/var/ossec/et «/var/ossec/etc/ossec.conf» c/ossec.conf» dans SIEM.
68.- Intégration de VirusTo Illustration 68.VirusTotal tal à SIEM.
Il faut également indiquer au SIEM, dans le fichier précédent, le répertoire ou répertoires dans lesquels les fichiers pouvant être analysés temps réel.
https://translate.googleusercontent.com/translate_f
52/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM 69.- Répertoire Illustration 69.Répertoire à analyser analyser dans la zone zone syscheck syscheck du fichier SIEM SIEM «ossec.conf». «ossec.conf».
Illustration 70.70.- Surveillance Surveillance des virus, vers, chevaux chevaux de Troie, Troie, etc. etc. via VirusT VirusTotal. otal.
47
Piste 55
Illustration 71.eicar.com.txt, détecté détecté par wazuh wazuh et analysé par 71.- Résultat de l'analyse du fichier eicar.com.txt, VirusTotal.
3.7.2 Temps 3.7.2.1-Intégration des logs du serveur avec Elastic Stack. Filebeat
Grâce à Filebeat, nous avons déplacé le journal d'authentification de radius vers Kibana et nous pouvons surveiller les accès au rayon. La figure ci-dessous montre le afficher de Les accès aux terminaux Fenêtres contre rayon. À travers l'outil tandis que RadTest nous réalisons les authentifications contre le rayon. La figure suivante montre montre la surveillance et contrôle d'accès à le réseau, en visualisant le Connexions contre https://translate.googleusercontent.com/translate_f
53/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
"Radius.uoc.edu", offrant"Radius.uoc.edu", donner très d'informations valeur dont l'utilisateur est connecté n'a pas pu se connecter, le MAC de son équipement, son IP, etc. Un contrôle exhaustif d'un utilisateur ou de son machine, etc.
RadTest. Programme Illustration 72.- RadTest. Programme d'authentification par rapport au rayon.
48
Piste 56
Figure 773. 3. Surveillance Surveillance des utilisateurs utilisateurs connectés connectés au rayon rayon
Le contrôle est possible du trafic passant à travers le pare-feu, fournir un information très de valeur. Ce l'informationn se compose l'informatio du trafic qui était autorisé ou non, le règle qui a agi, qui a généré le trafic et contre qui, Contre quel port, oui était-ce udp ou tcp etc. Il pare-feu iptables, iptables, sans aucune sorte de surveillance dans votre installation, allez à être complètement surveillé dans
recherches en temps réel ou médico-légales, médico-légales, comme tout autre pare-feu commercial haut de gamme, grâce à ses logs générés dans le script du même. La procédure consiste à extraire les logs de chaque règle depuis iptables et puis avec "nxlog", "nxlog", il est converti au format approprié approprié en JSON. An Annexé…. nexé…. Elastic Stack vous permet de filtrer la visualisation par tous les champs affichés dans surveillance,, fenêtre de temps, IP source, IP de destination, port, protocole, surveillance trafic autorisé ou non, etc. La figure suivante montre ces informations.
https://translate.googleusercontent.com/translate_f
54/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Illustration 74.- Surveillanc Surveillancee du trafic dans la fw. fw.
3.7.2.2-Surveillance du système d'équipement et de ses processus. Metricbeat Avec metricbeat, il est possible de surveiller les services et le fonctionnement du un serveur ou un point de terminaison. Le serveur Web exécute "apache" et "mariadb". À Les figures suivantes montrent l'état du serveur Web.
49
Psaumes 57
La figure 75 montre l'état général du serveur La toile, surveillance de l'utilisatio l'utilisationn CPU, mémoire RAM, charge serveur, etc. Si ce serveur a subi une attaque sûrement certains de ces paramètres
Illustration 775.5.- État du système système serveur Web.
je sais verrait fortement modifié et rapidement aurait la preuve d'un problème. L'illustration L'illustrati on 76 montre plus en détail détail le stat statut ut de la système de serveur Web, montrant les processus (prestationss de service) (prestation Quoi courent et votre équilibre de charge.
je sais
Illustration 76.-Métriques 76.-Métriques du du système du serveur Web. Web.
Figure 77, corrige votre attention dans l'un des Les prestations de service montré dans le illustrationn ci-dessus illustratio (MySQL), montranthttps://translate.googleusercontent.com/translate_f
55/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
faire la vitesse de demandes de renseigneme renseignements, nts, rédaction tures, nombre de connexions, etc.
Illustration 77. 77.-Surveillance -Surveillance du service MySQL.
cinquante
Psaumes 58
3.7.3- Alertes. Sentinl Les alertes doivent être générées via le plugin Sentinl doté d'un assistant cela nous aide à les réaliser. Tout d'abord, vous définissez la fréquence à laquelle la existence de l'alerte et son nom selon montrer ce qui suit figure. Dans ce cas c'est une alerte appelée test et je sais examinera tous les 5 minutes. 78.-Génération de l'alerte. Illustration 78.-Génération
Puis un requête où le index à examiner, filtrage par l'un des champs ou l'heure en qui devrait concentrer l'alerte. Graphique 79. L'étape suivante consiste à définir la condition ce qui provoquera l'alerte. Par exemple, un nombre d'événements dans un un certain temps. Graphique 80.
Illustration 79.79.- Section d'entrée entrée Sentinl. Sentinl.
https://translate.googleusercontent.com/translate_f
56/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Illustration 80 80.-Section .-Section de condition Sentinl Sentinl
51
Piste 59
Pour terminer, vous devez indiquer le action à exécuter lorsque déclencher l'alerte. Cela peut être un simple avis dans la section de Alertes du plug-in Sentinl, telles que peut être vu dans la figu figure re 82, un envo envoii email, comme indiqué la configuration de la figure 81 ou même un rapport au format PDF ou PNG.
Illustration 81.-Action 81.-Action après après le déclenchement déclenchement de l'alerte. l'alerte.
Illustration 82 82..- Alerte présentée présentée par Sentinl Sentinl
https://translate.googleusercontent.com/translate_f
57/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
52
Piste 60
4. Conclusions Les systèmes SIEM sont de plus en plus utilisés dans les environnements de sécurité Les informations, cependant, ne sont pas exemptes de complexité de traitement et de coûts des prix économiques élevés, fondamentalement à leur prix sur le marché et la formation humaine ou l'embauche du personnel nécessaire pour conduite. L'idée de ce TFM était de réaliser une solution SIEM open source et de fournir quelques compétences minimales et nécessaires pour commencer à en profiter. De cette forme, les coûts de mise en œuvre du système sont réduits en étant open source et c'est une première impulsion dans sa gestion. Il est vrai que, au départ lors de la planification de ce travail, l'idée de travail c'était un peu plus ambitieux. En plus de ce qui est montré ici, les objectifs couverts une partie des alertes via un outil open source comme «sentinl», qui s'intègre parfaitement à Elastic Stack, mais en raison de la charge de travail du TFM présenté, il n'a pas été possible de le mettre en œuvre. En raison du paragraphe précédent, je ne pourrais pas dire que le produit développé atteint la catégorie SIEM pleinement, mais si elle offre une solution utilisable qui va bien au-delà d'un simple gestionnaire de journaux et cela, sûrement, sûrement, avec un quelques intégrations supplémentaires atteindraient atteindraient complètement la catégorie SIEM. Ce travail peut parfaitement être le début d'un autre travail où vous mesurez les dimensions à la portée est beaucoup plus élevée, mettant en œuvre un bon système d'alerte, établir des règles corrélant différentes sources, même faire un manuel de cas d'utilisation et bonnes pratiques, plus développés que ceux contenus dans le travail présent. D'autres points à développer pourraient concerner la performance et les ressources nécessaire, pour que ce produit fonctionne non seulement dans un laboratoire, mais aussi également dans un environnement de travail réel. Un guide de ressources pourrait être fourni stockage nécessaire, calcul, mémoire, clusters élastiques Stack, etc., pour un fonctionnem fonctionnement ent optimal lorsqu'il est chargé sur le SIEM est plus élevé. La planification du travail a été fidèlement suivie et adéquate jusqu'à ce que les travaux sont entrés dans la phase de mise en œuvre. À partir de maintenant, utilisé plus d'heures / jours que prévu en raison de paramètres incorrects https://translate.googleusercontent.com/translate_f
58/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
cela a dû être corrigé et parce que la mise en œuvre des travaux la pratique avait vraiment besoin de plus d'heures que prévu. Malgré ces les inconvénients ont été très proches de se conformer pleinement à ce qui était prévu. Enfin, vérifiez que les 8 Go de RAM utilisés dans la machine sur laquelle le laboratoire mis en place était insuffisant insuffisant pour héberger 6 machines virtuelles fonctionnant simultanément simultanément et il était nécessaire d'augmenter cette valeur à 16 Go.
53
Piste 61
5. Glossaire API. Interface de programmation d'applications. L'interface de programmation d'application, est un ensemble de sous sous - programmes programmes , , de fonctions et de procédures qui offre certaine bibliothèque certaine bibliothèque à à utiliser par d'autres logiciels comme couche d'abstraction. Menace. Les événements pouvant déclencher un incident dans l'organisation, produisant des dommages matériels ou des pertes pertes immatérielles sur ses ac actifs. tifs. Audit. Processus systématique, indépendant et documenté pour obtenir o btenir le les éléments probants et l'évaluer objectivement afin de déterminer le degré dans lequel les critères définis sont satisfaits. BD BD . . Base de données. CA CA . . Autorité de certification. CIS . . Centre de sécurité Internet. Organisation pour la sécurité Internet. CIS Corréler . Processus de comparaison de différentes sources d'informations, en obtenant Corréler . manière significative à des événements qui, analysés séparément, ne l'auraient pas ou inaperçu. CSRF / XSRF . XSRF . Falsification de demandes intersites. Falsification de pétitions intersites. DMZ . Zone démilitarisée. Zone démilitarisée. DMZ . DNS . . Service de noms de domaine (ou système). Service de nom de domaine. DNS Scanner de vulnérabilité . vulnérabilité . Programme qui analyse un système à la recherche vulnérabilités. Événement de sécurité . sécurité . Occurrence détectée dans l'état d'un système, service ou réseau indiquant une possible violation de la politique de sécurité de l'information, un échec des contrôles ou une situation inconnue à ce jour et qui peut être pertinents pour la sécurité. [UNE-ISO [UNE-ISO / CEI 27000: 2014]. FIM . Surveillance de l'intégration des fichiers. FIM . Pare-feu (FW) . (FW) . Pare-feu. Ver / Ver. Programme conçu pour se copier et se propager à travers des mécanismes de réseau. Ils n'infectent pas d'autres programmes ou fichiers. HIDS . . Système de détection d'intrusion dans un hôte. HIDS HTML . . Langage Signalétique Hyper Text. HTML HTTP. Protocole de transfert hypertexte. Protocole de transfert hypertexte, utilisé généralement dans la navigation Web. HTTPS. Protocole de transfert sécurisé Hyper Text. ICS / SCADA . SCADA . Systèmes de contrôle industriel et supervision de l'acquisition de vos données. IDS . Système de détection d'intrusion. Système de détection d'intrusion. Système dont IDS . Le but est de détecter les intrusions qui ont été faites ou sont en cours. Injection SQL. Type d'attaque sur les sites Web basés sur des bases de données, passant code non autorisé. https://translate.googleusercontent.com/translate_f
59/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
IPS . Système de prévention des intrusions. Système de prévention des intrusions. Sa fonction est IPS . prévenir les incidents avant qu'ils qu'ils ne surviennent. JSON . . Notation d'objets de script Java. Format de texte léger pour l'échange de données . JSON données . Malware . Logiciel malveillant dont l'objectif principal est d'endommager ou d'infiltrer Malware . un système. NAC . . Contrôlez le réseau d'accès. Système qui contrôle l'accès au réseau. NAC NAT . Traduction d'adresses réseau. Conversion d'une adresse IP source et / ou NAT .
54
Piste 62
Destination. Journal . Un journal est un enregistrement des événements qui se produisent dans les systèmes et les réseaux Journal . d'une organisation. [NIST]. OWASP . . Ouvrez le projet de sécurité des applications Web. OWASP Politique de sécurité. Ensemble de lignes directrices incorporées dans un document écrit, qui régir la manière dont une organisation gère et protège les informations et les services que vous considérez comme critique. [CNN-CERT]. Rootkit . C'est un outil utilisé pour cacher les activités illégitimes sur un système. Rootkit . RPM RPM . Gestionnaire de packages Red Hat. Outil de gestion des colis pour GNU ./ Linux. SIEM . Informations de sécurité et gestion des événements. Système qui permet de stocker le SIEM . journaux de différentes différentes sources en toute sécurité et les les corréler en extrayant informations qui pourraient passer inaperçues si les différentes sources de informations séparément. SMTP . Protocole de transfert de courrier simple. Protocole de transfert de courrier simple, SMTP . utilisé pour envoyer des e-mails. SNMP . . Protocole de gestion de réseau unique. Protocole de gestion de réseau standard. SNMP SOC . Centre des opérations de sécurité. Centre des opérations de sécurité. SOC . SPAM . Courrier poubelle. Informations non sollicitées, généralement de nature publicitaire, SPAM . qui peuvent être reçus par différents moyens tels que le courrier électronique, les forums, etc. SQL . Langage de requêtes structurées. SQL . SSL . . Secure Sockets Layer. Protocole de chiffrement qui permet l'échange sécurisé de SSL informations entre deux extrêmes, prédécesseur de TLS. TCP / IP . IP . Protocole de contrôle de transmission / protocole Internet. TLS . Sécurité de la couche de transport. Protocole de chiffrement qui permet l'échange sécurisé de TLS . information entre deux extrêmes. Trojan . code nuisible avec l'apparence d'un programme inoffensif qui, lorsqu'il est exécuté Trojan . Donne à l'attaquant un accès à distance à l'ordinateur infecté, généralement en installant un porte de derrière. [CCN-CER [CCN-CERT]. T]. UDP . Protocole de datagramme utilisateur. Protocole de datagramme utilisateur. UDP . utilisateur. URL . . Localisateur de ressources uniformes. URL Virus . Programme conçu pour se copier avec l'intention d'infecter Virus . d'autres programmes ou fichiers. [CCN-STIC-430: 2006]. VLAN . Réseau local virtuel. VLAN . Vulnérabilité . Faiblesse qui peut être exploitée par une menace. Vulnérabilité . WAF AF . . Firewall d'applications Web. Firewall d'applications Web. Web. XML . . Langage de balisage étendu. XML XSS . Scripts intersites. Création de scripts intersites. XSS .
https://translate.googleusercontent.com/translate_f
60/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
55
Piste 63
6. Bibliographie [1] David R. Miller, Shon Harris, Allen A. Harper, Stephen VanDyke, Chris Blask. (2011). Implémentation de la gestion des informations de sécurité et des événements (SIEM). New York: York: Mc Graw Hill. [2] Kelly M. Kavanagh, Toby Bussa. (2017). Magic Quadrant pour la sécurité Gestion des informations et des événements. 26 février 2018, à partir du site Gartner La toile: www.gatner.com. www.gatner.com. Consulté le 7 avril 2018. [3] Karen Scarfone. (2018). Comparaison des meilleurs systèmes SIEM du marché. Site Web: https://searchsecurity.techtarget.com/feature/Comparing-the-bestSystèmes SIEM sur le marché. marché. Consulté le 5 avril 2018. [4] Ben Canner. (2018). Les 6 meilleurs fournisseurs de SIEM à surveiller. Site Web: https://solutionsreview.com/security-information-event-management/top-6-siemmontres-vendeurs-2018 montres-ven deurs-2018 /. Consulté le 5 avril 2018. [5] Équipe de sécurité Micro Focus Enterprise, John P. Mello Jr, Jaikumar Vijayan, Paul Brettle. (2017). Gestion des informations et des événements de sécurité (SIEM). Site La toile: https://learn.techbeacon.c https://learn.techbeacon.com/tracks/si om/tracks/siem em.. Consulté le 5 avril 2018. [6] Elastic Stack et documentation produit (2018). Site Web: https://www.elastic.co/guide/index.html . Visité le 5 avril 2018. Visité le 1er mai 2018. [7] Wazuh. Documentation Wazuh 3.x (2018). Site Web: https://documentation.waz umentation.wazuh.com/curre uh.com/current/index.htm nt/index.htmllVisité le 5 avril https://doc 2018. Visité le 1er mai 2018. [8] Search Guard. Rechercher dans la documentation Guard 6 (2016-2017). Site Web: https://doc https://documentation.waz umentation.wazuh.com/curre uh.com/current/index.htm nt/index.htmllVisité le 5 avril 2018. Visité le 28 avril 2018.
https://translate.googleusercontent.com/translate_f
61/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
56
Piste 64
7. annexes 7.1.-Script de pare-feu iptables "fw.sh". #! / bin / bash iptables - F iptables -X # Nous nettoyons la table NAT iptables -t nat - F iptables -t nat -X # Politiques de pare-feu iptables - P INPUT DROP iptables - P OUTPUT ACCEPT iptables - P DROP FORWARD #RÈGLES D'ENTREE iptables -A INPUT - m état - état ESTABLISHED , RELATED - j ACCEPT iptables -A INPUT - i lo - j ACCEPTER iptables -N Rule_1 iptables -A INPUT - i -s enp0s3 192 . 168 . 1 . 15 -p tcp - dport 22 - m état - état NOUVEAU - j Rule_1 iptables -A Rule_1 - j LOG - log-level 4 - log-prefix "allowed" iptables -A Rule_1 - j ACCEPTER iptables -A INPUT - j LOG - préfixe de journal "Denied Rule_End_Input" - niveau de journal 4 # RÈGLES FORWARD iptables -A FORWARD - m état - état ESTABLISHED , RELATED - j ACCEPT iptables -N Rule_2 iptables -A FORWARD - i enp0s3 -s 192 . 168 . 1 . 0 / 24 24 p p tcp - --dport 80 -d 192 . 168 . 2 . 5 - état m état NOUVEAU - j Rule_2 iptables -A Rule_2 - j LOG - log-level 4 - log-prefix "allowed Rule_2" iptables -A Rule_2 - j ACCEPTER iptables -N Rule_3 iptables -A FORWARD - i enp0s3 -s 192 . 168 . 1 . 0 / 24 24 p p tcp - --dport 443 -d 192 . 168 . 2 . 5 - état m état NOUVEAU - j Rule_3 iptables -A Rule_3 - j LOG - log-level 4 - log-prefix "allowed Rule_3" iptables -A Rule_3 - j ACCEPTER iptables -N Rule_4 iptables -A FORWARD - i enp0s3 -s 192 . 168 . 1 . 0 / 24 24 p p udp - --dport 1812 -d 192 . 168 . 2 . 10 - état m état NOUVEAU - j Rule_4 iptables -A Rule_4 - j LOG - log-level 4 - log-prefix "allowed Rule_4" iptables -A Rule_4 - j ACCEPTER iptables -N Rule_5 iptables -A FORWARD - i enp0s3 -s 192 . 168 . 1 . 0 / 24 24 p p udp - --dport 1813 -d 192 . 168 . 2 . 10 - état m état NOUVEAU - j Rule_5 iptables -A Rule_5 - j LOG - log-level 4 - log-prefix "allowed Rule_5" iptables -A Rule_5 - j ACCEPTER iptables -N Rule_6 iptables -A FORWARD - i enp0s3 -s 192 . 168 . 1 . 15 -p tcp - dport 22 -d 192 . 168 . 2 . 10 - état m - état NOUVEAU - j Rule_6 iptables -A Rule_6 - j LOG - log-level 4 - log-prefix "allowed Rule_6" iptables -A Rule_6 - j ACCEPTER iptables -N Rule_7 iptables -A FORWARD - i enp0s3 -s 192 . 168 . 1 . 15 -p tcp - dport 22 -d 192 . 168 . 2 . 5 - état m - état NOUVEAU - j Rule_7 iptables -A Rule_7 - j LOG - log-level 4 - log-prefix "allowed Rule_7" iptables -A Rule_7 - j ACCEPTER
https://translate.googleusercontent.com/translate_f
62/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM iptables -N Rule_8 iptables -A FORWARD - i enp0s3 -s 192 . 168 . 1 . 50 -d 192 . 168 . 2 . 0 / 24 - m état - état NEW - j Regla_8 iptables -A Rule_8 - j LOG - log-level 4 - log-prefix "allowed Rule_8"
57
Piste 65
iptables -A Rule_8 - j ACCEPTER iptables -N Rule_9 iptables -A FORWARD - i enp0s8 -s 192 . 168 . 2 . 0 / 24 -o enp0s3 - m état - état NEW - j Regla_9 iptables -A Rule_9 - j LOG - log-level 4 - log-prefix "allowed Rule_9" iptables -A Rule_9 - j ACCEPTER iptables -A FORWARD - j LOG - préfixe de journal "Refusé End_Forw_Rule" - niveau de journal 4 iptables -t nat -N Rule_100 iptables -t nat -A POSTROUTING -s 192 . 168 . 2 . 0 / 24 , ou enp0s3 ! -d 192 . 168 . 1 . 0 / 24 - j Regla_100 iptables -t nat -A Rule_100 - j LOG - log-level 4 - log-prefix "Internet_Access Rule_100" iptables -t nat -A Rule_100 - j MASQUERADE
7.2.-nxlog fichier de configuration "/etc/nxlog.conf" pour convertir le journal du pare-feu au format JSON. ## Ceci est un exemple de fichier de configuration. Consultez le manuel de référence nxlog sur le ## options de configuration. Il doit être installé localement sous ## / usr / share / doc / nxlog-ce / et et est est également disponible en ligne sur ## http://nxlog.org/docs ####################################### # Directives globales ####################################### Utilisateur nxlog Groupe nxlog
#
LogFile /var/log/nxlog/nxlog.log Informations sur le niveau de journal ####################################### # Modules ####################################### xt e _syslog > Module xm_syslog xt e e nsion nsion > > < / E xt xt e kvp > Module KVPDelimiterr '' KVPDelimite
#
xm_kvp
KVDelimiter = EscapeChar \\ xt e nsion > e nsion > < / E xt xt e json > Module xm_json < / E xt xt e e nsion nsion > > en 1> < Entrée en 1> Module im_file Fichier ' /var/log/iptables.log' SavePos TRUE ReadFromLast TRUE parse_syslog () ; () ; si ($ Message = ~ / ^ (\ S +) (\ S +) IN = (\ S +) OUT = (\ S +)? \ MAC = (\ S +: \ S +: \ S +: \ S +: \ S +: \ S +): (\ S +: \ S +: \ S +: \ S +: \ S +: \ S \ S): 08: 00 SRC = (\ S +) DST = (\ S +) LEN = (\ S +) \ TOS = (\ S +) PREC = (\ S +) TTL = (\ S +) ID = (\ S +) (\ S +)? ? PROTO = (\ S +)? S? P? T? =? (\ D +)? ? D? P? T? =? (\ D +)? \ (. *)? $ /) { $ Action = 1 $; $ Règle = 2 $; $ Source_Zone = 3 $; $ Destination_Zone = 4 $; $ MAC_DST = 5 $; $ MAC_SRC = 6 $; $ IP_Source = 7 $; $ Destination_IP = 8 $; $ Package_Length = 9 $; $ TOS = 10 $;
https://translate.googleusercontent.com/translate_f
63/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM $ PREC = 11 $;
58
Piste 66
$ TTL = 12 $; $ ID = 13 $; $ FRAG = 14 $; $ Protocole = 15 $; $ Source_port = 16 $; $ Destination_port = 17 $; $ reste = 18 $; } supprimer ($ Hostname) Hostname) ; ; supprimer ($ EventTime) ; EventTime) ; EventReceivedTime) ime) ; ; supprimer ($ EventReceivedT SourceModuleName) ; ; supprimer ($ SourceModuleName) supprimer ($ SourceName) SourceName) ; ; SourceModuleType) ype) ; ; supprimer ($ SourceModuleT supprimer ($ SyslogFacilityValue) SyslogFacilityValue) ; ; supprimer ($ SyslogFacility) SyslogFacility) ; ; SyslogFacilityUser) ; ; supprimer ($ SyslogFacilityUser) SyslogSeverityValue) ; ; supprimer ($ SyslogSeverityValue) supprimer ($ SyslogSeverity) SyslogSeverity) ; ; supprimer ($ SeverityValue) SeverityValue) ; ; Severity) ; ; supprimer ($ Severity) supprimer ($ Message) ; Message) ; () ; ; to_json () < / E x ec> < / Entrée > Entrée > Sortie f il et sortie 1> < Sortie f il et sortie 1> Module om_file Fichier " / var / log / iptables" Sortie > < / Sortie > ####################################### # Itinéraires ####################################### Route 1> 1> < Route Chemin in1 = > fileout1 Rout e> < / Rout e>
#
7.3.-Configuration du fichier "linelog" dans radius pour extraire les logs liés au 7.3.-Configuration client et NAS en authentifica authentification. tion. # - * - texte - * # # $ Id: c646da0a05cbdf6e984f79cea c646da0a05cbdf6e984f79cea105de41de4b0528 105de41de4b0528 $ # # Le module "linelog" enregistrera une ligne de texte dans un fichier. # Le nom de fichier et la ligne de texte sont développés dynamiquement. # # Nous vous suggérons FORTEMENT de ne pas utiliser les données du # paquet faisant partie du nom de fichier. # linelog { # # Le fichier dans lequel les journaux iront. # # Si le nom du fichier est "syslog", les messages du journal # allez dans syslog. filename = $ { logdir } // linelog linelog # # La plupart des systèmes de fichiers peuvent utiliser presque toute la gamme d'UTF-8 # personnages. Ceux qui peuvent gérer une gamme limitée devraient # définissez ceci sur "oui". # escape_filenames = non # # Les permissions de style Unix sur le fichier journal. # # Selon la chaîne de format, le fichier journal peut contenir un secret ou
https://translate.googleusercontent.com/translate_f
64/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
59
Piste 67
# informations privées sur les utilisateurs. Conservez les autorisations de fichier comme # restrictif possible. autorisations = 0600 # En cas de journalisation via syslog, la gravité peut être définie ici. # Valeur par défaut sur info. # # La chaîne de format par défaut. format = "Ceci est un message de journal pour% {User-Name}" # Référencez le type de paquet (Access-Accept, etc.) Si ce n'est pas le cas # existe, référence l'entrée "par défaut". reference = "messages.% {% {reply: Packet-Type}: - default}" # Les messages définis ici sont issus de la "référence" # expansion, ci-dessus. # Message d'authentification converti au format JSON messages { { User-Name } \ ", \" 05 Access-Accept = "{\" 01 - Authentification \ ": \" Login \" Login OK \ ", \" 02 - User \ ": \" % { User-Name { NAS-Identifier } \ ", \" 04 - MAC-CLIENT \ ": \" % { Calling-Station-Id { Calling-Station-Id } \ ", \" 03 - IP NAS \ ": \" % { NAS-Identifier { Adresse-IP-encadrée } \ ", \" 06 - SSID \ ": \" \" MISTIC MISTIC \ "}" CLIENT \ ": \" % { Adresse-IP-encadrée Access-Reject = "{\" 01 - Authentification \ ": \" Login \" Login FAIL \ ", \" 02 - User \ ": \" % { User-Name { User-Name } \ ", \" 05 { NAS-Identifier } \ ", \" 04 - MAC-CLIENT \ ": \" % { Calling-Station-Id { Calling-Station-Id } \ ", \" 03 - IP NAS \ ": \" % { NAS-Identifier { Adresse-IP-encadrée } \ ", \" 06 - SSID \ ": \" \" MISTIC MISTIC \ "}" CLIENT \ ": \" % { Adresse-IP-encadrée }
}
https://translate.googleusercontent.com/translate_f
65/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
60
https://translate.googleusercontent.com/translate_f
66/66
View more...
Comments
