33 1 1MB
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Page 1
Avantages et mise en œuvre d'un système SIEM Luis Miguel Jaso Marquina Master en technologies de l'information et sécurité Télécommunications (UOC, URV, UAB). Directeur du TFM: Marco Antonio Lozano Merino Maître de conférences en charge du sujet: Victor Garcia Police Juin 2018
https://translate.googleusercontent.com/translate_f
1/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
je
Page 2
Ce travail est soumis à une licence de Reconnaissance-Non CommercialeNoDerivs 3.0 Espagne par Creative Chambre des communes
https://translate.googleusercontent.com/translate_f
2/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
ii
Page 3
FEUILLE DE TRAVAIL FINALE
Titre de l'œuvre:
Avantages et mise en œuvre d'un système SIEM
Nom de l'auteur: Luis Miguel Jaso Marquina Nom du consultant: Marco Antonio Lozano Merino Nom de la PRA: Police Víctor García Date de livraison (mm / aaaa): 06/2018
Titre:
Master en sécurité de Technologies de l'information et Télécommunications
Zone finale du projet: Projet principal final Langue de travail: espagnol Mots-clés
IT, sécurité, SIEM, HIDS, Elastic Empiler
Résumé des travaux (maximum 250 mots): Avec l'objectif, le contexte de application, méthodologie, résultats et conclusions des travaux. Forte demande des organisations dans le contexte de la sécurité l'informatique, a suscité leur intérêt pour les systèmes SIEM. Il Ce travail montre, d'une part, une approche théorique sur ce qu'un SIEM et ses systèmes les plus populaires ont développé, d'autre part, une approche pratique de la mise en œuvre d'un système SIEM. Ce système est composé d'un série de composants basés sur Open Source, qui décrit leur fonctionnalités et certains cas d'utilisation. Le système implémenté est basé sur l'intégration Elastic Stack (Elasticsearch, Logstash, Kibana et beats) avec d'autres technologies telles que Wazuh (HIDS), Search Guard et Sentinl. Avec la mise en œuvre du système SIEM, la sécurité a été gérée dans: les systèmes fin, un pare-feu, un serveur Web et un serveur NAC. Ils ont tous été surveillé par un HIDS intégré au SIEM (Wazuh). Au CNA et au les pare-feu ont été extraits de leurs journaux bruts et traités pour les intégrer dans notre SIEM, pouvant effectuer un filtrage intelligent en temps réel ou en légal. La sécurité d'accès au SIEM et de la communication avec les capteurs est a été fait via Search Guard, s'intégrant parfaitement à notre SIEM. Enfin, le système d'alerte et de reporting est basé sur la solution ouverte source Sentinl. Ce travail a essayé de montrer que, à partir des composants décrit précédemment, tous Open Source, vous pouvez développer un
https://translate.googleusercontent.com/translate_f
3/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
iii
Page 4
Système SIEM qui offre les fonctionnalités de base nécessaires à la gestion de la sécurité dans une organisation. Résumé (en anglais, 250 mots ou moins): La forte demande de la part des organisations dans le cadre de l'informatique sécurité, a suscité leur intérêt pour les systèmes SIEM. Le présent travail montre, d'une part, une approche théorique sur ce qu'est un SIEM et le plus populaire SIEM et d'autre part, ce travail mène une approche pratique de la mise en place d'un système SIEM. Ce système est composé d'une série de composants basés sur Open Source, dans lesquels ses fonctionnalités et certaines utilisent les cas sont décrits. Le système implémenté est basé sur l'intégration d'Elastic Stack (Elasticsearch, Logstash, Kibana et beats) avec d'autres technologies telles que Wazuh (HIDS), Search Guard et Sentinl. Avec la mise en œuvre du système SIEM, la sécurité a été gérée en: final systèmes, un pare-feu, un serveur Web et un serveur NAC. Tous ont été surveillé par un HIDS intégré au SIEM (Wazuh). En outre, dans le CNA et dans le pare-feu, leurs journaux bruts ont été extraits et traités pour intégrer dans notre SIEM, pouvant effectuer un filtrage intelligent en temps réel ou en mode médico-légal. La sécurité d'accès au SIEM et la communication avec les capteurs ont été réalisés via Search Guard, cela intègre notre SIEM à la perfection. Enfin, le système d'alerte et de reporting est basé sur l'open source Solution Sentinl. Avec ce travail, nous avons essayé de démontrer que, à partir de la description précédente composants, tous Open Source, un système SIEM peut être développé offrant fonctionnalités de base et nécessaires pour la gestion de la sécurité dans une organisation.
iv https://translate.googleusercontent.com/translate_f
4/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Page 5
Indice
1.- Introduction ………………. ……………………………. ……………………… 1 1.1.- Contexte et justification des travaux ……………. …………………… .1 1.2.- Objectifs des travaux ……………………………. …………………… ..1 1.3.- Approche méthodologique …………………………. …………………… .. 2 1.4.- Planification des travaux ………………………. ……………………… 3 1.5.- État de la technique ……………………………………. ……………… ...... 5 1.6.- Ressources …………………………………………. ……………………. 5 2.- Fondements théoriques ……………………………………. ………………… .. 6 2.1.-Concepts théoriques d'un SIEM. Caractéristiques…. ……………… .. 6 2.2.- Architecture des systèmes SIEM …………………. ………………. 8 2.3.- Centre des opérations de sécurité. SOC …………. ……………. dix 2.4.- Comparaison entre différents SIEM …………………. ………… ...... 12 2.5.- Choix, justification et caractéristiques du SIEM à mettre en œuvre ... 17 3.- Développement des travaux pratiques. Implémentation SIEM. ………… ... 18 3.1.- Laboratoire. Objectifs ……………………………………………… .. 18 3.2.- Installation d'Elastic Stack et de son environnement ………………………… .. 20 3.3.- Sécurité SIEM. Search Guard ………………………………… 23 3.4.- Installation du HIDS / IPS. Wazuh ……………………………………… 28 3.5.- Installer Beats ………………………………………………… .. 37 3.6.- Alertes. Sentinl ……………………………………………………… ... 42 3.7.- Essais avec capteurs. Cas d'utilisation ……………………………… 43 4. Conclusions …………… .. ……………………………………………………. 53 5.- Glossaire ……………… .. ……………………………………………………… .. 54 6.- Bibliographie …………… .. ………………………………………………………. 56 7.- Annexes ………………… ... ……………………………………………………… 57
v
https://translate.googleusercontent.com/translate_f
5/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Page 6
Liste des figures Illustration 1.-Architecture logique SIEM ........................................... ............. 8 Illustration 2.- Architecture physique du SIEM. Adaptation de la figure [1-78] ........ 9 Illustration 3.- Workflow d'un SOC .......................................... ...................... 12 Illustration 4.- Le quadrant magique de Gatner pour le SIEM. Décembre 2017 ....... 13 Illustration 5.-Schéma du réseau du laboratoire. ................................................ 19 Illustration 6.-Schéma logique du laboratoire. ................................................. 19 Illustration 7.- Installation du référentiel Elastic Stack. .............................. vingt Illustration 8.- Ceci du service elasticsearch. ................................................. vingt Illustration 9.- Accès http à elasticsearch. .................................................. ... vingt et un Illustration 10.-Introduction de l'IP du serveur pour qu'il puisse être appelé elasticsearch à partir d'autres endroits. .................................................. ......... vingt et un Illustration 11.-Appel à elasticsearch via l'adresse IP du serveur SIEM. .. vingt et un Illustration 12.-Application Web Kibana. .................................................. ..... 2. 3 Illustration 13.- Outil d'extension Elasticsearch. ........................................... 2. 3 Illustration 14.-Certificats et fichier de configuration pour elasticsearch ....... 24 Illustration 15.-Lignes à ajouter au fichier de configuration elasticsearch. .. 25 Illustration 16.- Désactivation de la version Entreprise de Search Guard ................ 25 Illustration 17. Emplacement du fichier «sg_internal_users.yml» ....................... 25 Illustration 18.-Admin de l'utilisateur dans Search Guard ......................................... ..... 26 Illustration 19.-Certificats nécessaires ............................................ ................ 26 Illustration 20.-sgadmin.sh outil pour générer les utilisateurs et leurs rôles ..... 26 Illustration 21.- Commande pour générer des utilisateurs et des rôles dans Search Guard. ...... 26 Illustration 22.-Identifiants du client ljasomar et luismi. ............................... 27 Illustration 23.-Accès obligatoire à Elasticsearch par https et avec des identifiants. .................................................. .................................................. .................... 27 Illustration 24.-Privilèges de l'utilisateur admin dans Elasticsearch après entrez les informations d'identification. .................................................. ................................. 27 Illustration 25.-Accès à Kibana sécurisé par Search Guard. ...................... 27 Illustration 26.-Personnalisation de la page de connexion Kibana. .................... 28 Illustration 27.-Page de connexion Kibana personnalisée. .............................. 28 Illustration 28.- Création du référentiel pour wazuh. ...................................... 29 Illustration 29.-Statut du service wazuh-manager. ................................... 29 Illustration 30.- Version Python. .................................................. ................ 29 Illustration 31.-État du service API Wazuh. ............................................ 30 Illustration 32.- Fichier de configuration Logstash, pour intégration avec wazuh. .................................................. .................................................. ........ 30 Illustration 33.-Téléchargé et chargé le modèle JSON Wazuh pour Elasticsearch. .................................................. ............................................... 31 Illustration 34.-Plugin Wazuh pour Kibana. ................................................. 31 Illustration 35.-Wazuh intégré dans Kibana, montrant la configuration de l'API par Wazuh. .................................................. .................................................. ... 32 Illustration 36.-API Wazuh configurée et IDS prêt à être utilisé. ............ 32 Illustration 37.- Inscription d'un mandataire au SIEM. ......................................... 33 Illustration 38.- Extraction du mot de passe, en SIEM, depuis la machine «fw.ouc.edu» pour pouvoir y être transféré. .................................................. .......... 3. 4 Illustration 39.-Importation de la clé SIEM pour fw.ouc.edu depuis le client. .................................................. .................................................. .................... 3. 4 Illustration 40.-ossec.conf sur le client, pointant vers le SIEM (192.168.1.50). .................................................. .............................................. 3. 4 vu
https://translate.googleusercontent.com/translate_f
6/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Page 7
Illustration 41.- Démarrage de l'agent dans le client fw.uoc.edu ............................... 35 Illustration 42. fw.uoc.edu enregistré à Wazuh et actif. ................................ 35 Illustration 43.- Machines clientes contrôlées par IDS Wazuh. .................. 35 Illustration 44.- Vue principale des événements de sécurité dans l'ensemble de machines inspectées. .................................................. ............................ 36 Illustration 45.-Filebeat à télécharger sur radius.uoc.edu. ................................. 36 Illustration 46.-Configuration dans la section "prospecteurs" de filebeat.yml. .... 37 Illustration 47.-Configuration pour connecter Filebeat à elasticsearch via SSL. .................................................. .................................................. .................... 37 Illustration 48.- Depuis Kibana Management, vous pouvez accéder aux modèles d'index. .. 38 Illustration 49.- Création d'un index dans Kibana pour filebeat. ....................... 38 Illustration 50.- Attribution des noms d'index. ............................................ 38 Illustration 51.-Création de l'index selon le fichier patternbeat-6.2.3- * ................. 39 Illustration 52.- Index créé avec les champs attribués. ............................... 39 Illustration 53.- Télécharger metricbeat 6.2.3. ................................................ 40 Illustration 54.- Configuration pour charger les tableaux de bord dans Kibana. .............. 40 Illustration 55.- Configuration pour se connecter à elasticsearch par SSL. ........ 40 Illustration 56.- Activation des modules apache et MySQL ..................... 40 Illustration 57. Commande de chargement des tableaux de bord metricbeat dans Kibana. .................................................. .................................................. .................... 41 Illustration 58.-Tableaux de bord chargés dans Kibana par metricbeats. ................... 41 Illustration 59.- Installation du plugin Sentinl. .................................................. 42 Illustration 60.- Sentinl intégré à Kibana. .................................................. 42 Illustration 61.-Code de configuration pour Sentinl dans Kibana ...................... 42 Illustration 62.- Vue générale (résumé) de tous les agents ........................ 43 Illustration 63.- Vue générale de l'agent Web. ................................................ 44 Illustration 64.-Surveillance FIM sur serveur Web. ....................................... 44 Illustration 65.- Audit de tous les serveurs connectés. ........................ Quatre cinq Illustration 66.- Graphique des violations de la politique de sécurité machines surveillées. .................................................. .............................. 46 Illustration 67.-Résumé des alertes et problèmes de l'audit. .................... 46 Illustration 68.- Intégration de VirusTotal à SIEM. .......................................... 47 Illustration 69.- Répertoire à analyser dans la zone syscheck du fichier "ossec.conf" du SIEM. .................................................. .................................................. .... 47 Illustration 70.- Surveillance des virus, vers, chevaux de Troie, etc. à travers de VirusTotal. .................................................. .................................................. ... 47 Illustration 71.- Résultat de l'analyse du fichier eicar.com.txt, détecté par wazuh et analysé par VirusTotal. .................................................. ................. 48 Illustration 72.- RadTest. Programme d'authentification par rapport au rayon. .............. 48 Illustration 73. Surveillance des utilisateurs connectés au rayon ........................ 49 Illustration 74.- Surveillance du trafic dans la fw. .......................................... 49 Illustration 75.- État du système serveur Web. ..................................... cinquante Illustration 76.-Métriques du système du serveur Web. ..................................... cinquante Illustration 77.-Surveillance du service MySQL. ......................................... cinquante Illustration 78.-Génération de l'alerte. .................................................. ......... 51 Illustration 79.- Section d'entrée Sentinl. .................................................. ..... 51 Illustration 80.-Section condition Sentinl ........................................... ........ 51 Illustration 81.-Action après le déclenchement de l'alerte. ........................................... 52 Illustration 82.- Alerte affichée par Sentinl .......................................... ........... 52
vii
Page 8 https://translate.googleusercontent.com/translate_f
7/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
1. Introduction 1.1 Contexte et justification des travaux Le mémoire de maîtrise "Avantages et implémentation d'un système SIEM" que j'ai l'intention de développer portera sur un système de sécurité réseau, avec différents composants, dans lesquels le SIEM sera l'orchestrateur du système. Le travail combinera deux sections principales: • Section Recherche: Fondements théoriques du SIEM, caractéristiques, capacités, types de capteurs, fonctionnalités, intégration avec capteurs (IPS, IDP, etc.), sous-traitance du service SOC, besoin du système dans une organisation). Une comparaison sera faite entre les différents systèmes SIEM les plus populaires aujourd'hui et nous finaliserons en choisissant l'un d'entre eux pour pouvoir l'implémenter dans la partie développement. • Section développement: un petit laboratoire sera mis en place (par technologie virtuelle) dans laquelle nous installerons le SIEM choisi et nous intégrerons différents types de capteurs tels que IPS / IDS, NAC, scanner, etc. Des cas d'utilisation (tests) seront réalisés pour analyser ensuite le comportement du SIEM présentant un rapport à propos d'eux. Il tentera d'analyser toutes les caractéristiques du SIEM en testant. La mémoire comprendra un manuel d'installation et configuration de base et cas d'utilisation. Dans ce travail, la partie la plus dédiée sera celle du développement, car c'est la qui a plus de complexité et nécessite plus d'efforts. 1.2 Objectifs des travaux Avec l'achèvement de ce TFM, j'ai l'intention de développer les éléments suivants compétences: Objectifs Generals: 1. Capacité d'analyse et de synthèse de la sécurité d'un système. 2. Connaissance des outils et des tendances technologiques du marché pour sécurité informatique. 3. Capacité à sélectionner, appliquer et intégrer les connaissances techniques et des scientifiques aptes à résoudre des problèmes dans de nouveaux contextes. 4. Capacité à communiquer des informations à des publics spécialisés et non spécialisé de manière claire et sans ambiguïté. 5. Capacité à rédiger de la documentation scientifique. 6. Capacité d'apprentissage autonome en consultant les informations. 7. Aptitude à jouer, présenter et défendre devant les tribunaux université un exercice réalisé individuellement consistant en un projet global pour la sécurité des technologies de l'information et communications à caractère professionnel.
1
Page 9
https://translate.googleusercontent.com/translate_f
8/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Objectifs spécifiques: 1. Connaissance du concept SIEM, de ses capacités et fonctionnalités. 2. Connaissance des différents outils et tendances technologiques du marché des systèmes de sécurité autour d'un SIEM. 3. Aptitude à utiliser des techniques de sécurité de base et des contre-mesures pour prévenir les attaques. 4. Capacité à identifier, évaluer et gérer les principaux risques système dans l'environnement où le SIEM est installé. 5. Capacité d'identifier les vulnérabilités de la vie privée systèmes et capacité à les protéger. 6. Connaissance et utilisation des outils d'administration et protection du réseau et gestion des alertes de sécurité. 7. Aptitude à concevoir, déployer, organiser et gérer des réseaux de communications résidentielles, commerciales ou institutions, assumant la responsabilité de la sécurité du système et protection des données des utilisateurs. 8. Aptitude à concevoir des solutions globales appropriées dans les scénarios complexes qui combinent des techniques et des contre-mesures connues pour prévention, détection et dissuasion des attaques. 9. Connaissance des méthodes d'acquisition et d'analyse des preuves d'un incident de sécurité. Capacité à utiliser SIEM pour la gestion et la résolution des incidents. 10. Connaissance des problèmes de sécurité et de certains de leurs des solutions possibles.
1.3 Approche et méthode suivies Comme expliqué dans une section précédente, le TFM dispose de deux sections. Celui correspondant à "connaitre le SIEM" de manière générique et répond aux questions suivantes: • Qu'est-ce qu'un SIEM? • Quelles fonctionnalités possède-t-il? • Qu'est-ce que cela apporte à une organisation? • Lesquels sont sur le marché aujourd'hui? • Comment peut-il être géré? • Avantages désavantages? • Comment est-il lié aux autres éléments de sécurité d'un réseau? • Quel SIEM convient à notre organisation? •…. Comme on peut le voir, cette section est une œuvre de recherche / apprentissage sur lesquels nous devons nous appuyer, fondamentalement, dans les recherches Web et la bibliographie. L'autre section est celle qui correspond au "savoir faire", bref le travail pratique, la mise en œuvre du système avec l'outil SIEM. dans cette section nous aborderons les points suivants: • Installation du système. • Configuration de celui-ci.
2
Page 10
• Tests. https://translate.googleusercontent.com/translate_f
9/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
• Rapports. Tous ces points seront réalisés de manière pratique dans un environnement de laboratoire virtuel. Ce sera le laboratoire d'essais. Enfin, un manuel sera préparé (il peut s'agir d'un document texte ou vidéotutoriel, etc.) de son fonctionnement. 1.4 Planification du travail J'ai constitué trois groupes pour catégoriser les tâches à effectuer: 1. Phase de conception 1.1. Identification du sujet 1.2. Justification 1.3. Portée du projet 1.4. Identification des objectifs 1.5. Proposition de méthodologie 1.6. Programme 1.7. La planification des ressources 1.8. Présentation du design. 2. Phase de développement. 2.1. Recherche d'informations et recherches sur SIEM et le système. Google. Bibliographie. 2.2. Développement des fondements théoriques. 2.2.1. Introduction. Concepts théoriques d'un SIEM. 2.2.2. Avantages d'un SIEM dans une organisation. 2.2.3. Caractéristiques SIEM. 2.2.4. Architecture de base des systèmes SIEM. Capteurs 2.2.5. Centre des opérations de sécurité. SOC. Externalisation. 2.2.6. Comparaison entre différents SIEM. 2.2.7. Choix, justification et caractéristiques du SIEM à mettre en œuvre dans la phase pratique. 2.3. Développement de travaux pratiques. Laboratoire avec le système SIEM choisi dans le dernier point. 2.3.1. Objectifs du laboratoire. 2.3.2. Installation du système SIEM et de son environnement. 2.3.3. Configuration de base du système SIEM. 2.3.4. Tests avec des capteurs tels que (IDS / IPS, scanners, contrôle de accès, etc.). Alertes d'attaque, journalisation, corrélation de journaux, rapports, etc. 2.3.5. Préparation du manuel d'installation et de configuration. 2.3.6. Rapports sur les tests effectués. 2.3.7. Conclusions sur le système installé. 3. Phase finale 3.1. Préparation du rapport final du mémoire de maîtrise 3.2. Préparation de la présentation / vidéo du projet final du Master. 3.3. Soutenance de la thèse de maîtrise.
3
Page 11
https://translate.googleusercontent.com/translate_f
10/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
4
Page 12
1.5 État de la technique La sécurité du réseau d'une organisation est un point clé à considérer tout point de vue. Aujourd'hui, il existe d'innombrables outils en charge de la gestion de la sécurité (pare-feu, IDS, IPS, NAC, etc.), tous et chacun d'entre eux avec sa propre gestion particulière et s'il faut unir les efforts entre eux. Les SIEM existants intègrent la gestion de tous ces outils, gestion de la sécurité complète du réseau dans une seule interface commun. La plupart des SIEM existants sur le marché ont des similaire (contrôle en temps réel, collecte de journaux, corrélation des mêmes, systèmes d'alerte, rapports, etc.), ce qui peut les différencier sont: leur l'adaptation à l'environnement dans lequel il doit opérer, ses licences (prix, licence open source, etc.), sa gérabilité, son reporting, sa gestion criminalistique, analyse des risques, etc. Les systèmes SIEM sont nés de l'intégration de deux technologies différentes, qui ont été intégrés ces dernières années: • SEM. Gestion des événements de sécurité. Il s'est concentré sur le suivi https://translate.googleusercontent.com/translate_f
11/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
alertes de sécurité en temps réel générées par un pare-feu ou IDS / IPS. • SIM. Il a effectué les mêmes opérations que SEM à la différence que la gestion n'était pas en temps réel, étant en mesure de collecter des informations passées et générer des rapports basés sur celui-ci. 1.6 Ressources Les ressources nécessaires pour réaliser ce mémoire de maîtrise, grosso modo, ils seront: • Navigateur Internet. Google, Bing, etc. • Articles et références bibliographiques sur le présent ouvrage. • Laboratoire virtuel. Hôte Windows 10. Système de virtualisation VirtualBox 5. Machines virtuelles Ubuntu, CentOS 7, etc. • Logiciel SIEM choisi dans la phase théorique. • Système d'enregistrement vidéo. Nimbus et Lightworks 14. • Éditeur de texte Microsoft Word 2016. Feuille de calcul Excel 2016. • Générateur et logiciel d'organigramme - Microsoft Visio.
5
Page 13
2. Fondements théoriques Il devient de plus en plus difficile de faire face aux attaques qui se produisent réseaux informatiques, les systèmes SIEM aident les administrateurs réseau à automatiser ce travail pour permettre la gestion de la sécurité du réseau plus efficace. La demande de systèmes SIEM dans les organisations est une constante les dernières années. Comme l'indique Forecast, dans «Information Security, Worldwide, 2015-2021, 3T17 Update », les ventes de la technologie SIEM ont augmenté de 2001 billions de dollars en 2015 à 2,167 billions de dollars par an 2016. Aujourd'hui, la gestion et le traitement des menaces sont l'un des aspects le plus important à prendre en compte par les organisations modernes, consacrer les ressources nécessaires pour pouvoir répondre à tout incident sécurité qui se pose. Les systèmes SIEM agissent comme un référentiel journalisation des événements réseau liés à la sécurité, utilisés pour surveiller, identifier, documenter et même répondre à de tels incidents Sécurité. Certains des incidents de sécurité sont clairs et votre identification pourrait être simples, mais une grande partie des incidents de sécurité, bien qu'ils puissent être https://translate.googleusercontent.com/translate_f
12/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
évidents, ils selecachent derrière le grand nombre seconde produits dans réseau d'une organisation, et qued'événements sans système par SIEM, ils seraient complètement inaperçu. Les systèmes SIEM sont utilisés pour surveiller, identifier, documenter et même répondre aux incidents de sécurité. [1Introduction] L'une des grandes propriétés d'un système SIEM est la réduction des faux alertes, fréquemment produites, par exemple, via des systèmes de surveillance détection d'intrusion (IDS). Réduire les fausses alertes va de pair du filtrage et de la corrélation des événements de sécurité produits par le SIEM, discriminer avec précision les situations que les capteurs classifient d'incidents de sécurité sans en être un. [1. Introduction] 2.1 Concepts théoriques d'un SIEM. fonctionnalités L'acronyme SIEM vient de l'expression «Security Information and Event Management »(Security Information and Events Manager) et attribué à Gartner Amrit Williams et Nicolett Marcos. Les systèmes SIEM résultent de la convergence de deux technologies différentes [1Introduction]: • SEM (Security Events Manager). Traiter et surveiller événements de sécurité en temps réel, générés dans différents capteurs (FW, IDS, NAC, etc.), les corrèle et est capable de générer des alertes lorsque utilisateur.
6
Page 14
• SIM (Security Information Manager). Tout stocke événements générés par les capteurs qui y sont connectés, mais Contrairement à SEM, le traitement de ces événements se concentre sur la analyse historique, permettant l'analyse médico-légale, la surveillance et Préparation de rapports. Les systèmes SIEM combinent les capacités de ces deux technologies fournir l'ensemble de services suivant: • Collecte et gestion des logs. Capacité des systèmes SIEM à acquérir des données provenant de diverses sources, en particulier les plus importantes ou critiques (FW, IDS, serveurs, applications, etc.) et les stocker dans une base de données données centralisées. Cette base de données effectue initialement une analyse syntaxique des données, en les normalisant, puisque les différents capteurs (éléments sources) envoient les données dans différents formats. Il faut avoir gardez à l'esprit que ces capteurs sont normalement très natures divers (ordinateurs avec différents systèmes d'exploitation, infrastructure réseau telle que commutateurs, routeurs, pare-feu, détection d'intrusion, etc.). Puis le SIEM, normalement, stocke toutes les données standardisées, les organise et applique un politique de rétention pour répondre aux exigences de l'organisation ou la réglementation en vigueur. Ces données sont également utilisées dans le temps réel, pour analyser la santé et la sécurité de ces capteurs et équipements qui Ils font partie de notre organisation et fournissent des données au SIEM. • Conformité à la réglementation en vigueur sur la sécurité des information. Tous les événements générés par les systèmes https://translate.googleusercontent.com/translate_f
13/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
étant collectés sous forme de journaux, ils peuvent être analysés sous des filtres et des règles pour auditer et valider le respect des exigences imposées par l'organisation dans sa politique de sécurité et répondre à ces exigences les exigences de sécurité et celles associées à la réglementation en vigueur. • Capacité médico-légale. Possibilité d'analyser les données et les alertes pour déterminer l'origine des incidents de sécurité et traiter se. • Agrégation et corrélation des événements de sécurité en temps réel. SIEM établit des relations entre différents événements, en étudiant la fréquence des événements, leur calendrier, etc., pour établir le la véracité de l'incident (éliminer les faux positifs) et être capable d'unir tous ces événements et considérez-les comme un seul incident, ce qui facilite votre traitement. Le moteur de corrélation peut prendre en compte des événements autres que recherché pour fournir une photographie plus complète du véritable cause du problème. • Capacité de réponse. Actions réactives. Une fois que le SIEM est capable d'identifier l'incident de sécurité après avoir collecté et adapté les les journaux et les corréler pour être sûr que l'incident est vrai, certains SIEM ont la capacité de réagir automatiquement face à de tels incidents en essayant d'atténuer le problème. Par exemple, Une fois la cause du problème confirmée, nous pourrions éteindre l'embouchure du basculer d'où le problème est généré, si possible et approprié, ou filtrer l'accès à cette adresse IP particulière d'où provient l'incident, etc.
sept
Page 15
• Sécurité sur les ordinateurs clients. Les systèmes SIEM ont la capacité pour surveiller la santé et l'état d'une équipe finale. Par exemple, ils peuvent surveiller l'état des ressources système d'un serveur, d'un bureau ou d'autres, les processus en cours d'exécution, analysent leur vulnérabilités, surveillez l'état de votre antivirus, etc. • Surveillance et alertes de sécurité. Les systèmes SIEM ont la capacité de visualiser, surveiller et gérer tous les événements de Sécurité. Ils sont capables d'analyser automatiquement tous les événements et notifier uniquement ceux qui sont vraiment les plus pertinents. je sais vous devez être conscient de la grande quantité de données fournies par capteurs au système SIEM et celui-ci doit pouvoir alerter uniquement ceux qui sont vraiment significatifs, il s'agit vraiment "Trouvez l'aiguille dans la botte de foin" • Présentation des rapports de sécurité. Capacité de présentation de rapports exécutifs et techniques.
2.2 Architecture des systèmes SIEM [1-Chapitre 5] Un SIEM représente une machine complexe avec plusieurs pièces qui peuvent être caractériser à la fois d'un point de vue logique et physique [1-78]. La figure suivante illustre l'architecture logique d'un système SIEM, avec le fonctionnalités qu'il peut héberger. Ils ne doivent pas être tous fonctionnalités décrites dans tous les SIEM, certains les intègrent tous et d'autres la plupart d'entre eux.
https://translate.googleusercontent.com/translate_f
14/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM Récolte et rétention de journaux
surveillance zation
Corrélation D'événements
SIEM
Alertes dans Temps réel
Une analyse légal
Tableaux de bord
Rapports
Conformité aux politiques Sécurité
Illustration 1.-Architecture logique SIEM
Du point de vue physique, l'ensemble des pièces qui composent le SIEM leur indépendance est plus évidente, l'élément SIEM étant le orchestrateur de l'ensemble du système intégré. SIEM peut être vu du point de vue d'un système de gestion des journaux, auquel des capacités sont ajoutées dans le domaine de la sécurité de l'information.
8
Page 16
Tout d'abord, nous recueillons les journaux de ces appareils intéressants d'un point de vue sécurité, nous ajoutons la possibilité d'analyser, les filtrant et les normalisant, nous préparons des règles qui nous alertent des événements les plus importants pour autant qu'ils remplissent certaines conditions qui ont été précédemment implémentées, nous stockons les journaux avec une politique de rétention adéquate et mis en place un système de visualisation pour surveiller les données stockées dans le SIEM. Capteurs
Pare-feu
IDS / IPS
Commutateurs
Les équipes
Les routeurs
NAC
Terminaux
Récolte de journaux
Filtré et
Alertes de règles
Magasins-
Normalisertion de journaux
mensonge de Journaux
Corrélation
Scanners Vulnera. Une analyse temps réel
Moniteurtion
Une analyse légal
Illustration 2.- Architecture physique du SIEM. Adaptation de la figure [1-78]
Description des parties physiques: • Capteurs: ce sont les équipements de sécurité qui capturent les informations, Il peut s'agir de: routeurs, commutateurs, serveurs, NAC, IDS / IPS, pare-feu et même des applications comme Nmap, OpenVAS, etc. Tout appareil https://translate.googleusercontent.com/translate_f
15/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
qui a à voir avec la sécurité et est capable de générer des journaux (logs), il devrait pouvoir être connecté au SIEM. • Collecte de journaux [1-81]: Il s'agit de la procédure de transfert du enregistre dans SIEM, et il existe essentiellement deux méthodes selon qui est en charge de la tâche de récolte: le capteur «méthode push» ou la "méthode pull" SIEM. Dans la méthode "push", le capteur envoie les enregistrements vers SIEM au moyen d'une méthode (syslog, beats, nxlog, etc.) avec indépendance totale du SIEM, au lieu de cela dans la méthode "pull" il est nécessaire le SIEM pour initier la connexion afin de collecter les enregistrements générés sur le capteur. Par exemple, dans la méthode «push», le SIEM pourrait lire le le capteur enregistre si nécessaire. • Filtrage et normalisation des journaux [1-83]: les enregistrements de différents capteurs et bien sûr de nature différente, adoptez un format qui dépend du même capteur et ce format est généralement très différent pour chaque type de capteur. SIEM devrait normaliser tous les différents formats sont arrivés des différents capteurs pour faciliter leur lire et autoriser les formats standard pour la corrélation ultérieure de événements. Le formulaire unifié au format journal facilite la création règles de corrélation. • Règles de corrélation d'alertes [1-85]: le SIEM doit avoir la capacité de générer des alertes via la visualisation, la messagerie, etc. de tous ceux
9
Page 17
les incidents qui enfreignent les règles de sécurité établies dans le même. Aussi, pour éviter les faux positifs et ne pas générer de fausses alertes qui détournerait notre attention et travaillerait en vain, les alertes devraient être généré par l'association de différents incidents, y compris provenant de différents capteurs, qui garantissent la véracité du se. Par exemple, un échec d'authentification d'une machine contre un serveur peut être dû à une erreur humaine et SIEM ne doit pas ne déclenche aucune alerte, mais si cet échec survient du même machine avec une fréquence de 100 fois par seconde, nous devrions penser qu'il peut s'agir d'une attaque par force brute et du système SIEM devrait alerter de la même chose. • Stockage des journaux [1-89]: pour travailler avec de grands volumes de et être en mesure de leur appliquer une bonne politique de conservation, nous avons besoin d'un entrepôt de bonne taille, qui pourrait être une base de données comme Oracle Database, MySQL, Microsoft SQL, etc., les fichiers texte tels que les fichiers JSON ou les fichiers binaires. En fonction de la le volume des enregistrements stockés peut être intéressant, pour améliorer le performances de stockage et de recherche, en utilisant plusieurs stockage formant des grappes. • Surveillance [1-90]: La phase finale de l'architecture SIEM est la surveillance. Une fois que tous les enregistrements ont été collectés et traités il est nécessaire de pouvoir accéder aux informations stockées (analyse médico-légale), généralement avec des recherches intelligentes, elles doivent également être présentées rapports, graphiques, etc. qui nous donne une idée de l'état actuel du système ou le plus proche. La couche de surveillance SIEM rend nous pouvons visualiser l'état de tous les capteurs en un seul endroit connecté à lui. Enfin, la couche de surveillance nous permet de être capable de développer les règles qui extraient les informations des événements qui sont en cours de traitement. 2.3 Centre des opérations de sécurité. SOC. [5] https://translate.googleusercontent.com/translate_f
16/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Un Security Operations Center (SOC) est une équipe de personnes qui Ils surveillent en permanence les réseaux, les vulnérabilités des équipements, intrusions, ou tout symptôme d'activité anormale, développant le réponses appropriées à ces incidents, au sein d'une organisation. Il La taille de cette équipe dépendra de la taille de l'organisation à superviser. Ce groupe de personnes peut appartenir à l'organisation "Internal SOC", il peut s'agir d'un service externalisé ou même mixte. Les principales raisons pour lesquelles ceux qu'une organisation délègue la gestion de la sécurité à des services externes sont généralement dus à une éventuelle pénurie de ressources techniques et humaines éviter de répondre aux demandes croissantes de protection des données, des systèmes et des applications anti-menaces de plus en plus sophistiquées, tout en assurant conformité réglementaire. Sa mission principale est de parvenir à une meilleure détection des incidents de sécurité, enquêter sur tout ce qui se passe dans notre réseau au niveau de la sécurité et répondre les faiblesses et les incidents qui existent ou surviennent dans une organisation. De plus, un SOC envoie des rapports à l'organisation pour laquelle il gère la sécurité informatique
dix
Page 18
afin que vous n'ayez aucun problème de conformité aux audits de sécurité et respect des réglementations en vigueur. Un SOC doit collecter et analyser les données relatives à la sécurité provenant de différentes sources telles que IDS, pare-feu, applications logicielles, DNS, etc. Ce la photographie s'intègre parfaitement à l'utilisation des systèmes SIEM, pour pouvoir extraire tous ces enregistrements de différents systèmes et appliquer des règles pour générer le Alertes correspondantes en cas d'incidents de sécurité à signaler. Dû à cela, le SOC s'appuie normalement sur un système SIEM pour atteindre ses objectifs. Les SOC utilisent fréquemment des sources d'informations tierces pour pouvoir ainsi les intégrer aux systèmes SIEM, un une analyse plus précise de l'incident. Ces tiers peuvent être les bases de les données sur les menaces, où elles ont été précédemment analysées et fournissent informations véridiques importantes, qui pourraient être d'une grande aide pour les SOC lorsque le temps de gérer les incidents. Le processus pourrait être inversé, de sorte que des menaces inconnues capturés par le SIEM du SOC, pourraient être envoyés à ces systèmes externes pour eux d'analyser. Ces systèmes analyseront les menaces, les évalueront, décider de sa sévérité, et apporter une réponse au SOC sur le se. Sur la base de cette réponse, le SOC doit prendre une décision sur la incident en fonction de sa gravité et en plus, le système externe ajoutera cette menace dans leurs bases de données indiquant la gravité ou l'innocuité de la idem pour une utilisation ultérieure dans toutes les organisations qui en dépendent système externe. Les grands SOC utilisent souvent un système à trois niveaux pour gérer alertes de sécurité générées par un système SIEM. Dans le grand organisations ces niveaux sont occupés par des personnes différentes, Dans les petites organisations, le personnel du SOC peut appartenir à divers https://translate.googleusercontent.com/translate_f
17/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
niveaux en même temps. Les niveaux d'un SOC sont agissent comme suit façon: • Niveau 1. Les analystes de niveau 1 sont chargés de surveiller alertes de sécurité en temps réel et décider si ces alertes sont réelles et s'ils sont suffisamment importants pour être mis à l'échelle au niveau 2, ou par le sinon ils sont si insignifiants qu'ils doivent être fermés immédiatement sans rien entreprendre. • Les analystes de niveau 2 examinent les alertes reçu par le niveau 1 et corréler avec d'autres informations pour vérifier si l'incident de sécurité s'est produit et déterminer le actions possibles après cela. Une partie du travail consiste en évaluer l'impact potentiel de l'incident sur le ressources de l'organisation, déterminant la portée de l'incident, qui est l'impact sur l'organisation, si l'incident doit être priorisé ou non, etc. • Les analystes de niveau 3 sont du personnel expérimenté sécurité dont les responsabilités sont:
Onze
Page 19
o identifier et suivre de manière proactive les activités inhabituelles et les menaces sur le réseau et les éteindre avant les alertes du Acte SIEM. o Travailler avec des analystes de niveau 2 lorsqu'une menace détecté ou causé un incident. Comme on peut le voir, un système SIEM fonctionne le plus important dans un centre des opérations de sécurité.
Capteurs
Alerte SIEM
Analystes Niveau 1 Pare-feu
IDS / IPS
Incident Commutateurs Les routeurs
Les équipes Terminaux
NAC
SIEM
Enquête
Scanners Vulnera.
Analystes de niveau 2
Enquête sur l'incident
Rechercher des menaces inconnues et enquête sur les incidents
Corrélation de SIEM avec
Analystes de niveau 3
source de menace externe Menace BBBD Externe
Illustration 3.- Flux de travail d'un SOC
https://translate.googleusercontent.com/translate_f
18/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
2.4 Comparaison entre différents SIEM Le choix d'un système SIEM est assez compliqué, cela dépend fondamentalement des caractéristiques à contrôler, les cas d'utilisation nécessaire. Les organisations acquièrent souvent des SIEM surchargés, avec tous les caractéristiques et fonctionnalités possibles, souvent annoncées avec "Chants et sirènes" par les vendeurs et non conformes à la besoins de l’organisation. En fait, toutes ces fonctionnalités ajoutent complexité à un produit qui, de par sa nature, est déjà assez complexe en ses modèles les plus basiques.
12
Page 20
Ainsi, le choix d'un SIEM doit répondre aux besoins et attentes de l'organisation, il sera conforme à la taille appropriée de la même en termes de ressources (performances, stockage, etc.), il doit être intégré de la meilleure façon chemin dans l'infrastructure existante, vous aurez besoin d'un outil de recherche de journaux agile et flexible, son système de visualisation et de génération de rapports montrant informations, alertes et rapports en temps réel adaptés à l'organisation (cadres, pour les audits, etc.) et enfin le prix du même. Il existe une variété de systèmes SIEM sur le marché, les plus populaires sont pratiquement en paiement intégral, seuls quelques-uns sont ouverts source et avec des fonctionnalités limitées. Pour effectuer la comparaison des systèmes SIEM, nous utiliserons les systèmes le plus populaire [4], et la première chose que nous allons vous montrer est le Magic Quadrant de Gatner pour les systèmes SIEM, publié le 4 décembre 2017. [2]
Illustration 4.- Le quadrant magique de Gatner pour le SIEM. Déc 2017
https://translate.googleusercontent.com/translate_f
19/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Dans le quadrant précédent, on peut voir que les principaux systèmes SIEM sont QRadar (IBM), Splunk, LogRhythm et McAfee ESM, qui sont également les plus populaire associé à AlientVault, ArcSight et RSA. Dans la comparaison suivante, un nouveau produit Open Source sera ajouté en tant que est ELK qui, bien que ce ne soit pas en soi un SIEM, l'ajout de plugins et configurations, il peut avoir des caractéristiques similaires. [2] [3] [4].
13
Page 21
QRadar QRadar est un SIEM de la société IBM, avec des composants supplémentaires tels que gestion des journaux, surveillance du réseau, gestion et gestion des vulnérabilités risque. avantage
Désavantages
Il s'adapte aux moyennes et grandes organisations. N'intègre pas la surveillance du client final (OS) (points de terminaison), vous avez besoin de plugins tiers. Architecture flexible qui prend en charge divers environnements. Bon moteur de recherche, bien que concurrents Solution disponible en version physique ou virtuelle, comme Splunk et LogRhythm l'améliorent. centralisé ou distribué, il peut aussi être «sur cloud »ou cogéré avec des partenaires IBM QRadar. Possibilité de se connecter à la sécurité SIEM de des tiers. Bon système de surveillance en temps réel et historique.
L'outil de réponse aux incidents (IBM Résilient) n'est pas natif et doit être connecté via à partir de l'outil de connexion tiers. L'octroi de licences est déroutant et complexe.
Cran Splunk est composé de deux composants, la solution Enterprise (le système SIEM) et deux solutions complémentaires premium (Enterprise Security qui analyse cas d'utilisation et Splunk User Behavior Analytics - UBA qui améliore l'analyse de requêtes effectuées dans la version entreprise). avantage
Désavantages
SIEM avec l'addition (UBA) présente un superbe moteur de recherche. Ça pourrait être le meilleur avec LogRhythm. C'est un produit apprécié des clients.
Prix de licence élevé.
Splunk ne propose pas de version Appliance, vous devez installer sur du matériel pris en charge.
Grand parc d'entreprises associées qui facilite mise en œuvre dans les organisations. Il peut coexister avec d'autres systèmes, en utilisant d'autres cas d'utilisation, ouvrant la voie à équipes de sécurité souhaitant ajouter un Solution SIEM à votre environnement où infrastructure centrale et sources d'enregistrement les événements sont déjà en cours.
LogRhythm https://translate.googleusercontent.com/translate_f
20/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
LogRhythm se compose de plusieurs composants qui peuvent fonctionner dans un conjointement sur un appareil ou distribués. avantage
Désavantages
C'est une plateforme solide et évolutive à partir d'un seul périphérique jusqu'aux architectures n-tier. Interface utilisateur puissante qui fournit un solide expérience de surveillance du temps réel. Intègre les activités de réponse automatique et manuel contre les incidents de sécurité Bien adapté aux environnements ICS / SCADA Bon modèle d'implémentation et de support grâce à depuis le service de déploiement central.
Intégration difficile avec des solutions tierces. Apis moins ouverts aux tiers que leurs concurrents. Difficulté de mise à l'échelle pour prendre en charge des volumes de événements très élevés.
14
Page 22
Gestionnaire de sécurité d'entreprise - ESM ESM est le SIEM de McAfee, avec une interface utilisateur Web, des analyses base de données d'événements, capacités de rapport et gérer de manière centralisée les autres composants complémentaires à la solution. avantage
Désavantages
Licence simplifiée pour les différents options, à la fois physiques et virtuelles.
Pire capacité d'analyse avancée, en comparaison avec d'autres concurrents.
Ils sont nativement intégrés à d'autres produits McAffe.
Moins de capacité d'automatisation et d'actions réponse que vos concurrents.
Convient aux environnements ICS / SCADA.
Faibles offres de formation sur le produit. Inquiétude de la part des clients.
Amélioration progressive de la satisfaction client, concernant le produit.
AlientVault AlienVault est introduit sur le marché avec deux offres différentes, Unified Security Management (USM) est une appliance (physique ou virtuelle) et USM Anywhere qui est une solution SaaS dans le cloud. avantage
Désavantages
Ils incluent des capacités de sécurité intégrées, tels que la détection d'actifs, IDS, scanners de sécurité vulnérabilités, etc. Prix du produit inférieur par rapport à leur concurrents.
Différences importantes entre les capacités de les deux produits proposés (appliance et cloud).
Type de licence simple, flexible et facile à utiliser comprendre. Il dispose d'un produit Open Source (OSSIM), avec capacités limitées.
Flux de travail basé sur les rôles, intégration de tickets, prise en charge de plusieurs renseignements et capacités sur les menaces analyses avancées, à la traîne par rapport aux autres concurrents Orienté vers les petites et moyennes organisations.
ArcSight ArcSight Enterprise Security Manager (ESM) est le composant principal du Micro Focus SIEM. ESM fournit une analyse et une surveillance dans le temps réel, recherche, rapports, gestion de cas et flux de travail. avantage
Désavantages
Largement utilisé dans les SOC de grande taille et complexes.
Moment critique pour le produit après avoir été
https://translate.googleusercontent.com/translate_f
21/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM acheté par Micro Focus. possibilité de arrêt ou modifications majeures le même. Personnalisation du connecteur qui permet normalisation d'un large éventail de sources journaux de sécurité. Très flexible pour l'admission de différents cas d'utilisation et très orienté vers l'accomplissement de politiques et réglementations de sécurité en vigueur. L'API permet des intégrations étendues dans Environnements SOC.
Problèmes avec la complexité et les coûts de votre décharge. Des changements se produisent avec l'introduction de nouveaux modules qui peuvent donner comme résultat de la duplication des données.
quinze
Page 23
RSA RSA NetWitness Suite, est un produit Dell, axé sur la détection de menaces en temps réel, réponse aux incidents, analyse médico-légale et cas de utilisation des menaces tirant parti de la capture complète des paquets réseau, événements de sécurité et données de journal, NetFlow et télémétrie à partir des points fin. avantage
Désavantages
Architecture flexible qui s'étend d'un seul périphérique aux implémentations complexes.
Interface utilisateur de base par rapport à leur concurrents. RSA indique que cet aspect est il s'améliorera avec la prochaine version. Faible capacité de gestion des incidents. Les clients doivent souvent acheter un module complémentaire.
Solution adéquate pour la mise en œuvre d'un SOC. Solution unique pour la détection des menaces et surveillance, enquête et réponse événements de sécurité
Capacités d'automatisation et d'orchestration limité.
Pile élastique Elastic Stack est un ensemble de packages qui fonctionnent ensemble, le la plupart d'entre eux sont open source. Il est composé du moteur de recherche, d'un collecteur de données, agents de point de terminaison, système de visualisation X-pack (pas open source), qui est une combinaison d'outils avec différents des fonctions telles que les alertes, la sécurité, les rapports, la surveillance, etc. Elastic Stack est initialement un puissant gestionnaire d'événements, mais en raison de sa la flexibilité peut se rapprocher d'un système SIEM haute capacité. avantage
Désavantages
La plupart de ses composants sont open source. Dans sa forme de base, ce n'est pas un SIEM. Il est modulaire, les composants sont installés avoir besoin.
Un composant intéressant n'est pas encore ouvert source, comme X-pack. Sa libération est annoncée en bref.
Il dispose d'un puissant moteur de recherche (Elastic Chercher).
Rien n'est automatisé, vous devez le faire un même.
Il a des agents qui peuvent être installés dans serveurs ou postes de travail.
Il n'est pas pris en charge, sauf si le produit sous licence par une entreprise telle que logz.io
Plusieurs produits tiers peuvent être connectés. Gartner le présente comme une alternative choisie par un ensemble d'organisations en raison de les prix élevés d'acquisition d'un SIEM et le complexité de tirer la performance de l'ensemble des fonctionnalités pour lesquelles il a été payé
https://translate.googleusercontent.com/translate_f
22/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Tous les produits précédemment évalués sont de bons candidats pour un usage professionnel, ils ont tous de bons collectionneurs d'événements, cependant certains produits ne disposent pas d'agents pour intégrer nativement le des points de terminaison tels que Splunk, McAfee ESM et AlientVault. Tous sauf Élastique Stack a des flux d'informations sur les menaces et ils ont tous un moteur puissant recherche d'événement, mettant en évidence Elastic Stack, Splunk et LogRhythm. Ils sont tous prêts à se conformer aux politiques de sécurité et réglementations en vigueur, à l'exception d'Elastic Search qui devrait être implémentée.
16
Page 24
Certains produits comme AlientVault ne sont pas recommandés pour les organisations très grands. Une maxime dans la plupart de ces produits est leur coût, et la plupart les entreprises optent moins pour le plus adapté à leur organisation mais pour le plus approprié au prix que vous êtes prêt à payer. Il faut que signifie que l'achat d'un système SIEM n'a pas de retour direct sur le l'investissement et l'amortissement ne sont évalués que négativement. Autrement dit, quand il existe un incident et le fait de ne pas avoir acquis l'un de ces systèmes suppose pertes économiques considérables dans l'entreprise. Enfin, nous pouvons déterminer que chaque organisation doit mener à bien ses propre évaluation, en tenant compte non seulement des forces et des faiblesses présentés dans cet ouvrage ou ailleurs, sinon tous les autres aspects de la SIEM qui peut être important pour l'organisation. Parce que chacun L'implémentation SIEM doit adresser un seul ensemble de sources de journal et doit prendre en charge différentes combinaisons d'exigences de déclaration conformité, entre autres variantes, le meilleur système SIEM pour une l'organisation peut ne pas convenir à une autre organisation. 2.5 Choix, justification et caractéristiques du SIEM à mettre en œuvre dans le phase pratique. Après avoir évalué certains des systèmes SIEM les plus populaires existants notre marché, le plus simple et en même temps le plus compliqué en raison de sa prix, serait d'opter pour l'un des produits mentionnés ci-dessus. Parce que le système Elastic Stack est open source dans la plupart de ses composants et, en raison de leur modularité, les composants qui ne sont pas l'open source peut être remplacé par d'autres avec les mêmes fonctionnalités qu'ils sont. De plus, la transformation d'un gestionnaire de journaux, comme Elastic Stack, un système SIEM peut aider lors de la mise en œuvre ou évaluer simplement la mise en œuvre de la même chose à d'autres organisations, j'ai a choisi de choisir le système Elastic Stack comme système SIEM à implémenter dans mon travail. Au départ, seuls les logiciels open source seront utilisés pour atteindre le emploi. Donc, tous ces composants Elastic Stack qui ne sont pas ouverts la source sera supprimée et remplacée par d'autres. En ce moment seul le package Elastic Stack X-pack n'est pas open source, donc il doit être remplacé par un autre ou d'autres offrant les mêmes fonctionnalités, spécifiquement Sentinl. https://translate.googleusercontent.com/translate_f
23/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Parce qu'Elastic Search est un gestionnaire de journaux puissant avec des surveillance de l'alimentation via Kibana, vous devez ajouter un paquet de des tiers pour couvrir certains des besoins importants d'un SIEM, tels que par exemple des alertes, des rapports, des corrélations, etc.
17
Page 25
3.-Développement des travaux pratiques 3.1.- Laboratoire. Objectifs. Le laboratoire a été réalisé à partir d'un PC éducatif Windows 10, avec un Mémoire RAM de 8 Go comme machine hôte de virtualisation. La La virtualisation a été réalisée à l'aide de l'environnement Oracle VirtualBox 5.2.8. L'objectif du laboratoire est d'essayer de mettre en place un SIEM à travers Composant principal d'Elastic Stack, ajout d'applications de sécurité et d'autres composants afin que ses fonctionnalités dépassent le cadre d'un gestionnaire de journaux. Parallèlement à la mise en œuvre, certains cas d'utilisation sont présentés, qui ils peuvent être élargis dans le prolongement du projet final de ce Master. Le laboratoire est composé des composants (serveurs) suivants: ▪ Poste de travail W10. ou Metricbeat. o Agent IDS. ▪ Station de travail Linux. ou Metricbeat. o Agent IDS. ▪ Serveur SIEM o Système d'exploitation Linux CentOS 7. o Elastic Stack (Elasticsearch, Logstash, kibana, beats) ou Recherche sécurisée o IDS / IPS Wazuh ▪ Pare-feu o Serveur CentOS 7 (Iptables). o Agent IDS. ou Filebeats ▪ Serveur Web ou CentOS 7 (Apache 2). o Agent IDS. ou Metricbeat ▪ Serveur Radius ou CentOS 7 (Freeradius 3). o Agent IDS. ou Filebeat L'ensemble du laboratoire, à l'exception de la machine Windows 10, sont des machines https://translate.googleusercontent.com/translate_f
24/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
périphériques virtuels indépendants comme indiqué dans le diagramme de réseau physique.
18
Piste 26
L'INTERNET
.1
0,254
.cinquante
.quinze
.vingt 0,254
FW SIEM
Endpoint W10
Endpoint Linux
.5
serveur Web
.dix
Serveur RADIUS
Illustration 5.-Schéma du réseau du laboratoire.
Le serveur SIEM se compose d'Elastic Stack avec quelques plugins (Safe search) et le IDS / IPS Wazuh qui est un fork de OSSEC HIDS, et s'intègre parfaitement avec Pile élastique. La figure suivante montre le schéma logique du laboratoire, avec le applications et agents installés sur chaque serveur.
Illustration 6.-Schéma logique du laboratoire.
https://translate.googleusercontent.com/translate_f
25/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
19
Page 27
3.2.- Installation d'Elastic Stack et de son environnement [6] 3.2.1.- Installation et configuration d'Elasticsearch. [6-Elasticsearch Reference] Tout d'abord, nous installons le référentiel Elastic Stack pour CentOS 7 comme comme le montre la figure.
Illustration 7.- Installation du référentiel Elastic Stack.
Ensuite, nous installons Elasticsearch.
Il est nécessaire d'avoir le java jdk installé.
Nous activons le service au démarrage, afin qu'il démarre automatiquement lorsque démarrez le serveur.
Enfin, nous démarrons elasticsearch.
Et nous vérifions que le démarrage du service a été correct.
Illustration 8.- Ceci du service elasticsearch.
https://translate.googleusercontent.com/translate_f
26/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Il est également possible qu'elasticsearch fonctionne correctement, Accès via le protocole "http" sur le port "9200".
vingt
Page 28
Illustration 9.- Accès http à elasticsearch.
Dans la figure précédente, vous pouvez voir la version d'elasticsearch et d'autres paramètres. Une fois elasticsearch installé, il est nécessaire d'apporter des modifications à votre configuration dans le fichier "/etc/elasticsearch/elasticsearch.yml" Plus précisément dans la section réseau, il sera nécessaire de changer la variable network.host avec l'adresse IP de la machine sur laquelle se trouve elasticsearch. Alors nous pouvons l'appeler depuis d'autres endroits.
Illustration 10.-Introduction de l'adresse IP du serveur afin qu'elasticsearch puisse être appelé depuis d'autres emplacements.
Ensuite, vous pouvez voir que vous pouvez appeler elasticsearch via de l'adresse IP du serveur, comme illustré dans la figure suivante.
Illustration 11.-Appel à elasticsearch via l'adresse IP du serveur SIEM.
https://translate.googleusercontent.com/translate_f
27/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
vingt et un
Page 29
3.2.2.-Installation de Kibana. [Référence 6-Kibana] Comme nous avons déjà configuré le référentiel Elastic Stack pour installer elasticsearch, kibana est installé directement sur le serveur via le outil "miam".
Nous activons le service kibana au démarrage, pour qu'il démarre automatiquement lorsque le serveur démarre.
Dans le fichier de configuration de kibana «/etc/kibana/kibana.yml», il sera nécessaire changer l'adresse elasticsearch en IP du serveur SIEM. Dans notre cas 192.168.1.50
Et nous allons définir l'adresse 192.168.1.50 comme IP d'appel vers kibana, afin de être accessible à partir d'autres endroits.
Une fois Kibana configuré, nous allons démarrer le service.
Comme pour elasticsearch, il est pratique de vérifier que le Le service Kibana a démarré avec succès.
Il est obligatoire d'autoriser l'accès, depuis le pare-feu SIEM, pour pouvoir accéder à kibana de n'importe quel endroit. Le service Kibana écoute sur le port 5601
https://translate.googleusercontent.com/translate_f
28/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
22
Piste 30
Via un navigateur Web, vous pouvez accéder en utilisant l'URL http://192.168.1.50:5601 sur le site Web de Kibana, comme indiqué ci-dessous figure. Avec l'installation de Elasticsearch et Kibana déjà nous avons dans fonctionnement une directeur de journaux. Clairement ce le gestionnaire de journaux n'a pas pas de record, depuis il n'a pas été connecté aucune source de Les données. Cependant, le but de ceci Illustration 12.-Application Web Kibana. le travail va un peu au-delà de la simple mise en œuvre d'un gestionnaire de données et doit lui fournir d'autres capacités pour ressembler à un SIEM. 3.3.-Sécurité SIEM. Rechercher Guard. [8] Comme SIEM est actuellement (toujours un gestionnaire de journaux), On constate qu'il n'y a aucun type de sécurité. L'accès à kibana est gratuit sachant simplement que l'URL est accessible, la connexion avec elasticsearch ne fonctionne pas non plus il est sous ssl et aussi sans nom d'utilisateur et mot de passe comme Kibana. Search Guard est un plugin elasticsearch, qui assure la sécurité de accès à Kibana, présentant un accès web frontal à kibana avec une page nous devons entrer les informations d'identification. Il fournit également la sécurité pour elasticsearch, forçant l'accès via ssl et avec des informations d'identification. Dans le répertoire "/ usr / share / elasticsearch / bin" se trouve le binaire à installer les plugins "elasticsearch-plugin"
Illustration 13.- Outil d'extension Elasticsearch.
Depuis le répertoire "usr / share / elasticsearch / bin" il faudra écrire le commande suivante, en notant que la version du plugin doit correspondre à version d'elasticsearch. Dans ce cas, la version d'elasticsearch est la 6.2.3.
https://translate.googleusercontent.com/translate_f
29/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
2. 3
Piste 31
Pour installer le plugin Search Guard pour Kibana, nous devons télécharger le version correct de la Suivant
adresse:
https://search.maven.org/#search%7Cgav%7C1%7Cg%3A%22com.floragunn%22%20AND%20a % 3A% 22search-guard-kibana-plugin% 22
Et choisissez la bonne version comme dans elasticsearch, dans ce cas 6.2.3 comme indiqué précédemment. Une fois le plugin en notre possession, il est installé.
Une fois le plugin Elasticsearch et Kibana installé, il est nécessaire de générer certains certificats pour exécuter la garde de recherche en production. Pour cela nous Nous téléchargeons un outil de génération de certificat qui nous offre le même chercher garde dans la
adresse
https://search.maven.org/#search%7Cga%7C1%7Ca%3A%22search-guard-tlstool%22
Dans ce cas, nous avons choisi de télécharger le package «search-guard-tlstool1.1.tar »et procéder à sa décompression.
De là, avec l'outil, nous générons les certificats en nous appuyant sur le fichier d'exemple "config / example.yml".
Avec cette commande, les certificats et un fichier sont obtenus où le les lignes qui doivent être ajoutées au fichier de configuration elasticsearch "/Etc/elasticsearch/elasticsearch.yml".
Illustration 14.-Certificats et fichier de configuration pour elasticsearch
24
https://translate.googleusercontent.com/translate_f
30/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Piste 32
Illustration 15.-Lignes à ajouter au fichier de configuration elasticsearch.
La version communautaire du plugin étant installée, elle doit également être ajoutée dans le fichier de configuration elasticsearch la ligne suivante:
Illustration 16.- Désactivation de la version Entreprise de Search Guard
Ensuite, les utilisateurs nécessaires seront générés pour accéder elasticsearch et kibana. Pour cela, nous accédons au fichier "sg_internal_users.yml" situé dans le répertoire «/ usr / share / elasticsearch / plugins / search-guard6 / sgconfig ”, comme le montre la figure suivante.
Illustration 17. Emplacement du fichier "sg_internal_users.yml"
Vous devrez modifier le fichier et ajouter les utilisateurs avec les rôles correspondant. Dans ce travail, nous n'avons modifié que l'utilisateur admin, changer le mot de passe (générer le hachage avec l'outil de hachage qui est trouvé dans le répertoire "plugin / tool" et lui donnant le rôle d'administrateur.
25
https://translate.googleusercontent.com/translate_f
31/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Piste 33
Illustration 18.-Admin de l'utilisateur dans Search Guard
Les certificats, préalablement générés, doivent être copiés dans un dossier où ils peuvent être lus. Dans le travail actuel, ils ont été copiés dans le dossier "/ Usr / share / elasticsearch / certs ", comme l'indique la figure suivante. Les certificats importants sont le CA, et ceux correspondant à "ljasomar.pem" et "ljasomar.key", puisqu'il s'agit d'un utilisateur enregistré dans elasticsearch dans sa configuration.
Illustration 19.-Certificats nécessaires
Depuis le répertoire indiqué dans la figure suivante, nous lançons l'outil "Sgadmin.sh" pour collecter les modifications apportées au fichier "Sg_internal_users.yml" et avoir un utilisateur disponible dans Search Guard qui peut gérer Kibana et Elasticsearch.
Illustration 20.-sgadmin.sh outil pour générer des utilisateurs et leurs rôles
Dans la commande, il sera obligatoire d'indiquer l'AC, le certificat et la clé de l'un des utilisateurs existants dans la configuration elasticsearch, avec leur mot de passe. La le mot de passe de l'utilisateur ljasomar se trouve dans le dossier où ils se trouvent tous les certificats. Plus précisément dans le fichier "client-certificates.readme".
Illustration 21.- Commande pour générer des utilisateurs et des rôles dans Search Guard.
26
Piste 34 https://translate.googleusercontent.com/translate_f
32/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Illustration 22.-Identifiants du client ljasomar et luismi.
Elastic Stack est désormais sécurisé à l'aide du plugin Search Guard. le Les figures suivantes montrent que l'accès à Elastic est sécurisé.
Illustration 23.-Accès obligatoire à Elasticsearch par https et avec des identifiants.
Illustration 24.-Privilèges de l'utilisateur admin dans Elasticsearch après la saisie des informations d'identification.
La figure suivante montre que l'accès à Kibana n'est plus gratuit, il vous faut entrez des informations d'identification valides . Si on le désire, peut changer le logo et textes du page de connexion qui Chercher Garde fournit pour Kibana. Dans le fichier configuration de Elasticsearch je sais peut ajouter des lignes comme la Quoi montrer l'illustration 27.
Illustration 25.-Accès à Kibana sécurisé par Search Guard.
27
Piste 35
https://translate.googleusercontent.com/translate_f
33/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Illustration 26.-Personnalisation de la page de connexion Kibana.
Dans l'illustration 27 est observé comme l'accès à Kibana à travers Search Guard a été personnalisé placement il nom du l'universitè et placement la indication de Présenter la informations d'identification dans Castillan .
Illustration 27.-Page de connexion Kibana personnalisée.
Enfin, il est essentiel de paramétrer le serveur SIEM à l'heure, afin que les logs sont appropriés au temps réel.
3.4.- Installation du HIDS / IPS - Wazuh [7] Wazuh est un système de détection d'intrusion open source (c'est un fork OSSEC), qui effectue l'analyse du registre, la FIM, la détection des rootkits, les alertes et réponse active (IPS). Wazuh s'intègre parfaitement à Elastic Stack et a des plugins pour pouvoir utiliser d'autres applications intéressantes, telles que "VirusTotal", "OpenScap", etc. Pour installer le Wazuh IDS / IPS, le référentiel wazuh doit être créé, comme le montre la figure suivante.
28
Piste 36
https://translate.googleusercontent.com/translate_f
34/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Illustration 28.- Création du référentiel pour wazuh.
Une fois le référentiel créé, nous installons wazuh et vérifions que son service fonctionne correctement.
Illustration 29.-Statut du service wazuh-manager.
Il est nécessaire d'installer NodeJS pour utiliser l'API Wazuh et pour cela configurera le référentiel et le package sera installé.
Il faut vérifier que "Python" est installé. Avec version de contrôle Nous découvrirons s'il est installé. CentOS 7 est livré avec la version 2.7.5 de Python, dans sa version serveur minimale.
Illustration 30.- Version Python.
Une fois que nous savons que Python est installé, nous procédons à l'installation de l'API wazuh.
La figure suivante montre le bon fonctionnement de wazuh-api.
29
Piste 37
https://translate.googleusercontent.com/translate_f
35/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Illustration 31.-État du service API Wazuh.
Pour intégrer Elastic Stack à Wazuh, si les deux applications sont fonctionnant sur le même serveur, il sera nécessaire d'installer Logstash, qui est un Module Elastic Stack.
Dans la https://raw.githubusercontent.com/wazuh/wazuh/3.2/extensions/logstash/01wazuh-local.conf nous avons une configuration de base de logstash, nous copions le fichier dans "/etc/logstash/conf.d/01-wazuh.conf " et éditez-le commodément.
URL
Illustration 32.- Fichier de configuration Logstash, pour l'intégration avec wazuh.
Comme il est obligatoire de se connecter à Elasticsearch à l'aide de SSL, la section "sortie" du fichier, il sera nécessaire de le modifier et de le laisser comme indiqué dans la figure précédente. Il est nécessaire d'ajouter l'utilisateur "logstash" au groupe "ossec", afin que l'utilisateur "Logstash" dispose des privilèges appropriés.
30
Piste 38
Ensuite, le service Logstash est activé pour démarrer automatiquement dans https://translate.googleusercontent.com/translate_f
36/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Le démarrage du serveur SIEM et le service Logstash démarre.
Vous devez charger un modèle JSON fourni par wazuh pour Elasticsearch. Il faut d'abord le télécharger, puis le télécharger sur Elasticsearch. Il est obligatoire de fournir les informations d'identification d'administrateur générées avec Search Guard, afin de télécharger le modèle sur Elasticsearch.
Illustration 33.-Téléchargement et chargement du modèle JSON de Wazuh pour Elasticsearch.
Il est recommandé d'augmenter le tas de mémoire limite Node.js, pour éviter problèmes de dépassement de mémoire lorsque nous installons l'application Wazuh.
Une fois Wazuh intégré à Elasticsearch, il reste à l'intégrer à Kibana. Pour Par conséquent, nous installons le plugin wazuh pour Kibana (il doit correspondre au Version Elastic Stack, dans ce travail 6.2.3).
Illustration 34.-Plugin Wazuh pour Kibana.
En accédant à Kibana, nous avons désormais le contrôle et le reporting intégrés dans SIEM Wazuh IDS, comme illustré dans la figure suivante. Pour pouvoir être utilisé, il est essentiel de configurer l'API Wazuh, comme indiqué sur la figure. le les informations d'identification sont celles de l'administrateur, fournies dans les sections avant la recherche Garde. Le port doit être 55000.
31
Piste 39
https://translate.googleusercontent.com/translate_f
37/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Illustration 35.-Wazuh intégré dans Kibana, montrant la configuration de l'API Wazuh.
Illustration 36.-API Wazuh configurée et IDS prêt à être utilisé.
L'IDS / IPS est prêt à être utilisé, nous devons maintenant installer les agents dans les machines que nous allons contrôler. Comme les machines sont externes au SIEM, il peut donc recevoir des alertes d'entre eux, il est obligatoire d'ouvrir le port 1514 / udp pour la communication entre les agents des machines et du SIEM.
Les agents des machines (Capteurs) pour wazuh sont installés de la même manière, avec lequel dans ce travail nous montrerons l'installation de l'un d'eux. L'agent où l'installation est affichée sera dans le pare-feu «fw.uoc.edu».
32
Piste 40
Pour l'installation de l'agent, la dernière version est téléchargée, selon le système d'exploitation utilisé et installé. Pour le pare-feu, nous téléchargerons le Package RPM 64 bits.
https://translate.googleusercontent.com/translate_f
38/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Ensuite, la machine doit être enregistrée dans le SIEM, via le L'outil "manage_agents" fourni par wazuh, comme indiqué dans le figure suivante.
Nous choisissons d'ajouter un agent (A) et nous fournissons les données du pare-feu.
Illustration 37.- Inscription d'un mandataire au SIEM.
Après avoir enregistré l'agent dans SIEM, il est nécessaire de transférer le Clé générée dans SIEM à l'agent de la machine distante. Dans ce cas le pare-feu fw.ouc.edu.
33
Piste 41
https://translate.googleusercontent.com/translate_f
39/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Illustration 38.- Extraction du mot de passe, en SIEM, de la machine «fw.ouc.edu» pour pouvoir y être transféré.
Maintenant à partir de la machine cliente, "fw.ouc.edu", la clé copiée est importée ci-dessus et ajoutez l'agent. Avec l'outil "manage_agents", mais cette fois lancé depuis la machine cliente.
Illustration 39.-Importation de la clé SIEM pour fw.ouc.edu depuis le client.
Maintenant il faut sur le client, pointer sur le serveur où se trouve le SIEM, via le fichier «/var/ossec/etc/ossec.conf». L'adresse IP SIEM est saisie.
Illustration 40.-ossec.conf sur le client, pointant vers le SIEM (192.168.1.50).
3. 4
Piste 42
Enfin, dans le client, nous démarrons le service "ossec-control" et c'est tout a enregistré le pare-feu "fw.uoc.edu" dans SIEM, plus spécifiquement dans IDS Wazuh.
https://translate.googleusercontent.com/translate_f
40/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Illustration 41.- Démarrage de l'agent dans le client fw.uoc.edu
Illustration 42. fw.uoc.edu enregistré à Wazuh et actif.
Les autres clients (serveur Web, Radius, Endpoint W10 et Endpoint Linux) sont enregistrera de la même manière. Après l'installation des agents dans le SIEM, nous avons déjà tous les machines contrôlées par l'IDS.
Illustration 43.- Machines clientes contrôlées par IDS Wazuh.
35
Piste 43
Pour le moment, IDS est déjà installé avec tous ses agents dans le machines clientes à inspecter. La figure suivante montre la vue main, avec un résumé de ce qui se passe sur tous les ordinateurs inspecté.
https://translate.googleusercontent.com/translate_f
41/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Illustration 44.- Vue principale des événements de sécurité dans l'ensemble des machines inspectées.
3.5.- Installation de beats. [Référence de la plateforme 6-Beats] 3.5.1.-Filebeat [6-Filebeat Reference] La première étape consiste à télécharger le rythme depuis la machine cliente correspondant, à titre d'exemple pour ce travail, il sera installé sur le serveur "Radius.uoc.edu", afin de pouvoir envoyer les journaux d'authentification au SIEM. Pour la collecte de journaux génériques fournis par un tiers, le beat approprié est Filebeat.
Illustration 45.-Filebeat à télécharger sur radius.uoc.edu.
Après le téléchargement, Filebeat est installé avec yum ou rpm.
36
Piste 44
Une fois Filebeat installé, il est nécessaire de le configurer pour collecter le journal qui invité et soumis avec succès à elasticsearch. Le fichier de configuration Filebeat, il se trouve dans «/etc/filebeat/filebeat.yml». Il suffit de réaliser quelques changements dans le "prospecteur", indiquant que le journal collectera les données et faire correspondre la sortie Filebeat à elasticsearch (la connexion est SSL). Il suffira d'activer la section journal et d'indiquer le fichier à partir duquel le fichier bat enverra les journaux à elasticsearch. La figure suivante montre les modifications, collectant événements d'un fichier de rayon appelé "linelog", où tous les authentifications.
https://translate.googleusercontent.com/translate_f
42/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Illustration 46.-Configuration dans la section "prospecteurs" de filebeat.yml.
Après cette modification, la section "Sortie Elasticsearch" doit être modifiée pour indiquez à Filebeat comment se connecter à Elastic Search. Comme elasticsearch seul prend en charge les connexions SSL, auparavant il est nécessaire d'apporter le certificat CA Elasticsearch pour référence. Dans le présent travail, ce certificat a été copié dans le dossier «/ etc / pki / out / root-ca-pem» .
Illustration 47.-Configuration pour connecter Filebeat à elasticsearch via SSL.
Enfin, le service Filebeat sera levé et le journal de rayon sera envoyé dans temps réel pour elasticsearch.
37
Piste 45
Pour surveiller ces journaux dans le SIEM, cela se fera via Kibana. Pour cela est nécessaire pour créer l'index dans Kibana et les journaux peuvent être surveillés.
Illustration 48.- Depuis Kibana Management, vous pouvez accéder aux modèles d'index.
https://translate.googleusercontent.com/translate_f
43/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
À partir des modèles d'index, nous allons créer un nouvel index comme indiqué ci-dessous figure.
Illustration 49.- Création d'un index dans Kibana pour filebeat.
Ensuite, un nom d'index sera attribué pour collecter tous ces documents (enregistrements) commençant par le modèle Filebeat-6.2.3- *.
Illustration 50.- Attribution des noms d'index.
38
Piste 46
Il est indiqué que le filtrage se fait en fonction de la variable de "@timestamp" et du indice.
Illustration 51.-Création de l'index selon le modèle filebeat-6.2.3- *
https://translate.googleusercontent.com/translate_f
44/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Par la suite, l'index créé avec les champs et leur caractéristiques. Dans la figure suivante, vous pouvez voir les champs qui sont ont envoyé du journal de rayon (linelog).
Illustration 52.- Index créé avec les champs attribués.
Cette même configuration sera effectuée avec le pare-feu pour surveiller le refus produits par elle. 3.5.2 Metricbeat [6-Metricbeat Reference] Metricbeat est un agent Elastic Stack installé sur les serveurs pour collecter des métriques du système d'exploitation et des services en cours d'exécution sur le serveur. Dans ce travail, il sera installé sur le serveur Web, à titre d'exemple. Vous commencez par télécharger l'agent metricbeats puis installez-le et configurez-le sur l'ordinateur client. Dans ce cas sur le serveur Web.
39
Piste 47
Illustration 53.- Télécharger metricbeat 6.2.3.
Metricbeat est installé.
Une fois installé, il est configuré. Le fichier de configuration est trouvé dans «/etc/metricbeat/metricbeat.yml ». La section de Kibana, pour charger automatiquement les tableaux de bord apportés par metricbeats.
https://translate.googleusercontent.com/translate_f
45/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Illustration 54.- Configuration pour charger les tableaux de bord dans Kibana.
La sortie Metricbeat doit être configurée pour se connecter via SSL avec elasticsearch.
Illustration 55.- Configuration pour se connecter à elasticsearch par SSL.
Pour finir la configuration nous activerons les modules correspondant à "Apache" et "MySQL", afin que les métriques de ces services soient collectées, en plus de la métrique système déjà activée par défaut. À partir de dossier "/etc/metricbeat/modules.d", renommez simplement le module "****. Yml.disable " à "****. Yml " pour tout module que nous voulons activer.
Illustration 56.- Activation des modules apache et MySQL.
40
Piste 48
Avec la commande " Metricbeat setup –dashboards " nous allons charger les tableaux de bord dans Kibana.
Illustration 57. Commande de chargement des tableaux de bord metricbeat dans Kibana.
Enfin, nous allons démarrer le service
Une fois les tableaux de bord installés par metricbeat, la figure suivante montre ceux qui ont été laissés en raison de leur importance (Apache, MySQL et System). Il a a quitté le tableau de bord Windows, pour surveiller EndPoint par Metricbeat W10.
https://translate.googleusercontent.com/translate_f
46/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Illustration 58.-Tableaux de bord chargés dans Kibana par metricbeats.
3.6.- Alertes. Sentinl. Pour réaliser un système d'alertes entièrement intégré avec Elastic Stack, Vous avez utilisé le plugin Sentinl 6. Ce plugin fournit des fonctionnalités de alertes, surveillance et rapports. Son installation est similaire à toutes les installations du plugin Elastic Stack. Une fois qu'il se trouve dans le répertoire où ils sont exécutés les plugins Kibana, nous exécutons l'ordre de téléchargement et installation.
41
Piste 49
Illustration 59.- Installation du plugin Sentinl.
Une fois le plugin installé, il est nécessaire d'accéder au fichier Configuration de Kibana "/etc/kibana/kibana.yml" et ajoutez les lignes de code nécessaire à la fin de ce fichier, comme indiqué dans la figure suivante. Plus tard, le service Kibana est redémarré et le Fonctionnalité d'alertes et de rapports «Sentinl» dans Kibana.
https://translate.googleusercontent.com/translate_f
47/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM Illustration 60.- Sentinl intégré à Kibana.
Illustration 61.-Code de configuration pour Sentinl dans Kibana
3.7.-Tests avec capteurs. Cas d'utilisation 3.7.1- Wazuh IDS / IPS [7-Manuel de l'utilisateur] Wazuh est un IDS / IPS qui s'intègre parfaitement à Elastic Stack. Dans le Cet article étudiera uniquement la partie IDS en raison de la charge de travail. Les actions post-alerte est un module qui a wazuh et entre autres
42
Piste 50
peut conduire à un déni de service d'une ressource en fonction de sa gravité de l'alerte. Par exemple, via iptables. 3.7.1.1-Vue d'ensemble IDS / IPS
Wazuh a un aperçu où il montre le résumé de l'évolution de la alertes de sécurité, le nombre d'alertes reçues, le nombre d'alertes grave, le nombre d'authentifications réussies dans un temps donné. De plus, il présente des tableaux avec l'évolution des alertes, le numéro d'alerte par agent, leur statut et enfin un résumé des alertes indiquant le niveau de gravité et les heures de déclenchement, et un résumé groupes d'alerte. Tout cela est montré dans la figure suivante (illustration 62). Vous pouvez voir l'aperçu de tous les agents ou vous pouvez également voir cette vue récapitulative, pour chacun des agents individuellement. En réalité, toutes les vues wazuh peuvent référencer tous les agents globalement ou nous pouvons cibler chaque agent individuellement comme le montre l'illustration 63.
https://translate.googleusercontent.com/translate_f
48/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Illustration 62.- Vue générale (résumé) de tous les agents
43
Piste 51
Illustration 63.- Vue générale de l'agent Web.
https://translate.googleusercontent.com/translate_f
49/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
3.7.1.2-FIM. Surveillance de l'intégrité des fichiers
Wazhu dispose d'un scanner (syscheck) qui vérifie périodiquement si le les fichiers, de certains répertoires choisis dans la configuration, ont été créés, supprimés ou modifiés. Ces répertoires peuvent être analysés tous les certaine heure, avec une périodicité ajustée par l'administrateur ou vérifiée temps réel.
Illustration 64.-Surveillance FIM sur serveur Web.
Dans la figure 64, il regarder la création, modification et effacement ultérieur de fichier "fim.html" dans il annuaire "/ Var / www / html / web" Quoi ce configuré pour alerte à temps réel et le prochain figure le SIEM afficher les changements fait dans ledit fichier.
Il y a une application dans wazuh, avec laquelle, via une "api", vous pouvez connecter le FIM avec l'application dans le cloud "Virustotal", qui en plus de suivre l'évolution de
44
Piste 52
fichier, après le même je l'examinerais pour vérifier que non virus. 3.7.1.3-Suivi des politiques de sécurité. Audit d'équipement.
La surveillance des politiques effectue un audit des politiques de sécurité du différents serveurs et indique les faiblesses à corriger en fonction des Système CIS pour le système d'exploitation de chaque serveur. Dans la figure suivante, on peut voir que plusieurs serveurs ne sont pas conformes les exigences du CIS et indiquer à quelle section ils ne se conforment pas. Par exemple, notez que l'outil de sécurité n'est pas activé sur le serveur Web SELinux et que plus de 4 erreurs d'accès sont autorisées sur plusieurs serveurs via SSH, etc.
https://translate.googleusercontent.com/translate_f
50/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Illustration 65.- Audit de tous les serveurs connectés.
Quatre cinq
Piste 53
Illustration 66.- Graphique des violations de la politique de sécurité dans les machines surveillées.
La figure ci-dessus présente un graphique de tous les équipements surveillés par le SIEM, avec le nombre d'alertes pour non-respect de la norme CIS. La figure suivante présente un résumé des alertes du serveur Web. Il se peut voir dans la deuxième ligne du résumé de l'alerte, que le web a été attaqué avec succès.
https://translate.googleusercontent.com/translate_f
51/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Illustration 67.-Résumé des alertes et problèmes de l'audit.
46
Piste 54
3.7.1.4-Surveillance des virus. VirusTotal.
Wazuh dispose d'un système d'intégration tiers pour, par exemple, analyser fichiers avec un contenu potentiellement malveillant (virus). C'est le cas de l'intégration avec VirusTotal. VirusTotal est une application puissante composée de plusieurs produits antivirus capables d'analyser les ressources en ligne. Cet outil via son API et avec l'outil IDS FIM Wazuh, ils effectuent une analyse de tous ces fichiers qui ont été créés, modifié, en bref, surveillé par l'outil FIM de Wazuh (syscheck). Une fois que le système FIM détecte qu'un fichier a été modifié ou créé dans un répertoire spécifié, téléchargez la signature du fichier dans l'application en ligne à partir de VirusTotal et est analysé par plus de 60 antivirus en ligne, offrant un résultat fiable du fichier analysé. Le résultat est passé à wazuh et affiché dans l'interface Kibana. Pour intégrer VirusTotal à Wazuh, ajoutez simplement le code indiqué dans le illustration 65 dans le fichier «/var/ossec/etc/ossec.conf» dans SIEM.
Illustration 68.- Intégration de VirusTotal à SIEM.
Il faut également indiquer au SIEM, dans le fichier précédent, le répertoire ou répertoires dans lesquels les fichiers pouvant être analysés temps réel.
https://translate.googleusercontent.com/translate_f
52/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM Illustration 69.- Répertoire à analyser dans la zone syscheck du fichier SIEM «ossec.conf».
Illustration 70.- Surveillance des virus, vers, chevaux de Troie, etc. via VirusTotal.
47
Piste 55
Illustration 71.- Résultat de l'analyse du fichier eicar.com.txt, détecté par wazuh et analysé par VirusTotal.
3.7.2 Temps 3.7.2.1-Intégration des logs du serveur avec Elastic Stack. Filebeat
Grâce à Filebeat, nous avons déplacé le journal d'authentification de radius vers Kibana et nous pouvons surveiller les accès au rayon. La figure ci-dessous montre le afficher de Les accès aux terminaux Fenêtres contre rayon. À travers l'outil tandis que RadTest nous réalisons les authentifications contre le rayon. La figure suivante montre montre la surveillance et contrôle d'accès à le réseau, en visualisant le Connexions contre https://translate.googleusercontent.com/translate_f
53/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
"Radius.uoc.edu", offrantdonner très d'informations valeur dont l'utilisateur est connecté n'a pas pu se connecter, le MAC de son équipement, son IP, etc. Un contrôle exhaustif d'un utilisateur ou de son machine, etc. Illustration 72.- RadTest. Programme d'authentification par rapport au rayon.
48
Piste 56
Figure 73. Surveillance des utilisateurs connectés au rayon
Le contrôle est possible du trafic passant à travers le pare-feu, fournir un information très de valeur. Ce l'information se compose du trafic qui était autorisé ou non, le règle qui a agi, qui a généré le trafic et contre qui, Contre quel port, oui était-ce udp ou tcp etc. Il pare-feu iptables, sans aucune sorte de surveillance dans votre installation, allez à être complètement surveillé dans
recherches en temps réel ou médico-légales, comme tout autre pare-feu commercial haut de gamme, grâce à ses logs générés dans le script du même. La procédure consiste à extraire les logs de chaque règle depuis iptables et puis avec "nxlog", il est converti au format approprié en JSON. Annexé…. Elastic Stack vous permet de filtrer la visualisation par tous les champs affichés dans surveillance, fenêtre de temps, IP source, IP de destination, port, protocole, trafic autorisé ou non, etc. La figure suivante montre ces informations.
https://translate.googleusercontent.com/translate_f
54/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Illustration 74.- Surveillance du trafic dans la fw.
3.7.2.2-Surveillance du système d'équipement et de ses processus. Metricbeat Avec metricbeat, il est possible de surveiller les services et le fonctionnement du un serveur ou un point de terminaison. Le serveur Web exécute "apache" et "mariadb". À Les figures suivantes montrent l'état du serveur Web.
49
Psaumes 57
La figure 75 montre l'état général du serveur La toile, surveillance de l'utilisation CPU, mémoire RAM, charge serveur, etc. Si ce serveur a subi une attaque sûrement certains de ces paramètres
Illustration 75.- État du système serveur Web.
je sais verrait fortement modifié et rapidement aurait la preuve d'un problème. L'illustration 76 montre plus en détail le statut de la système de serveur Web, montrant les processus (prestations de service) Quoi courent et votre équilibre de charge.
je sais
Illustration 76.-Métriques du système du serveur Web.
Figure 77, corrige votre attention dans l'un des Les prestations de service montré dans le illustration ci-dessus (MySQL), montranthttps://translate.googleusercontent.com/translate_f
55/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
faire la vitesse de demandes de renseignements, rédaction tures, nombre de connexions, etc.
Illustration 77.-Surveillance du service MySQL.
cinquante
Psaumes 58
3.7.3- Alertes. Sentinl Les alertes doivent être générées via le plugin Sentinl doté d'un assistant cela nous aide à les réaliser. Tout d'abord, vous définissez la fréquence à laquelle la existence de l'alerte et son nom selon montrer ce qui suit figure. Dans ce cas c'est une alerte appelée test et je sais examinera tous les 5 minutes. Illustration 78.-Génération de l'alerte.
Puis un requête où le index à examiner, filtrage par l'un des champs ou l'heure en qui devrait concentrer l'alerte. Graphique 79. L'étape suivante consiste à définir la condition ce qui provoquera l'alerte. Par exemple, un nombre d'événements dans un un certain temps. Graphique 80.
Illustration 79.- Section d'entrée Sentinl.
https://translate.googleusercontent.com/translate_f
56/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
Illustration 80.-Section de condition Sentinl
51
Piste 59
Pour terminer, vous devez indiquer le action à exécuter lorsque déclencher l'alerte. Cela peut être un simple avis dans la section de Alertes du plug-in Sentinl, telles que peut être vu dans la figure 82, un envoi email, comme indiqué la configuration de la figure 81 ou même un rapport au format PDF ou PNG.
Illustration 81.-Action après le déclenchement de l'alerte.
Illustration 82.- Alerte présentée par Sentinl
https://translate.googleusercontent.com/translate_f
57/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
52
Piste 60
4. Conclusions Les systèmes SIEM sont de plus en plus utilisés dans les environnements de sécurité Les informations, cependant, ne sont pas exemptes de complexité de traitement et de coûts des prix économiques élevés, fondamentalement à leur prix sur le marché et la formation humaine ou l'embauche du personnel nécessaire pour conduite. L'idée de ce TFM était de réaliser une solution SIEM open source et de fournir quelques compétences minimales et nécessaires pour commencer à en profiter. De cette forme, les coûts de mise en œuvre du système sont réduits en étant open source et c'est une première impulsion dans sa gestion. Il est vrai que, au départ lors de la planification de ce travail, l'idée de travail c'était un peu plus ambitieux. En plus de ce qui est montré ici, les objectifs couverts une partie des alertes via un outil open source comme «sentinl», qui s'intègre parfaitement à Elastic Stack, mais en raison de la charge de travail du TFM présenté, il n'a pas été possible de le mettre en œuvre. En raison du paragraphe précédent, je ne pourrais pas dire que le produit développé atteint la catégorie SIEM pleinement, mais si elle offre une solution utilisable qui va bien au-delà d'un simple gestionnaire de journaux et cela, sûrement, avec un quelques intégrations supplémentaires atteindraient complètement la catégorie SIEM. Ce travail peut parfaitement être le début d'un autre travail où vous mesurez les dimensions à la portée est beaucoup plus élevée, mettant en œuvre un bon système d'alerte, établir des règles corrélant différentes sources, même faire un manuel de cas d'utilisation et bonnes pratiques, plus développés que ceux contenus dans le travail présent. D'autres points à développer pourraient concerner la performance et les ressources nécessaire, pour que ce produit fonctionne non seulement dans un laboratoire, mais aussi également dans un environnement de travail réel. Un guide de ressources pourrait être fourni stockage nécessaire, calcul, mémoire, clusters élastiques Stack, etc., pour un fonctionnement optimal lorsqu'il est chargé sur le SIEM est plus élevé. La planification du travail a été fidèlement suivie et adéquate jusqu'à ce que les travaux sont entrés dans la phase de mise en œuvre. À partir de maintenant, utilisé plus d'heures / jours que prévu en raison de paramètres incorrects https://translate.googleusercontent.com/translate_f
58/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
cela a dû être corrigé et parce que la mise en œuvre des travaux la pratique avait vraiment besoin de plus d'heures que prévu. Malgré ces les inconvénients ont été très proches de se conformer pleinement à ce qui était prévu. Enfin, vérifiez que les 8 Go de RAM utilisés dans la machine sur laquelle le laboratoire mis en place était insuffisant pour héberger 6 machines virtuelles fonctionnant simultanément et il était nécessaire d'augmenter cette valeur à 16 Go.
53
Piste 61
5. Glossaire API. Interface de programmation d'applications. L'interface de programmation d'application, est un ensemble de sous - programmes , de fonctions et de procédures qui offre certaine bibliothèque à utiliser par d'autres logiciels comme couche d'abstraction. Menace. Les événements pouvant déclencher un incident dans l'organisation, produisant des dommages matériels ou des pertes immatérielles sur ses actifs. Audit. Processus systématique, indépendant et documenté pour obtenir le les éléments probants et l'évaluer objectivement afin de déterminer le degré dans lequel les critères définis sont satisfaits. BD . Base de données. CA . Autorité de certification. CIS . Centre de sécurité Internet. Organisation pour la sécurité Internet. Corréler . Processus de comparaison de différentes sources d'informations, en obtenant manière significative à des événements qui, analysés séparément, ne l'auraient pas ou inaperçu. CSRF / XSRF . Falsification de demandes intersites. Falsification de pétitions intersites. DMZ . Zone démilitarisée. Zone démilitarisée. DNS . Service de noms de domaine (ou système). Service de nom de domaine. Scanner de vulnérabilité . Programme qui analyse un système à la recherche vulnérabilités. Événement de sécurité . Occurrence détectée dans l'état d'un système, service ou réseau indiquant une possible violation de la politique de sécurité de l'information, un échec des contrôles ou une situation inconnue à ce jour et qui peut être pertinents pour la sécurité. [UNE-ISO / CEI 27000: 2014]. FIM . Surveillance de l'intégration des fichiers. Pare-feu (FW) . Pare-feu. Ver / Ver. Programme conçu pour se copier et se propager à travers des mécanismes de réseau. Ils n'infectent pas d'autres programmes ou fichiers. HIDS . Système de détection d'intrusion dans un hôte. HTML . Langage Signalétique Hyper Text. HTTP. Protocole de transfert hypertexte. Protocole de transfert hypertexte, utilisé généralement dans la navigation Web. HTTPS. Protocole de transfert sécurisé Hyper Text. ICS / SCADA . Systèmes de contrôle industriel et supervision de l'acquisition de vos données. IDS . Système de détection d'intrusion. Système de détection d'intrusion. Système dont Le but est de détecter les intrusions qui ont été faites ou sont en cours. Injection SQL. Type d'attaque sur les sites Web basés sur des bases de données, passant code non autorisé. https://translate.googleusercontent.com/translate_f
59/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
IPS . Système de prévention des intrusions. Système de prévention des intrusions. Sa fonction est prévenir les incidents avant qu'ils ne surviennent. JSON . Notation d'objets de script Java. Format de texte léger pour l'échange de données . Malware . Logiciel malveillant dont l'objectif principal est d'endommager ou d'infiltrer un système. NAC . Contrôlez le réseau d'accès. Système qui contrôle l'accès au réseau. NAT . Traduction d'adresses réseau. Conversion d'une adresse IP source et / ou
54
Piste 62
Destination. Journal . Un journal est un enregistrement des événements qui se produisent dans les systèmes et les réseaux d'une organisation. [NIST]. OWASP . Ouvrez le projet de sécurité des applications Web. Politique de sécurité. Ensemble de lignes directrices incorporées dans un document écrit, qui régir la manière dont une organisation gère et protège les informations et les services que vous considérez comme critique. [CNN-CERT]. Rootkit . C'est un outil utilisé pour cacher les activités illégitimes sur un système. RPM . Gestionnaire de packages Red Hat. Outil de gestion des colis pour GNU / Linux. SIEM . Informations de sécurité et gestion des événements. Système qui permet de stocker le journaux de différentes sources en toute sécurité et les corréler en extrayant informations qui pourraient passer inaperçues si les différentes sources de informations séparément. SMTP . Protocole de transfert de courrier simple. Protocole de transfert de courrier simple, utilisé pour envoyer des e-mails. SNMP . Protocole de gestion de réseau unique. Protocole de gestion de réseau standard. SOC . Centre des opérations de sécurité. Centre des opérations de sécurité. SPAM . Courrier poubelle. Informations non sollicitées, généralement de nature publicitaire, qui peuvent être reçus par différents moyens tels que le courrier électronique, les forums, etc. SQL . Langage de requêtes structurées. SSL . Secure Sockets Layer. Protocole de chiffrement qui permet l'échange sécurisé de informations entre deux extrêmes, prédécesseur de TLS. TCP / IP . Protocole de contrôle de transmission / protocole Internet. TLS . Sécurité de la couche de transport. Protocole de chiffrement qui permet l'échange sécurisé de information entre deux extrêmes. Trojan . code nuisible avec l'apparence d'un programme inoffensif qui, lorsqu'il est exécuté Donne à l'attaquant un accès à distance à l'ordinateur infecté, généralement en installant un porte de derrière. [CCN-CERT]. UDP . Protocole de datagramme utilisateur. Protocole de datagramme utilisateur. URL . Localisateur de ressources uniformes. Virus . Programme conçu pour se copier avec l'intention d'infecter d'autres programmes ou fichiers. [CCN-STIC-430: 2006]. VLAN . Réseau local virtuel. Vulnérabilité . Faiblesse qui peut être exploitée par une menace. WAF . Firewall d'applications Web. Firewall d'applications Web. XML . Langage de balisage étendu. XSS . Scripts intersites. Création de scripts intersites.
https://translate.googleusercontent.com/translate_f
60/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
55
Piste 63
6. Bibliographie [1] David R. Miller, Shon Harris, Allen A. Harper, Stephen VanDyke, Chris Blask. (2011). Implémentation de la gestion des informations de sécurité et des événements (SIEM). New York: Mc Graw Hill. [2] Kelly M. Kavanagh, Toby Bussa. (2017). Magic Quadrant pour la sécurité Gestion des informations et des événements. 26 février 2018, à partir du site Gartner La toile: www.gatner.com. Consulté le 7 avril 2018. [3] Karen Scarfone. (2018). Comparaison des meilleurs systèmes SIEM du marché. Site Web: https://searchsecurity.techtarget.com/feature/Comparing-the-bestSystèmes SIEM sur le marché. Consulté le 5 avril 2018. [4] Ben Canner. (2018). Les 6 meilleurs fournisseurs de SIEM à surveiller. Site Web: https://solutionsreview.com/security-information-event-management/top-6-siemmontres-vendeurs-2018 /. Consulté le 5 avril 2018. [5] Équipe de sécurité Micro Focus Enterprise, John P. Mello Jr, Jaikumar Vijayan, Paul Brettle. (2017). Gestion des informations et des événements de sécurité (SIEM). Site La toile: https://learn.techbeacon.com/tracks/siem. Consulté le 5 avril 2018. [6] Elastic Stack et documentation produit (2018). Site Web: https://www.elastic.co/guide/index.html. Visité le 5 avril 2018. Visité le 1er mai 2018. [7] Wazuh. Documentation Wazuh 3.x (2018). Site Web: https://documentation.wazuh.com/current/index.htmlVisité le 5 avril 2018. Visité le 1er mai 2018. [8] Search Guard. Rechercher dans la documentation Guard 6 (2016-2017). Site Web: https://documentation.wazuh.com/current/index.htmlVisité le 5 avril 2018. Visité le 28 avril 2018.
https://translate.googleusercontent.com/translate_f
61/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
56
Piste 64
7. annexes 7.1.-Script de pare-feu iptables "fw.sh". #! / bin / bash iptables - F iptables -X # Nous nettoyons la table NAT iptables -t nat - F iptables -t nat -X # Politiques de pare-feu iptables - P INPUT DROP iptables - P OUTPUT ACCEPT iptables - P DROP FORWARD #RÈGLES D'ENTREE iptables -A INPUT - m état - état ESTABLISHED , RELATED - j ACCEPT iptables -A INPUT - i lo - j ACCEPTER iptables -N Rule_1 iptables -A INPUT - i -s enp0s3 192 . 168 . 1 . 15 -p tcp - dport 22 - m état - état NOUVEAU - j Rule_1 iptables -A Rule_1 - j LOG - log-level 4 - log-prefix "allowed" iptables -A Rule_1 - j ACCEPTER iptables -A INPUT - j LOG - préfixe de journal "Denied Rule_End_Input" - niveau de journal 4 # RÈGLES FORWARD iptables -A FORWARD - m état - état ESTABLISHED , RELATED - j ACCEPT iptables -N Rule_2 iptables -A FORWARD - i enp0s3 -s 192 . 168 . 1 . 0 / 24 p tcp - --dport 80 -d 192 . 168 . 2 . 5 - état m état NOUVEAU - j Rule_2 iptables -A Rule_2 - j LOG - log-level 4 - log-prefix "allowed Rule_2" iptables -A Rule_2 - j ACCEPTER iptables -N Rule_3 iptables -A FORWARD - i enp0s3 -s 192 . 168 . 1 . 0 / 24 p tcp - --dport 443 -d 192 . 168 . 2 . 5 - état m état NOUVEAU - j Rule_3 iptables -A Rule_3 - j LOG - log-level 4 - log-prefix "allowed Rule_3" iptables -A Rule_3 - j ACCEPTER iptables -N Rule_4 iptables -A FORWARD - i enp0s3 -s 192 . 168 . 1 . 0 / 24 p udp - --dport 1812 -d 192 . 168 . 2 . 10 - état m état NOUVEAU - j Rule_4 iptables -A Rule_4 - j LOG - log-level 4 - log-prefix "allowed Rule_4" iptables -A Rule_4 - j ACCEPTER iptables -N Rule_5 iptables -A FORWARD - i enp0s3 -s 192 . 168 . 1 . 0 / 24 p udp - --dport 1813 -d 192 . 168 . 2 . 10 - état m état NOUVEAU - j Rule_5 iptables -A Rule_5 - j LOG - log-level 4 - log-prefix "allowed Rule_5" iptables -A Rule_5 - j ACCEPTER iptables -N Rule_6 iptables -A FORWARD - i enp0s3 -s 192 . 168 . 1 . 15 -p tcp - dport 22 -d 192 . 168 . 2 . 10 - état m - état NOUVEAU - j Rule_6 iptables -A Rule_6 - j LOG - log-level 4 - log-prefix "allowed Rule_6" iptables -A Rule_6 - j ACCEPTER iptables -N Rule_7 iptables -A FORWARD - i enp0s3 -s 192 . 168 . 1 . 15 -p tcp - dport 22 -d 192 . 168 . 2 . 5 - état m - état NOUVEAU - j Rule_7 iptables -A Rule_7 - j LOG - log-level 4 - log-prefix "allowed Rule_7" iptables -A Rule_7 - j ACCEPTER
https://translate.googleusercontent.com/translate_f
62/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM iptables -N Rule_8 iptables -A FORWARD - i enp0s3 -s 192 . 168 . 1 . 50 -d 192 . 168 . 2 . 0 / 24 - m état - état NEW - j Regla_8 iptables -A Rule_8 - j LOG - log-level 4 - log-prefix "allowed Rule_8"
57
Piste 65
iptables -A Rule_8 - j ACCEPTER iptables -N Rule_9 iptables -A FORWARD - i enp0s8 -s 192 . 168 . 2 . 0 / 24 -o enp0s3 - m état - état NEW - j Regla_9 iptables -A Rule_9 - j LOG - log-level 4 - log-prefix "allowed Rule_9" iptables -A Rule_9 - j ACCEPTER iptables -A FORWARD - j LOG - préfixe de journal "Refusé End_Forw_Rule" - niveau de journal 4 iptables -t nat -N Rule_100 iptables -t nat -A POSTROUTING -s 192 . 168 . 2 . 0 / 24 , ou enp0s3 ! -d 192 . 168 . 1 . 0 / 24 - j Regla_100 iptables -t nat -A Rule_100 - j LOG - log-level 4 - log-prefix "Internet_Access Rule_100" iptables -t nat -A Rule_100 - j MASQUERADE
7.2.-nxlog fichier de configuration "/etc/nxlog.conf" pour convertir le journal du pare-feu au format JSON. ## Ceci est un exemple de fichier de configuration. Consultez le manuel de référence nxlog sur le ## options de configuration. Il doit être installé localement sous ## / usr / share / doc / nxlog-ce / et est également disponible en ligne sur ## http://nxlog.org/docs ####################################### # Directives globales #######################################
#
Utilisateur nxlog Groupe nxlog LogFile /var/log/nxlog/nxlog.log Informations sur le niveau de journal ####################################### # Modules #######################################
Module xm_syslog < / E xt e nsion >
Module KVPDelimiter '' KVDelimiter = EscapeChar \\ < / E xt e nsion >
#
xm_kvp
Module xm_json < / E xt e nsion > < Entrée en 1> Module im_file Fichier ' /var/log/iptables.log' SavePos TRUE ReadFromLast TRUE
parse_syslog () ; si ($ Message = ~ / ^ (\ S +) (\ S +) IN = (\ S +) OUT = (\ S +)? \ MAC = (\ S +: \ S +: \ S +: \ S +: \ S +: \ S +): (\ S +: \ S +: \ S +: \ S +: \ S +: \ S \ S): 08: 00 SRC = (\ S +) DST = (\ S +) LEN = (\ S +) \ TOS = (\ S +) PREC = (\ S +) TTL = (\ S +) ID = (\ S +) (\ S +)? ? PROTO = (\ S +)? S? P? T? =? (\ D +)? ? D? P? T? =? (\ D +)? \ (. *)? $ /) { $ Action = 1 $; $ Règle = 2 $; $ Source_Zone = 3 $; $ Destination_Zone = 4 $; $ MAC_DST = 5 $; $ MAC_SRC = 6 $; $ IP_Source = 7 $; $ Destination_IP = 8 $; $ Package_Length = 9 $; $ TOS = 10 $;
https://translate.googleusercontent.com/translate_f
63/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM $ PREC = 11 $;
58
Piste 66
$ TTL = 12 $; $ ID = 13 $; $ FRAG = 14 $; $ Protocole = 15 $; $ Source_port = 16 $; $ Destination_port = 17 $; $ reste = 18 $; } supprimer ($ Hostname) ; supprimer ($ EventTime) ; supprimer ($ EventReceivedTime) ; supprimer ($ SourceModuleName) ; supprimer ($ SourceName) ; supprimer ($ SourceModuleType) ; supprimer ($ SyslogFacilityValue) ; supprimer ($ SyslogFacility) ; supprimer ($ SyslogFacilityUser) ; supprimer ($ SyslogSeverityValue) ; supprimer ($ SyslogSeverity) ; supprimer ($ SeverityValue) ; supprimer ($ Severity) ; supprimer ($ Message) ; to_json () ; < / E x ec> < / Entrée > < Sortie f il et sortie 1> Module om_file Fichier " / var / log / iptables" < / Sortie > ####################################### # Itinéraires ####################################### < Route 1> Chemin in1 = > fileout1 < / Rout e>
#
7.3.-Configuration du fichier "linelog" dans radius pour extraire les logs liés au client et NAS en authentification. # - * - texte - * # # $ Id: c646da0a05cbdf6e984f79cea105de41de4b0528 $ # # Le module "linelog" enregistrera une ligne de texte dans un fichier. # Le nom de fichier et la ligne de texte sont développés dynamiquement. # # Nous vous suggérons FORTEMENT de ne pas utiliser les données du # paquet faisant partie du nom de fichier. # linelog { # # Le fichier dans lequel les journaux iront. # # Si le nom du fichier est "syslog", les messages du journal # allez dans syslog. filename = $ { logdir } / linelog # # La plupart des systèmes de fichiers peuvent utiliser presque toute la gamme d'UTF-8 # personnages. Ceux qui peuvent gérer une gamme limitée devraient # définissez ceci sur "oui". # escape_filenames = non # # Les permissions de style Unix sur le fichier journal. # # Selon la chaîne de format, le fichier journal peut contenir un secret ou
https://translate.googleusercontent.com/translate_f
64/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
59
Piste 67
# informations privées sur les utilisateurs. Conservez les autorisations de fichier comme # restrictif possible. autorisations = 0600 # En cas de journalisation via syslog, la gravité peut être définie ici. # Valeur par défaut sur info. # # La chaîne de format par défaut. format = "Ceci est un message de journal pour% {User-Name}" # Référencez le type de paquet (Access-Accept, etc.) Si ce n'est pas le cas # existe, référence l'entrée "par défaut". reference = "messages.% {% {reply: Packet-Type}: - default}" # Les messages définis ici sont issus de la "référence" # expansion, ci-dessus. # Message d'authentification converti au format JSON messages { Access-Accept = "{\" 01 - Authentification \ ": \" Login OK \ ", \" 02 - User \ ": \" % { User-Name } \ ", \" 05 NAS \ ": \" % { NAS-Identifier } \ ", \" 04 - MAC-CLIENT \ ": \" % { Calling-Station-Id } \ ", \" 03 - IPCLIENT \ ": \" % { Adresse-IP-encadrée } \ ", \" 06 - SSID \ ": \" MISTIC \ "}" Access-Reject = "{\" 01 - Authentification \ ": \" Login FAIL \ ", \" 02 - User \ ": \" % { User-Name } \ ", \" 05 NAS \ ": \" % { NAS-Identifier } \ ", \" 04 - MAC-CLIENT \ ": \" % { Calling-Station-Id } \ ", \" 03 - IPCLIENT \ ": \" % { Adresse-IP-encadrée } \ ", \" 06 - SSID \ ": \" MISTIC \ "}" } }
https://translate.googleusercontent.com/translate_f
65/66
26/01/2021
Avantages et mise en œuvre d'un système SIEM
60
https://translate.googleusercontent.com/translate_f
66/66