Téléchargé 139 fois
Siem OSSIM
- 1. Etude et Miseen Place d’une Solution SIEM Superviseur : Mr Massamba Lo
- 2. Sommaire I-Introduction-------------------------------------------------------------------------------- Definition II-Fonctionnement -------------------------------------------------------------------------- III-Information------------------------------------------------------------------------------- IV-Architecture ------------------------------------------------------------------------------ V-Exemplede SIEM-------------------------------------------------------------------------
- 3. Sommaire VI-Installation et configurationde AlienVault open source Security information event management (OSSIM)--------------------------------------------------------------- 1-Installation 2-Configuration serveur 3-Configuration client VII-Conclusion-------------------------------------------------------------------------------
- 4. I-Introduction: Définition: Le principe d’unSIEM consiste à examiner depuis un guichet unique les données relatives à la sécurité de l'entreprise qui sont générées en de nombreux points. Cette approche facilite l'identification d'éventuelles tendances et de schémas inhabituels. Une solution SIEM combine des fonctions de gestion des informations (SIM, Security Information Management) et des événements (SEM, Security Event Management) au sein d'un système unique de gestion de la sécurité.
- 5. II-Fonctionnement SIEM combine SecurityInformation Management (SIM) et Security Event Manager (SEM). • La partie gestion de la sécurité qui traite de la surveillance en temps réel, la corrélation des événements, les notifications et les vues de la console est communément connu sous le nom de Security évent manager (SEM). • La deuxième partie gère le stockage long terme, l’analyse et le reporting est connu sous le nom de Security Information Management (SIM).
- 6. Principaux Objectifs • Identifierles menaces et les éventuelles brèches Collecter les journaux d'audit de la sécurité et de la conformité Mener des enquêtes et fournir des preuves
- 7. III-Information Le terme SecurityInformation Event Management (SIEM) a été introduit par Mark Nicolett et AmritWilliams en 2005. Décrit les capacités d’un produit à collecter, analyser et présenter des informations à partir de dispositifs de réseau et de sécurité; d’applications de gestion des identités et des accès; d’outils de gestion de la vulnérabilité et de la conformité du SI; des systèmes d'exploitation, des journaux des bases de données et des applications; et des données des menaces externes
- 8. Pourquoi un SIEMest nécessaire ? • Hausse des vols de données dues à des menaces internes et externes • Les attaquants sont intelligents et des outils de sécurité traditionnelle ne suffisent pas • Atténuer les cyber-attaques sophistiquées • Gérer l'augmentation des volumes de log provenant de sources multiples • Répondre aux exigences de conformité strictes
- 9. Workflow d’un SIEM Collectede données Extraction efficace des données Ajouter de la valeur Présenter sous forme de tableau de bord & de rapports
- 10.
- 11. V-Exemple de SIEM OpenSource Alien Vault OSSIM OSSEC Prelude ELK Solutions Payantes • Alcatel-Lucent OA Safeguard • Cisco Cisco Security Manager • IBM Qradar • Logpoint • NitroSecurity McAfee Enterprise Security Manager
- 12. VI-Installation et Configuration de: Alien Vault Open Source Security information Event management (OSSIM)
- 13. Télécharger l’iso surle site • Le lien de téléchargement https://www.alienvault.com/products/ossim
- 14. 1-Installation • Ressources Allouéesà la Machine 1
- 15. Installation • Adressage donnerune adresse ip le masque la passerelle puis le DNS 2
- 16. Installation • Donner unMot de passe a noter que le mot de passe du serveur n’est pas forcement le même que celui de l’interface graphique 3
- 17. 2-Configuration Serveur • Activerl’agent ossim comme suit: 1
- 18. Configuration Serveur • Nousallons ensuite modifier le system comme suit: 2
- 19. Configuration Serveur • Aprèsle redémarrage rendez-vous sur la machine client sur un navigateur de préférence Google chrome ou Firefox Et taper l’URL https://@ip_de_votre_serveur Dans notre cas https://192.168.10.10 3
- 20. Configuration Serveur 4 Renseignervos information Loggez vous
- 21.
- 22.
- 23.
- 24. Configuration Serveur Voici àquoi ressemble le tableau de bord le Dashboard 8
- 25. Configuration Serveur 9 •Nous allons ajouter un agent ossim : • Environnement detection agent add agent et sélectionner l’@ip de votre agent dans notre cas 192.168.10.11 a
- 26. 1-Configuration Client • Téléchargerl’agent ossec en cliquant sur Dowland préconfigure agent 1
- 27. Configuration Client • Ensuiteinstaller l’agent sur la machine cliente et faites les configuration suivantes sur votre parfeu: • Autoriser l’agent ossim • Et Configurer votre trafic entrant et sortant dans le paramètre avancé 2
- 28.
- 29. Configuration Client • Faitesla même opération pour le trafic sortant Ensuite cliquez sur Windows ossec management 4
- 30. Configuration Client • Leslogs générés sont là • Donc en cas d’attaque ou de dysfonctionnement Nous serons informés À travers les logs 5
- 31. VI-Conclusion Les SIEM constituentde bonnes alternatives pour la sécurisation des systèmes d’information d’une entreprise car: L’analyse des données des logs de l’entreprise peut aider à détecter les cyber-menaces avancées. Ces logs fournissent des données sur tout ce qui se passe dans un réseau : sur les postes de travail, les serveurs et les applications, sur site et dans le cloud. En corrélant vos données de logs internes avec les sources des applications fournissant des renseignements sur les menaces, vous êtes averti s’il existe une correspondance entre les indications connues sur les cyber-menaces et les données de log de votre entreprise. De cette façon, vous êtes capable de vous protéger contre d’éventuelles attaques.
- 32.
- 33. Exposants Yaya N’tyeni SANOGOEmail: [email protected] Mathos GOUMOU Email: [email protected] N’Deye Aicha SOW Email : [email protected]
- 34. MERCI DE VOTREATTENTION