e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50




    Ré...
4   Réflexion sur la mise en oeuvre d’un projet de corrélation




     Comment aborder un projet de
     corrélation?

  ...
4   Fonctions principales d’une solution de corrélation




     Collecter les informations là ou elles sont (A)

      Co...
4   L’approche d’un projet SIM




                                              (B)
                                     ...
4   Inventaire du système d’information (SI)




     Classification des biens du SI                Exemple

         Conf...
4   Exemple avec la société « Acme.com »




                                                C   I   D
          GESTIA (A...
4   Une approche pragmatique




     Voir le projet SIM comme un
     processus à long terme.

     Définition des priori...
4   L’approche d’un projet SIM




             (A)

la ou elles sont




     4                                Solutions ...
4   Décomposition d’un bien informatique


                                                 ERP « COCKPIT »




          ...
4   Collecte d’événements pour « Cockpit »




Zone           Description                               Poids

APP        ...
4   L’approche d’un projet SIM




                                          (B)
                                 alertes ...
4   Réflexion sur les alertes ?




     Pour les biens que l’on désire surveiller!

     Définir les événements à « Remon...
4   L’approche d’un projet SIM




                                         (C)
                                 réagir au...
4   Des informations par rôle



     Management
                                             Responsable de l’entreprise
...
4   Conclusion




     Un projet SIM est un processus à long terme

     L’analyse des biens est très importante
        ...
Prochain SlideShare
Chargement dans…5
×

Réflexion sur la mise en oeuvre d'un projet de corrélation

1 016 vues

Publié le

Une présentation sur la mise en œuvre d'un projet SIM

Par Sylvain Maret

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 016
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
20
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Réflexion sur la mise en oeuvre d'un projet de corrélation

  1. 1. e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 Réflexion sur la mise en oeuvre d’un projet de corrélation Séminaire du 9 mai 2006 Sylvain Maret 4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
  2. 2. 4 Réflexion sur la mise en oeuvre d’un projet de corrélation Comment aborder un projet de corrélation? Quelles sont les sources à collecter? Faut il donner des priorités aux informations? Que faire des informations du périmètre de sécurité? 4 Solutions à la clef
  3. 3. 4 Fonctions principales d’une solution de corrélation Collecter les informations là ou elles sont (A) Corréler ces informations hétérogènes Présenter en temps réel les alertes fiabilisées (B) Donne les moyens de réagir aux alertes (C) Générer des tableaux de bord Archiver les logs 4 Solutions à la clef
  4. 4. 4 L’approche d’un projet SIM (B) alertes fiabilisées (A) (C) là ou elles sont réagir aux alertes solution de corrélation 4 Solutions à la clef
  5. 5. 4 Inventaire du système d’information (SI) Classification des biens du SI Exemple Confidentialité (C) C I D Intégrité (I) Disponibilité (D) A B Niveau A (Elevé) Niveau B (Moyen) C Niveau C (Bas) 4 Solutions à la clef
  6. 6. 4 Exemple avec la société « Acme.com » C I D GESTIA (Application GED) COCKPIT (ERP) E-Connect (Extranet Web) Prod4 (App. de production robotisé) Messagerie (App. Lotus Notes) Connectra (Système pour la vente) Etc. 4 Solutions à la clef
  7. 7. 4 Une approche pragmatique Voir le projet SIM comme un processus à long terme. Définition des priorités Surveillance des points chauds Biens niveau A 4 Solutions à la clef
  8. 8. 4 L’approche d’un projet SIM (A) la ou elles sont 4 Solutions à la clef
  9. 9. 4 Décomposition d’un bien informatique ERP « COCKPIT » Evénements directs End Point Network System Application Internal External Security Security Evénements avoisinants Evénements éloignés 4 Solutions à la clef
  10. 10. 4 Collecte d’événements pour « Cockpit » Zone Description Poids APP Tomcat, Apache 2.x, Oracle 10 System Linux Red Hat, SSH, PAM 8 System Solaris 2.8, SSH, PAM, Tripwire (FIA) 8 Collecte Internal Nagios, Sonde IDS, firewall, Ace Server 5 Security External Firewall, IDS 2 Security 4 Solutions à la clef
  11. 11. 4 L’approche d’un projet SIM (B) alertes fiabilisées solution de corrélation 4 Solutions à la clef
  12. 12. 4 Réflexion sur les alertes ? Pour les biens que l’on désire surveiller! Définir les événements à « Remonter » Utilisateurs inexistants Brute force attaque Brusque changement de trafique Changement d’intégrité (FIA) Nouvelle MAC adresse sur le réseau Attaque sur une zone interne Etc. 4 Solutions à la clef
  13. 13. 4 L’approche d’un projet SIM (C) réagir aux alertes 4 Solutions à la clef
  14. 14. 4 Des informations par rôle Management Responsable de l’entreprise Gestion des risques Securité Responsable sécurité Gestion global de la sécurité (gestion des risques) Opérationnel Intégration et exploitation Gestion des systèmes et infrastructure 4 Solutions à la clef
  15. 15. 4 Conclusion Un projet SIM est un processus à long terme L’analyse des biens est très importante Que surveiller? Donner la priorité aux événements proches des biens (Cœur du métier) Ne pas négliger la partie organisationnelle 4 Solutions à la clef

×