3. Sommaire
VI-Installation et configuration de AlienVault open source Security information
event management (OSSIM)---------------------------------------------------------------
1-Installation
2-Configuration serveur
3-Configuration client
VII-Conclusion-------------------------------------------------------------------------------
4. I-Introduction:
Définition:
Le principe d’un SIEM consiste à examiner depuis un guichet unique les données relatives
à la sécurité de l'entreprise qui sont générées en de nombreux points. Cette approche
facilite l'identification d'éventuelles tendances et de schémas inhabituels.
Une solution SIEM combine des fonctions de gestion des informations (SIM, Security
Information Management) et des événements (SEM, Security Event Management) au sein
d'un système unique de gestion de la sécurité.
5. II-Fonctionnement
SIEM combine Security Information Management (SIM) et Security Event
Manager (SEM).
• La partie gestion de la sécurité qui traite de la surveillance en temps réel, la
corrélation des événements, les notifications et les vues de la console est
communément connu sous le nom de Security évent manager (SEM).
• La deuxième partie gère le stockage long terme, l’analyse et le reporting est
connu sous le nom de Security Information Management (SIM).
6. Principaux Objectifs
• Identifier les menaces et les éventuelles brèches
Collecter les journaux d'audit de la sécurité et de la
conformité
Mener des enquêtes et fournir des preuves
7. III-Information
Le terme Security Information Event Management (SIEM) a été introduit par
Mark Nicolett et AmritWilliams en 2005.
Décrit les capacités d’un produit à collecter, analyser et présenter des
informations à partir de dispositifs de réseau et de sécurité; d’applications de
gestion des identités et des accès; d’outils de gestion de la vulnérabilité et de la
conformité du SI; des systèmes d'exploitation, des journaux des bases de
données et des applications; et des données des menaces externes
8. Pourquoi un SIEM est nécessaire ?
• Hausse des vols de données dues à des menaces internes et externes
• Les attaquants sont intelligents et des outils de sécurité traditionnelle ne
suffisent pas
• Atténuer les cyber-attaques sophistiquées
• Gérer l'augmentation des volumes de log provenant de sources multiples
• Répondre aux exigences de conformité strictes
9. Workflow d’un SIEM
Collecte de
données
Extraction
efficace des
données
Ajouter de
la valeur
Présenter
sous forme
de tableau
de bord &
de rapports
19. Configuration Serveur
• Après le redémarrage rendez-vous sur la machine client sur un navigateur de
préférence Google chrome ou Firefox
Et taper l’URL https://@ip_de_votre_serveur
Dans notre cas https://192.168.10.10
3
25. Configuration Serveur 9
• Nous allons ajouter un agent ossim :
• Environnement detection agent add agent et sélectionner
l’@ip de votre agent dans notre cas 192.168.10.11
a
27. Configuration Client
• Ensuite installer l’agent sur la machine cliente et faites les configuration
suivantes sur votre parfeu:
• Autoriser l’agent ossim
• Et Configurer votre trafic entrant et sortant dans le paramètre avancé
2
29. Configuration Client
• Faites la même opération pour le trafic sortant
Ensuite cliquez sur Windows ossec management
4
30. Configuration Client
• Les logs générés sont là
• Donc en cas d’attaque
ou de dysfonctionnement
Nous serons informés
À travers les logs
5
31. VI-Conclusion
Les SIEM constituent de bonnes alternatives pour la sécurisation des systèmes
d’information d’une entreprise car:
L’analyse des données des logs de l’entreprise peut aider à détecter les cyber-menaces
avancées. Ces logs fournissent des données sur tout ce qui se passe dans un réseau : sur
les postes de travail, les serveurs et les applications, sur site et dans le cloud. En
corrélant vos données de logs internes avec les sources des applications fournissant des
renseignements sur les menaces, vous êtes averti s’il existe une correspondance entre
les indications connues sur les cyber-menaces et les données de log de votre entreprise.
De cette façon, vous êtes capable de vous protéger contre d’éventuelles attaques.