outils de supervision

1. Etude et Mise en Place
d’une Solution SIEM
Superviseur :
Mr Massamba Lo

2. Sommaire
I-Introduction
Definition
II-Fonctionnement
III-Information
IV-Architecture
V-Exemple de SIEM

3. Sommaire
I.nstallation et configuration de AlienVault open source Security information
event management (OSSIM)
1 Installation
2Configuration serveur
3-Configuration client
VII-Conclusion

4. I-Introduction:
Définition:
Le principe d’un SIEM consiste à examiner depuis un guichet unique les données relatives
à la sécurité de l'entreprise qui sont générées en de nombreux points. Cette approche
facilite l'identification d'éventuelles tendances et de schémas inhabituels.
Une solution SIEM combine des fonctions de gestion des informations (SIM, Security
Information Management) et des événements (SEM, Security Event Management) au sein
d'un système unique de gestion de la sécurité.

5. II-Fonctionnement
SIEM combine Security Information Management (SIM) et Security Event
Manager (SEM).
• La partie gestion de la sécurité qui traite de la surveillance en temps réel, la
corrélation des événements, les notifications et les vues de la console est
communément connu sous le nom de Security évent manager (SEM).
• La deuxième partie gère le stockage long terme, l’analyse et le reporting est
connu sous le nom de Security Information Management (SIM).

6. Principaux Objectifs
• Identifier les menaces et les éventuelles brèches
Collecter les journaux d'audit de la sécurité et de la
conformité
Mener des enquêtes et fournir des preuves

7. III-Information
Le terme Security Information Event Management (SIEM) a été introduit par
Mark Nicolett et AmritWilliams en 2005.
Décrit les capacités d’un produit à collecter, analyser et présenter des
informations à partir de dispositifs de réseau et de sécurité; d’applications de
gestion des identités et des accès; d’outils de gestion de la vulnérabilité et de la
conformité du SI; des systèmes d'exploitation, des journaux des bases de
données et des applications; et des données des menaces externes

8. Pourquoi un SIEM est nécessaire ?
• Hausse des vols de données dues à des menaces internes et externes
• Les attaquants sont intelligents et des outils de sécurité traditionnelle ne
suffisent pas
• Atténuer les cyber-attaques sophistiquées
• Gérer l'augmentation des volumes de log provenant de sources multiples
• Répondre aux exigences de conformité strictes

9. Workflow d’un SIEM
Collecte de
données
Extraction
efficace des
données
Ajouter de
la valeur
Présenter
sous forme
de tableau
de bord &
de rapports

10. IV-Architecture SIEM

11. V-Exemple de SIEM
Open Source
Alien Vault OSSIM
OSSEC
Prelude
ELK
Solutions Payantes
• Alcatel-Lucent OA Safeguard
• Cisco CiscoSecurity Manager
• IBM Qradar
• Logpoint
• NitroSecurity McAfee Enterprise Security
Manager

12. VI-Installationet
Configuration de :
Alien Vault Open Source Security
information Event management (OSSIM)

13. Télécharger l’iso sur le site
• Le lien de téléchargement
https://www.alienvault.com/products/ossim

14. 1-Installation
• Ressources Allouées à la Machine
1

15. Installation
• Adressage donner une adresse ip le masque la passerelle puis le DNS
2

16. Installation
• Donner un Mot de passe a noter que le mot de passe du serveur n’est pas
forcement le même que celui de l’interface graphique
3

17. 2-Configuration Serveur
• Activer l’agent ossim comme suit:
1

18. Configuration Serveur
• Nous allons ensuite modifier le system comme suit:
2

19. Configuration Serveur
• Après le redémarrage rendez-vous sur la machine client sur un navigateur de
préférence Google chrome ou Firefox
Et taper l’URL https://@ip_de_votre_serveur
Dans notre cas https://192.168.10.10
3

20. Configuration Serveur 4
Renseigner vos information
Loggez vous

21. Configuration Serveur 5

22. Configuration Serveur 6

23. Configuration Serveur 7

24. Configuration Serveur
Voici à quoi ressemble le tableau de bord le Dashboard
8

25. Configuration Serveur 9
• Nous allons ajouter un agent ossim :
• Environnement detection agent add agent et sélectionner
l’@ip de votre agent dans notre cas 192.168.10.11
a

26. 1-Configuration Client
• Télécharger l’agent ossec en cliquant sur Dowland préconfigure agent
1

27. Configuration Client
• Ensuite installer l’agent sur la machine cliente et faites les configuration
suivantes sur votre parfeu:
• Autoriser l’agent ossim
• Et Configurer votre trafic entrant et sortant dans le paramètre avancé
2

28. Configuration Client 3

29. •Faites la même opération pour le trafic sortant
Ensuite cliquez sur Windows ossec management
Configuration Client 4

30. Configuration Client
• Les logs générés sont là
•Donc en cas d’attaque
ou de dysfonctionnement
Nous serons informés
À travers les logs
5

31. VI-Conclusion
Les SIEM constituent de bonnes alternatives pour la sécurisation des systèmes
d’information d’une entreprise car:
L’analyse des données des logs de l’entreprise peut aider à détecter les cyber-menaces
avancées. Ces logs fournissent des données sur tout ce qui se passe dans un réseau : sur
les postes de travail, les serveurs et les applications, sur site et dans le cloud. En
corrélant vos données de logs internes avec les sources des applications fournissant des
renseignements sur les menaces, vous êtes averti s’il existe une correspondance entre
les indications connues sur les cyber-menaces et les données de log de votre entreprise.
De cette façon, vous êtes capable de vous protéger contre d’éventuelles attaques.

32. Webographie
https://en.wikipedia.org/wiki/OSSIM
https://fr.wikipedia.org/wiki/Security_information_management_system
https://www.alienvault.com/products/ossim
https://connect.ed-diamond.com/MISC/MISC-062/Open-Source-Security-
Information-Management-OSSIM-Partie-1

33. Exposants
Yaya N’tyeni SANOGO
Mathos GOUMOU
N’Deye Aicha SOW
Email: yayantyenisanogo@gmail.com
Email: mathosgoumou@gmail.com
Email : sowndeyeaicha1992@gmail.com

34. MERCI DE VOTRE ATTENTION