Le document expose le fonctionnement et les avantages des solutions SIEM (Security Information and Event Management), qui collectent, analysent et corrèlent les logs pour détecter des incidents de sécurité. Il décrit aussi la pile ELK (Elasticsearch, Logstash, Kibana) comme solution open source efficace pour la gestion des logs, ainsi que les étapes et outils d'investigation numérique dans le cadre d'analyses forensiques. Enfin, il présente les indicateurs de compromission (IoC) nécessaires pour améliorer la réponse aux incidents de sécurité.

1. M211
LES SOLUTIONS SEIM

2. SEIM
• Le SIEM, de l'anglais Security Information and Event Management, est une
solution de gestion des évènements (logs) du système d'information. Cet outil
permet de collecter en temps réel les logs de diverses sources (poste de
travail, serveur, pare-feu, etc.), de les analyser et de les corréler, dans l'objectif
de détecter des incidents de sécurité ou des anomalies.
• Fournir des rapports sur les incidents et événements liés à la sécurité : les
connexions réussies et échouées, l'activité des logiciels malveillants et
d'autres activités malveillantes possibles.
• Envoyer des alertes si l'analyse montre qu'une activité s'exécute sur des
ensembles de règles prédéterminées, comme par exemple l'exécution d'un
logiciel malveillant, et indique ainsi un problème de sécurité potentiel.

3. UTILISATION DE SEIM

4. LES FONCTIONNALITES DE SEIM
La corrélation:
Des événements de plusieurs sources peuvent être combinés et comparés afin
d’identifier des patterns de comportement invisibles avec une simple analyse.
La normalisation:
Les données collectées par le SIEM seront uniformisées dans un format unique.
Cette étape permet un traitement optimal pour les phases d'agrégation et
corrélation des évènements

5. Les avantages de SEIM
 visibilité étendue
Efficacité pour la détection et identification des incidents
Réduire l impact des brèches de sécurité
Génère des rapports bien détaillé ;analyse des logs …………….

6. SEIM SOLUTIONS
• SEIM SOLUTION collecté les informations et les évènements de différentes sources:
• Host sytstem/Web servers
• Les équipements de sécurité
• Routing Device
• Applications
• Tous les données seront indexé et représentés dans une plateforme centrale

7. SPLUNK

8. TO SEIM

9. TOP 10 SEIM SOLUTIONS

10. ELK
• La stack ELK est un acronyme utilisé pour décrire une pile
qui comprend trois projets open sources populaires :
Elasticsearch, Logstash et Kibana. Elle est la
principale solution open source de gestion des logs pour
les entreprises qui souhaitent bénéficier des avantages
d'une solution de journalisation centralisée.

11. • Logstash : outil d'intégration de données open source qui
vous permet de collecter des données à partir d'une
variété de sources, de les filtrer, les transformer et de
les envoyer à la destination souhaitée (ex:
Elasticsearch). Son but principal est de rassembler et
normaliser tous les types de données provenant de
différentes sources et de les rendre disponibles pour une
utilisation ultérieure
• Elasticsearch: Il propose également des requêtes avancées
pour effectuer une analyse détaillée et stocke toutes les
données de manière centralisée. Il est également utilisé
sur de nombreux projets hors la suite ELK car il permet
d'exécuter une recherche rapide des documents.
• Kibana : outil de visualisation de données qui complète la
pile ELK , c'est une couche de visualisation qui

12. SEIM OPN SOURCE : ELK stack
• ELK est une suite open source comprenant 3 composants principaux :
Elasticsearch, Logstash et Kibana.
• ELK permet l’indexation et l’analyse de données.
• Vous pourrez par exemple charger différents types de données, comme vos
logs, et les visualiser sous forme de diagrammes

15. Architecture de ELK
• Beats : peut être installé sur les machines à monitorer en agent pour vous
remonter les logs.
• Logstash : permet l'agrégation des données dans Elasticsearch.
• Elasticsearch : le composant principal, qui centralise les informations et y
accède
• Kibana : permet la création de dashboards et la visualisation des données
dans ElasticSearch.

16. Comment fonctionne logstash
• Il est capable d'extraire des données de presque n'importe quelle source de données à
l'aide des plugins d'entrée, et d'appliquer une grande variété de transformations et
d'améliorations de données à l'aide de plugins de filtre et enfin d'expédier ces données
vers un grand nombre de destinations à l'aide de plugins de sortie. Vous comprendrez
alors que Logstash joue un rôle très important dans la pile en récupérant, filtrant et
expédiant vos données afin de les utiliser plus facilement sur le reste des composants.

17. Configuration de logstash
• Le pipeline de traitement des événements Logstash comporte trois étapes :
entrées → filtres → sorties. Les entrées génèrent des événements, les filtres
les modifient et les sorties les expédient ailleurs.

18. Imputs
• Vous utilisez des entrées pour obtenir des données dans Logstash. Certaines
des entrées les plus couramment utilisées sont :
• ==file
• =syslog:
==beats

20. Les filtres :
• Les filtres sont des dispositifs de traitement intermédiaires dans le pipeline
Logstash. Vous pouvez combiner des filtres avec des conditions pour effectuer
une action sur un événement s'il répond à certains critères.
• grok : analyse et structure un texte arbitraire. Grok est actuellement le meilleur
moyen dans Logstash d'analyser les données de journal non structurées en
quelque chose de structuré et interrogeable.

21. output
• Les sorties sont la phase finale du pipeline Logstash. Un événement peut
passer par plusieurs sorties, mais une fois que tout le traitement des sorties
est terminé, l'événement a terminé son exécution. Certaines sorties
couramment utilisées incluent :
• elasticsearch : envoie des données d'événement à Elasticsearch

22. • L'investigation numérique, ou digital forensic, consiste à utiliser des
techniques spécialisées dans la recherche, la collecte et l'analyse de
données issues de supports numériques.
• L’investigation numérique peut couvrir différents aspects :
• Investigation des systèmes de fichiers : analyse des systèmes de fichiers
des endpoints à la recherche de signes de compromission.
• Investigation de la mémoire : analyse de la mémoire à la recherche
d’indicateurs d’attaque qui ne sont pas forcément présents dans le système de
fichiers.
• Investigation du réseau : analyse de l’activité réseau, notamment de la
messagerie électronique, de la messagerie en ligne et de la navigation sur
Internet, afin d’identifier les attaques, de comprendre les techniques d’attaque
utilisées et de déterminer l’ampleur de l’incident.

23. Étape 1 — Identifiez le contexte et récupérez les informations
• L’identification du contexte est une phase très importante, car elle permet
d’obtenir des informations liées à l’incident de sécurité. Lors de cette phase,
vous devrez rencontrer diverses personnes telles que les personnes de l’IT,
les administrateurs, les responsables des machines infectées ou encore
le RSSI. Ceci vous permettra d’orienter vos recherches pour ne pas faire
fausse rout

24. Étape 2 — Collectez les supports numériques à analyser
• Vous avez précédemment identifié le contexte de l’attaque et également
des machines potentiellement compromises. La phase de collecte va
permettre de copier les données pour pouvoir les analyser (copie de la
mémoire vive, et copie du disque dur). Vous réaliserez des hashs des
informations collectées. Cela permettra de réaliser l’analyse sur la copie sans
altérer les données originales.

25. Étape 3 — Analysez les données collectées
• Après avoir collecté les données, il faut maintenant les analyser. C'est la
phase la plus technique de l'investigation. Dans cette phase, vous réaliserez
la chronologie des évènements pour extraire la date et le moment précis de
l’incident, ainsi que l’analyse des artefacts tels que les processus, le registre
et le réseau. Une phase de triage sera également réalisée.

26. Étape 4 — Corrélation et reporting
• Dans cette phase, vous présenterez dans un rapport le résultat de vos
analyses. Vous présenterez de manière factuelle les éléments découverts.
Vous indiquerez également les indicateurs de compromission et
les recommandations à mettre en place pour améliorer la sécurité de
l’entreprise.

27. Identifier les outils d’investigation du marché
• Pour réaliser une analyse forensic de support numérique, il existe sur le
marché des outils reconnus.
• La société Guidance Software propose une suite d’utilitaires
appelée Encase dédiée à l’analyse forensic, en passant de l’analyse du
disque et au tri des données jusqu’à l’analyse des fichiers et le
déchiffrement des volumes analysés. Les licences sont payantes et restent
relativement chères. Toutefois, ce genre d’outil est largement utilisé par les
experts judiciaires ou encore les organismes de police
• Il existe également des outils hardware permettant la collecte de supports
numériques sans altération des données, tels que des bloqueurs en
écriture que nous avons évoqués plus haut.

28. Les bloqueurs d écrirute

29. La collecte des données
• Il existe également des utilitaires gratuits ou open source qui sont très souvent
utilisés lors d’analyses forensic:
1.Le framework The Sleuth Kit permet de réaliser une analyse forensic en
passant de la génération d’une timeline au triage des données et
à l’analyse des artefacts Windows (registre, email, historique…), jusqu’à la
génération d’un rapport. Il comporte une interface graphique appelée Autopsy.
2.Les utilitaires Sysinternal de Microsoft sont également utilisés dans l’analyse
forensic
3. Pour l’analyse de la mémoire vive, il existe également des frameworks tels
que Volatility et Rekall.
4. Pour la copie des disques durs et de la RAM, il est possible d’utiliser le
freeware FTK Imager Lite.

30. Collectez les informations de base pour l’investigation
• Les formats de collecte de données:
• La phase de collecte des données, ou encore « l’acquisition », est la phase
qui doit permettre de copier les données volatiles et non volatiles sur un
support externe, dans le but de réaliser une analyse approfondie par la
suite.

31. Les formats de collecte de données
• Les images RAW
• Les images brutes, au format RAW, ne sont pas un format en soi, mais
un bloc de données brutes reproduites à partir d’une image. Les images
brutes ne contiennent aucune métadonnée supplémentaire en dehors des
informations sur le fichier image lui-même (nom, taille, horodatage et autres
informations).
• Les formats de forensic
• Les formats de forensic comportent des éléments supplémentaire tels que
l’horodatage, les hash des images et d’autres métadonnées. Par ailleurs, il
peut être nécessaire de compresser ou chiffrer une image acquise. Les
formats de forensic facilitent la mise en œuvre de ces fonctionnalités. Vous
retrouverez entre autres :

32. Les Formats de données
• EnCase EWF, développé par Guidance Software, l’une des plus
anciennes entreprises de logiciels de forensic. Il utilise le format EWF
(Expert Witness Format) qui prend en charge les métadonnées, la
compression, le chiffrement, le hachage, etc. ;
• FTK Smart, par AccessData, est un concurrent direct d’EnCase EWF.
Ce format propriétaire inclut également les métadonnées, la compression, le
chiffrement, le hachage, etc.
• AFF, pour Advanced Forensic Formatl en tant que format ouvert. Il comprend
toutes les fonctionnalités attendues et inclut également des fonctionnalités de
chiffrement et de signature utilisant des certificats X.509 standard.

33. Réalisez un dump mémoire
• Dans le processus de forensic, il faut dans un premier temps collecter les
données qui seront analysées par la suite. Dans la réalité, il se peut que
vous ayez accès à la machine en cours de fonctionnement ; dans ce cas il
faudra réaliser dans un premier temps un dump de la RAM pour collecter un
instantané des processus en cours d'exécution. Cela vous permettra
d'identifier un processus malveillant, par exemple

34. Récupérez les informations de base du disque pour l'analyse
• Comment sont stockées les données sur un système Windows
• Pour fonctionner correctement, un système d’exploitation à besoin d’un
système de fichiers. Un système de fichiers est une partie obligatoire du
système d'exploitation, qui détermine la manière dont les fichiers sont
nommés, stockés et organisés sur un volume.
• Pour stocker et organiser les données, Windows utilise le système de fichier
NTFS (New Technology File System) développé par Microsof

35. MFT et métadonnées
• la Master File Table (MFT, table de fichiers principale) est l'un des
composants du système de fichiers de NTFS de Microsoft.
• Élément principal d'une partition NTFS, il s'agit du premier fichier présent sur
celle-ci (son nom exact est "$MFT"), il contient la liste de tous les fichiers
stockés dans la partition. Cette liste est stockée sous la forme d'une série
d'enregistrements.

36. • Le tableau suivant présente les fichiers système présents à la racine.

37. Identifiez les artefacts Windows d'intérêt pour l'investigation
• Winndows est un système complexe qui est composé de plusieurs éléments
permettant de comprendre les événements passés. Si vous savez où
chercher, vous pourrez retrouver toutes les informations dont vous avez
besoin pour réaliser votre investigation.
• 1. Windows event logs:
• Les event logs Windows sont des journaux qui répertorient chaque action
de chaque application sur le système, tels que les messages d’erreur,
d’information et de warning. Il est possible d’y accéder en utilisant l’outil natif
Event Viewer
ur extraire les event logs, il est possible d’utiliser FTK Imager. Sous Windows 7, les logs se situent dans le répertoire %SystemRoot%System32WinevtLogs.

38. Les services
Les services Windows sont des applications qui démarrent généralement
au démarrage de l'ordinateur et s'exécutent silencieusement en arrière-
plan jusqu'à son arrêt.
Les techniques de persistance permettent à un malware de se réexécuter
même après que le système ait rebooté. Les techniques de persistance
utilisées par les malwares sont nombreuses.

39. Les Prefetch
• Les Prefetch sont des fichiers créés par le système lorsqu’une application
s’exécute sur le système. Les fichiers Prefetch sont d'excellents artefacts
pour analyser les applications exécutées sur un système.

40. • Le registre contient des informations auxquelles Windows fait constamment
référence pendant son fonctionnement, telles que les profils de chaque
utilisateur, les applications installées sur l'ordinateur et les types de
documents que chacun peut créer, les propriétés des dossiers et des icônes
d'application, le matériel existant sur le système, et les ports utilisés.

41. • SAM (gestionnaire de compte de sécurité) : contient toutes les informations de
comptes utilisateurs et de droits d'accès ;
• Sécurité : le noyau y accédera pour lire et appliquer la politique de sécurité
applicable à l'utilisateur actuel et à toutes les applications ou opérations
exécutées par cet utilisateur ;
• Défaut : ruche utilisée par le compte système local. Utilisée par les
programmes et services exécutés en tant que système local ;
• Logiciel : contient le logiciel et les paramètres Windows, principalement
modifiés par les installateurs d'applications et de systèmes ;
• Ntuser.dat : contient les paramètres spécifiques à chaque utilisateur (les
profils itinérants l'utilisent).

42. Répertoriez les indicateurs de compromission avec la matrice
ATT&CK
• Répertoriez les indicateurs de compromission avec la matrice ATT&CK
• Le rapport d’investigation doit comprendre les indicateurs de compromission, ou IoC. Il s’agit
des éléments découverts pendant l’analyse qui permettront de caractériser l’incident. Dans ce
chapitre, nous verrons un peu plus en détail ce qu'est un indicateur de compromission, et comment les
répertorier dans le rapport

43. Qu’est-ce qu’un indicateur de compromission (IoC) ?
• Ube fois que les analyses ont été effectuées, il est important de créer des indicateurs de compromission
permettant d’identifier des menaces similaires dans le futur. Ces indicateurs de compromission ont pour
but de capitaliser les analyses effectuées afin d’accélérer les futures réponses sur incidents. Ces
indicateurs peuvent également être partagés entre plusieurs entités.

44. IoC réseaux
• Les IoC peuvent faire référence à une activité réseau malveillante, telle que la connexion à un serveur
de commande et de contrôle. La connaissance de ces indicateurs permettra très rapidement de bloquer
ces connexions pour contenir une menace sur tout un réseau. En analysant les trames réseau générées
par un logiciel malveillant, il sera également possible de créer des règles IDS pour détecter de manière
proactive une intrusion ou une connexion malveillante.
• Les noms de domaines et URL font également partie de ces IoC.

45. Les hash de fichiers :
• Les hash sont des empreintes uniques qui identifient des fichiers. Ces hash sont des IoC qui
permettront d’identifier les fichiers malveillants sur une machine. Il peut également être utile d’identifier
les répertoires d’écriture de ces fichiers sur le système.

46. Les adresses emails
• Les adresses emails délivrant du spam, du phishing ou autre sont également des indicateurs de
compromission qui pourront être bloqués sur les passerelles de messagerie.
• Les actions sur le système :
• Les actions menées sur le système par un logiciel malveillant peuvent également être des IoC. Par
exemple, si le malware crée un service Windows en particulier, ou une clé registre

47. Répertoriez vos IoC
• La matrice ATT&CK est une initiative du MITRE qui permet d’identifier les tactiques et les techniques
utilisées par un attaquant. Elle fournit un ensemble de classifications permettant d’identifier les
différentes phases d’une attaque, ainsi que les techniques utilisées pour chaque phase.