SlideShare une entreprise Scribd logo
1  sur  87
Télécharger pour lire hors ligne
République Tunisienne
Ministère de l’Enseignement Supérieur
et de la Recherche Scientifique
Université de Carthage
Institut Supérieur des Technologies de
l’Information et de la Communication
Rapport de Stage
Présenté en vue de l’obtention de la Licence en Technologies de
l’Information et de la Communication
Spécialité : Télécommunications
Présenté Par
Nour Berraies
Youssef Ben Salah
Mise en place d’un système de monitoring
SIEM : ELK Stack
Réalisé au sein de Tunisie Télécom
Soutenu publiquement le 05/06/2023 devant le jury composé de :
Président :
Rapporteur :
Encadrant professionnel :
Encadrant académique :
Mme Maha Cherif, Enseignante, ISTIC
Mme Sabrine Naimi, Enseignante, ISTIC
M Walid Zaghdoudi, Ingénieur, TELECOM
Mme Nejla Oueslati, Enseignante, ISTIC
Année Universitaire : 2022-2023
République Tunisienne
Ministère de l’Enseignement Supérieur
et de la Recherche Scientifique
Université de Carthage
Institut Supérieur des Technologies de
l’Information et de la Communication
Rapport de Stage
Présenté en vue de l’obtention de la Licence en Technologies de
l’Information et de la Communication
Spécialité : Télécommunication
Présenté Par
Nour Berraies
Youssef Ben Salah
Mise en place d’un système de monitoring
SIEM : ELK Stack
Réalisé au sein de Tunisie Télécom
période de Stage : du 01/02/2023 jusqu’au 01/05/2023
Autorisation de dépôt du rapport de Projet de Fin d’Etudes :
Encadrant professionnel :
Le :
signature :
Encadrant académique :
Le :
Signature :
Dédicaces
À mes chers parents, mes idoles, aucune dédicace ne saurait être assez
éloquente pour exprimer l’amour et le respect que j’ai pour vous.
À mes sœurs Héla et Salma, qui n’ont jamais cessé de m’encourager et de
me soutenir dans tous les projets que j’entreprends. En témoignage de
mon affection fraternelle, mon attachement éternel et ma reconnaissance.
À tous ceux que j’aime.
À tous ceux qui m’aiment et me supportent.
BEN SALAH Youssef
i
Dédicaces
Au début, je tiens à remercier DIEU de m’avoir donné la santé et la force
de mener à bien ce modeste travail.
Je dédie ce projet à mes drôles parents, aucun hommage ne pourrait être
à la hauteur d’amour et de respect que j’ai pour vous.
À ma chère sœur qu’elle m’a toujours soutenu et m’encourage dans toute
ma vie.
Merci pour vos support et encouragement tout au long de mon parcours.
À mon binôme Youssef qui a partagé avec moi tous les moments de la
réalisation de ce travail.
Tout ceux qui m’aiment et que j’aime.
Nour Berraies
ii
Remerciements
Nous avons un grand plaisir de garder cette page en signe de gratitude et de profonde
reconnaissance à tous ceux qui nous ont aidés de près et de loin pour réaliser ce projet.
En premier lieu, nous tenons à remercier Mr Walid Zaghdoudi notre encadrant
professionnel au sein de Tunisie Télécom et notre encadrante académique Mme Nejla
Oueslati pour leurs disponibilités durant la période du stage, leurs judicieux conseils,
leurs efforts et leurs encouragements ; nos respectueuses reconnaissances.
Nous tenons aussi à remercier la société qui nous a accueillis pendant toute la durée
du stage Tunisie Télécom pour cette opportunité de nous intégrer dans leur travail.
Et finalement, nous aimerons adresser ce remerciement à l’Institut Supérieur des Tech-
nologies de l’Information et de la Communication ISTIC et le jury pour leurs propres
efforts réalisés.
iii
Table des matières
Remerciements iii
Liste des Abbréviations xi
Introduction Générale 1
1 Présentation Générale du Projet 2
1.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.2 Présentation de l’organisme d’accueil . . . . . . . . . . . . . . . . . . . . . 2
1.2.1 Organisme d’accueil . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.2.2 Domaines d’activités . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.2.3 Missions de Tunisie Télécom . . . . . . . . . . . . . . . . . . . . . . 3
1.3 Présentation du projet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.3.1 Cadre de projet et problématique . . . . . . . . . . . . . . . . . . . 4
1.3.2 Etude de l’existant . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.3.3 Critique de l’existant . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.3.4 Solution proposée . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1.4 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2 Les Notions de Bases de la Sécurité Informatique 7
2.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.2 Cyberattaque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.2.1 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.2.2 Types d’attaques . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.2.3 Différents exemples de cyberattaques . . . . . . . . . . . . . . . . . 8
2.3 Cybersécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.3.1 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.3.2 Types de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.3.3 Services de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.4 Supervision . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.4.1 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.4.2 Security Operation Center . . . . . . . . . . . . . . . . . . . . . . . 11
2.4.3 Fonctions du Security Operations Center (SOC) . . . . . . . . . . . 11
2.4.4 Types du SOC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.4.5 Security Information and Event Management . . . . . . . . . . . . 13
2.4.6 Principe de fonctionnement du Security Information and Event ma-
nagement (SIEM) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.4.7 Relation entre SOC et SIEM . . . . . . . . . . . . . . . . . . . . . . 15
2.4.8 Journalisations : Logs . . . . . . . . . . . . . . . . . . . . . . . . . . 16
iv
Table des matières Table des matières
2.5 Solutions disponibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.5.1 Définition de chaque logiciel de supervision . . . . . . . . . . . . . 17
2.5.2 Les Avantages et les inconvénients des logiciels de la supervision . . 19
2.6 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
3 Réalisation et tests 20
3.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.2 Choix de la solution et justification . . . . . . . . . . . . . . . . . . . . . . 20
3.2.1 Avantages du ELK Stack par rapport à la solution adoptée par TT 20
3.2.2 Composants du ELK . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.2.3 Fonctionnement d’ELK Stack . . . . . . . . . . . . . . . . . . . . . 22
3.3 Environnement du travail . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3.3.1 Environnement matériel . . . . . . . . . . . . . . . . . . . . . . . . 22
3.3.2 Environnement logiciel . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.3.3 Architecture d’environnement du travail . . . . . . . . . . . . . . . 25
3.4 Installation d’Elastic Stack . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
3.4.1 Installation de prérequis . . . . . . . . . . . . . . . . . . . . . . . . 26
3.4.2 Installation d’Elasticsearch . . . . . . . . . . . . . . . . . . . . . . . 28
3.4.3 Création et déploiement de certificats . . . . . . . . . . . . . . . . . 29
3.4.4 Installation du module Wazuh . . . . . . . . . . . . . . . . . . . . . 32
3.4.5 Installation de Filebeat . . . . . . . . . . . . . . . . . . . . . . . . . 33
3.4.6 Installation de Kibana . . . . . . . . . . . . . . . . . . . . . . . . . 36
3.4.7 Désactivation des Référentiels . . . . . . . . . . . . . . . . . . . . . 39
3.5 Installation des agents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
3.5.1 Installation des agents sur Ubuntu 22.04 . . . . . . . . . . . . . . . 41
3.5.2 Installation des agents sur Windows 10 . . . . . . . . . . . . . . . . 42
3.6 Visualisation du système : . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
3.7 Scénarios des attaques . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
3.7.1 Surveillance de l’intégrité des fichiers . . . . . . . . . . . . . . . . . 46
3.7.2 Détection d’une attaque par injection Structured Query Language
(SQL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
3.7.3 Détection de vulnérabilité . . . . . . . . . . . . . . . . . . . . . . . 53
3.7.4 Attaque force brute par protocole Secure Shell (SSH) . . . . . . . . 67
3.8 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Conclusion Générale 71
Netographie 72
Liens d’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
v
Table des figures
1.1 Logo Tunisie Télécom (TT) . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.2 Organigramme TT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.3 Authentification du Logiciel QRadar. . . . . . . . . . . . . . . . . . . . . . 5
1.4 Onglet d’Infraction dans QRadar Console. . . . . . . . . . . . . . . . . . . 5
1.5 Onglet d’Activité du Réseau dans QRadar Console . . . . . . . . . . . . . 6
2.1 Fonctionnement du SOC [1]. . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.2 Architecture du SIEM [2]. . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.3 Fonctionnement du SIEM [3]. . . . . . . . . . . . . . . . . . . . . . . . . . 15
2.4 Relation entre SOC et SIEM [4]. . . . . . . . . . . . . . . . . . . . . . . . . 16
2.5 Interconnexion entres les fichiers logs et les systèmes SIEM [5]. . . . . . . . 16
2.6 Logo ELK Stack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.7 Logo QRadar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.8 Logo Splunk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.9 Logo SolarWinds and Event Manager . . . . . . . . . . . . . . . . . . . . . 18
2.10 Logo McAfee Enterprise Security Manager . . . . . . . . . . . . . . . . . . 18
2.11 Logo ArcSight . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.1 Architecture du Serveur Wazuh [6] . . . . . . . . . . . . . . . . . . . . . . 21
3.2 Logo VMware-Workstation-player . . . . . . . . . . . . . . . . . . . . . . . 23
3.3 Logo Elastic Stack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3.4 Logo Wazuh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3.5 Logo Kali . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3.6 Logo Metasploit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
3.7 Architecture d’environemment du travail . . . . . . . . . . . . . . . . . . . 26
3.8 Commande pour déterminer le nom de localhost . . . . . . . . . . . . . . . 26
3.9 Commande pour créer des fichiers Sudoers . . . . . . . . . . . . . . . . . . 27
3.10 Ajouter l’utilisateur comme un root . . . . . . . . . . . . . . . . . . . . . . 27
3.11 Commande pour installer java et open jdk . . . . . . . . . . . . . . . . . . 27
3.12 Commande pour verifier la version du java . . . . . . . . . . . . . . . . . . 27
3.13 Commande pour installer les fichiers prérequis . . . . . . . . . . . . . . . . 28
3.14 Commande pour importer la clé GPG à Elasticsearch . . . . . . . . . . . . 28
3.15 Commande pour ajouter le dépôt d’Elastic Stack . . . . . . . . . . . . . . 28
3.16 Commande pour installer le package Elasticsearch . . . . . . . . . . . . . . 29
3.17 Commande pour télécharger le fichier de configuration d’Elasticsearch . . 29
3.18 Commande pour télécharger le fichier de configuration des Certificats. . . 29
3.19 Commande pour créer les certificats. . . . . . . . . . . . . . . . . . . . . . 29
3.20 Commande pour extraire les fichiers Zip téléchargés du Certificats. . . . . 30
3.21 Commandes pour créer le répertoire et configurer les fichiers des certificats. 30
3.22 Commandes pour activer et démarrer le service Elasticsearch. . . . . . . . 30
3.23 Commande pour vérifier l’activation d’Elasticsearch. . . . . . . . . . . . . 30
vi
Table des figures Table des figures
3.24 Commande pour exécuter les nouveaux mots de passe. . . . . . . . . . . . 31
3.25 Affichage des nouveaux mots de passe. . . . . . . . . . . . . . . . . . . . . 31
3.26 Commande pour vérifier le bon fonctionnement de l’installation d’Elastic-
search. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
3.27 Commande pour importer la clé GPG à Wazuh. . . . . . . . . . . . . . . 32
3.28 Commande pour ajouter le dépôt du Wazuh. . . . . . . . . . . . . . . . . 32
3.29 Commande pour installer le package du gestionnaire Wazuh. . . . . . . . 33
3.30 Commande pour activer et démarrer le service de gestionnaire Wazuh. . . 33
3.31 Commande pour vérifier l’activation du Wazuh. . . . . . . . . . . . . . . . 33
3.32 Commande pour installer les Filebeat. . . . . . . . . . . . . . . . . . . . . 34
3.33 Commandes pour télécharger le fichier de configuration Filebeat, le modèle
d’alertes pour Elasticsearch et module de Wazuh pour les Filebeat. . . . . 34
3.34 Commande pour modifier le fichier Filebeat. . . . . . . . . . . . . . . . . 34
3.35 Ajout de mot de passe d’Elastic dans le fichier Filebeat. . . . . . . . . . . 35
3.36 Commandes pour copier les certificats dans le fichier Filebeat. . . . . . . . 35
3.37 Commandes pour activer et démarrer le service Filebeat. . . . . . . . . . 35
3.38 Commande pour vérifier le bon fonctionnement de service Filebeat. . . . . 36
3.39 Commande pour tester le succès d’installation de Filebeat. . . . . . . . . 36
3.40 Commande pour installer le package Kibana. . . . . . . . . . . . . . . . . 36
3.41 Commandes pour copier les certificats d’Elasticsearch dans le dossier de
configuration de Kibana. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
3.42 Commande pour télécharger le fichier de configuration Kibana. . . . . . . 37
3.43 Commande pour modifier le fichier Kibana. . . . . . . . . . . . . . . . . . 37
3.44 Ajout du mot de passe Elastic au fichier de Kibana. . . . . . . . . . . . . 38
3.45 Commandes pour créer le répertoire Kibana et installer le plugin Wazuh
Kibana. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.46 Commande pour relier le socket Kibana au port 443. . . . . . . . . . . . . 38
3.47 Commandes pour activer et démarrer le service Kibana. . . . . . . . . . . 39
3.48 Commande pour vérifier le fonctionnement de Kibana. . . . . . . . . . . . 39
3.49 Commandes pour désactiver les références des nouvelles versions. . . . . . 39
3.50 Commande pour déterminer l’adresse Internet Protocol (IP) du serveur. . 40
3.51 Authentifier au Elastic Stack. . . . . . . . . . . . . . . . . . . . . . . . . . 40
3.52 Arrêt du fonctionnement du Firewall du CentOS. . . . . . . . . . . . . . . 41
3.53 Mettre l’utilisateur comme un root. . . . . . . . . . . . . . . . . . . . . . 41
3.54 La mise à jour du système Ubuntu. . . . . . . . . . . . . . . . . . . . . . 41
3.55 Installation des agents sur Ubuntu. . . . . . . . . . . . . . . . . . . . . . 42
3.56 Installation des agents sur Windows. . . . . . . . . . . . . . . . . . . . . . 42
3.57 Activation des Agents sur Ubuntu et Windows. . . . . . . . . . . . . . . . 43
3.58 Capture des composants du module wazuh. . . . . . . . . . . . . . . . . . 43
3.59 Capture du tableau du bord Wazuh. . . . . . . . . . . . . . . . . . . . . . 44
3.60 Capture analyse des évènements. . . . . . . . . . . . . . . . . . . . . . . . 45
3.61 Commande pour modifier le fichier ossec.conf. . . . . . . . . . . . . . . . . 46
3.62 Capture d’ajout de la ligne directories check-all pour vérifier l’intégrité du
fichier. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
3.63 Commandes pour démarrer et vérifier le bon fonctionnement d’agent wazuh. 47
3.64 Première description d’alerte de Sécurité par ELK Stack. . . . . . . . . . 47
3.65 Première description d’alerte de Sécurité. . . . . . . . . . . . . . . . . . . . 48
3.66 Deuxième description d’alerte de Sécurité. . . . . . . . . . . . . . . . . . . 48
vii
Table des figures Table des figures
3.67 Troisième description d’alerte de Sécurité. . . . . . . . . . . . . . . . . . . 49
3.68 Commande pour mettre à jour les packages locaux. . . . . . . . . . . . . 49
3.69 Commande pour installer serveur web Apache. . . . . . . . . . . . . . . . 50
3.70 Commande pour installer serveur web Apache. . . . . . . . . . . . . . . . 50
3.71 Commande montre le bon fonctionnement du serveur Apache. . . . . . . . 50
3.72 Installation du Apache. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
3.73 Commande pour accéder au fichier ossec.conf. . . . . . . . . . . . . . . . . 51
3.74 Ajout du code pour surveiller Apache. . . . . . . . . . . . . . . . . . . . . 51
3.75 Commandes pour redémmarer et tester le bon fonctionnement du wazuh-
agent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
3.76 Injection de l’attaque. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
3.77 Résultat du système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
3.78 Résultat affiché par wazuh. . . . . . . . . . . . . . . . . . . . . . . . . . . 53
3.79 Description d’alerte 1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
3.80 Description d’alerte 2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
3.81 Description d’alerte 3. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
3.82 Authentification de Typhoon 1.02 . . . . . . . . . . . . . . . . . . . . . . 54
3.83 Vérification de l’adresse Media Access Control (MAC) de la machine vulnhub 54
3.84 Commande pour découvrir les machines connectées. . . . . . . . . . . . . 55
3.85 Commande pour scanner les ports de la machine cible. . . . . . . . . . . . 55
3.86 Détection d’une entrée mongoadmin dans robot. . . . . . . . . . . . . . . 56
3.87 Détection d’ouverture du port 8080 pour Apache Tomcat Coyote JSP
Engine 1.1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
3.88 Les données nécessaires pour Login. . . . . . . . . . . . . . . . . . . . . . 57
3.89 Commande pour scanner le site. . . . . . . . . . . . . . . . . . . . . . . . 57
3.90 Ouverture du répertoire drupal. . . . . . . . . . . . . . . . . . . . . . . . 58
3.91 Commande pour déterminer la version du Drupal . . . . . . . . . . . . . . 58
3.92 Lancement de Metasploit. . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
3.93 Commande pour rechercher drupal dans Metasploit. . . . . . . . . . . . . 59
3.94 Modification des paramètres du Metasploit. . . . . . . . . . . . . . . . . . 60
3.95 Résultat de la modification efféctuée sur Metasploit. . . . . . . . . . . . . 60
3.96 Commande pour redémarrer Metasploit. . . . . . . . . . . . . . . . . . . . 61
3.97 Commandes pour chercher le Spoit 3.13.0 et l’envoyer vers Typhoon 1.02. 61
3.98 Commande pour déterminer l’adresse IP de Kali. . . . . . . . . . . . . . . 62
3.99 Commande pour connecter avec SSH. . . . . . . . . . . . . . . . . . . . . 62
3.100 Commande pour récupérer le sploit. . . . . . . . . . . . . . . . . . . . . . 63
3.101 Commandes pour exécuter fichier contenant le sploit. . . . . . . . . . . . 63
3.102 Succés d’exécution du fichier. . . . . . . . . . . . . . . . . . . . . . . . . . 63
3.103 Commandes pour installer agent-wazuh. . . . . . . . . . . . . . . . . . . . 64
3.104 Résultat d’interconnexion de l’agent affiché par Wazuh. . . . . . . . . . . 64
3.105 Commande pour accéder au fichier ossec.conf. . . . . . . . . . . . . . . . . 64
3.106 Configuration de la vulnérabilité 1. . . . . . . . . . . . . . . . . . . . . . . 65
3.107 Configuration de la vulnérabilité 2. . . . . . . . . . . . . . . . . . . . . . . 65
3.108 Configuration de la vulnérabilité 3. . . . . . . . . . . . . . . . . . . . . . . 66
3.109 Configuration de la vulnérabilité 4. . . . . . . . . . . . . . . . . . . . . . . 66
3.110 Commande pour redémarrer agent-wazuh. . . . . . . . . . . . . . . . . . . 66
3.111 Résultat affiché par Wazuh 1. . . . . . . . . . . . . . . . . . . . . . . . . . 67
3.112 Résultat affiché par Wazuh 2. . . . . . . . . . . . . . . . . . . . . . . . . . 67
viii
Table des figures Table des figures
3.113 Commande pour activer le protocole SSH sur machine Ubuntu. . . . . . . 67
3.114 Commande pour vérifier le fonctionnement de SSH sur Ubuntu. . . . . . . 68
3.115 Capture Login SSH. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
3.116 Capture 3 essais d’attaque SSH. . . . . . . . . . . . . . . . . . . . . . . . 69
3.117 Commande pour accéder aux règles. . . . . . . . . . . . . . . . . . . . . . 69
3.118 Capture de la règle SSH ajouté. . . . . . . . . . . . . . . . . . . . . . . . 69
3.119 Capture du blocage d’attaque SSH. . . . . . . . . . . . . . . . . . . . . . 70
3.120 Capture qui affiche la réponse du Wazuh : échec d’authentification SSH. . 70
ix
Liste des tableaux
2.1 Types d’attaques malveillantes . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.2 Types d’attaques forgées . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.3 Avantages et inconvénients des logiciels de la supervision . . . . . . . . . . 19
3.1 Caractéristiques de l’environnement matériel . . . . . . . . . . . . . . . . . 22
3.2 Caractéristique des différentes machines virtuelles créées . . . . . . . . . . 23
3.3 Niveau d’alerte de chaque événement. . . . . . . . . . . . . . . . . . . . . . 44
x
Liste des abréviations
ADSL Asymmetric Digital Subscriber Line
DDoS Distributed Denial of Service
DoS Denial of Service
DTH Direct to Home
GDPR General Data Protection Regulation
HIPAA Health Insurance Portability and Accountability Act
HIDS Host-based Intrusion Detection System
ID Identifiant
IDS Intrusion Detection System
IP Internet Protocol
IPTV Internet Protocol Television
IT Information Technology
MAC Media Access Control
NAT Network Address Translation
NIST 800-53 National Institute of Standards and Technology 800-53
OSSEC Open Source Security Event Correlator
PCI-DSS Payment Card Industry Data Security Standard
RAM Random Access Memory
ROM Read-Only Memory
SEM Security Event Management
SIEM Security Information and Event management
SI Système Informatique
SIM Security Information Management
SMS Short Message Service
SOC Security Operations Center
SSH Secure Shell
SQL Structured Query Language
TT Tunisie Télécom
VOD Video on Demand
VoIP Voice over Internet Protocol
Wi-Fi Wireless Fidelity
xi
Introduction Générale
Suite à la transformation digitale et aux développements technologiques, les systèmes
d’information sont devenus vulnérables aux menaces qui peuvent engendrer une défaite
des données vitales voire même des dommages physiques aux machines. C’est pour cette
raison la sécurité de l’information au sein des organisations est devenue une nécessité pri-
mordiale. Cette exigence de protection des données a stimulé un nouveau domaine nommé
« Cybersécurité ».
Le but de la cybersécurité est d’assurer une protection et une intégrité des informations
(sensibles ou non) au sein des infrastructures digitales. Elle représente l’ensemble des ou-
tils, des politiques, des concepts et des mécanismes de sécurité. Ces derniers, consistent à
protéger : les terminaux, les systèmes informatiques, les serveurs, les réseaux, les disposi-
tifs mobiles, les données et les logs contre les menaces et attaques malveillantes.
Dans ce contexte s’inscrit le sujet de notre stage de fin d’études intitulé : la mise en
place d’un système de monitoring SIEM : ELK Stack et réalisé au sein de l’en-
treprise ‘’Tunisie Télécom”. Dans ce projet, nous allons nous focaliser sur une solution
permettant : la collecte des logs, la gestion de ces derniers et la corrélation des journaux
dans le but de détecter des potentielles anomalies telles que les cyberattaques.
Ce rapport est constitué de trois grands chapitres :
➢ Le premier chapitre est dédié à présenter l’organisme d’accueil, ses missions et ses
domaines d’activités. Il identifie le contexte et la problématique. Une analyse critique de
l’existant est réalisée. La solution proposée est basée sur les limites de ces derniers.
➢ Le deuxième chapitre est consacré aux principes fondamentaux de la sécurité infor-
matique. Il présente les solutions disponibles dans le marché ainsi que leurs avantages et
inconvénients.
➢ Le troisième chapitre se focalise sur la solution adoptée afin d’assurer une meilleure
supervision, sa mise en œuvre depuis l’installation de l’environnement du travail jusqu’à
la réalisation.
1
Chapitre 1
Présentation générale du projet
1.1 Introduction
Dans ce premier chapitre, nous allons tout d’abord nous concentrer sur la mise en
contexte du projet en commençant par une présentation de l’organisme d’accueil Tunisie
Télécom dans lequel le travail a été effectué, le contexte du projet et la problématique à
résoudre, l’étude de l’existant et le critique et finalement la solution proposée.
1.2 Présentation de l’organisme d’accueil
Tout d’abord, nous présenterons le cadre juridique de l’organisme d’accueil Tunisie
Télécom, domaines d’activité et ses propres missions.
1.2.1 Organisme d’accueil
L’office national des télécommunications [7] est un établissement à caractère commer-
cial, doté de la personnalité civile et de l’autonomie financière. Il a été conçu et mis en
œuvre par la loi N°36 du 17 avril 1995. Puis il a changé son statut juridique, en vertu du
décret N°30 du 5 avril 2004, pour devenir une société nommée « Tunisie Telecom ».
Figure 1.1 – Logo TT
2
Chapitre 1 1.2. Présentation de l’organisme d’accueil
1.2.2 Domaines d’activités
Tunisie Télécom est le principal fournisseur de services de télécommunications en Tu-
nisie ; se compose de 24 conseils régionaux, de 140 espaces et points de vente TT et de
plus de 13 000 points de vente ; offre à ses clients une gamme complète de services de
téléphonie, d’Internet et de télévision.
Nous présentons ci-dessous les principaux services de l’organisation :
• Services de téléphonie fixe : TT fournit des services de téléphonie fixe aux clients
professionnels et résidentiels en Tunisie.
• Services de téléphonie mobile : TT fournit des services de téléphonie mobile
sous la marque "Tunisie Télécom Mobile", qui comprend des Short Message Ser-
vice (SMS), des appels et des services de données.
• Services Internet : TT offre des services Internet haut débit via Asymmetric Di-
gital Subscriber Line (ADSL), Wireless Fidelity (Wi-Fi), et fibre optique. La société
propose également des services de Voice over Internet Protocol (VoIP).
• Services de télévision : TT offre une gamme de services de télévision, notamment
des services Internet Protocol Television (IPTV) , Direct to Home (DTH) , Video
on Demand (VOD) et des services de télévision en ligne.
• Services aux entreprises : TT propose des services de télécommunications pour
les entreprises, notamment des services de centre d’appels, des services de réseaux
privés, des services de vidéo conférence et des services de connectivité à large bande.
• Services financiers : TT fournit des services financiers, y compris le transfert
d’argent et les services de paiement mobile et électronique. [8]
1.2.3 Missions de Tunisie Télécom
Ci-dessous, nous présentons quelques missions menées par TT :
1 – Développer et installer des réseaux téléphoniques et traiter la transmission des don-
nées.
2 – Installer et récupérer des différents types d’équipements informatiques et de com-
munication.
3 – Assurer l’homogénéité, la fiabilité, la sécurité et la confidentialité du système d’in-
formation et de communication dans tout le pays.
4 – Concevoir, mettre en place et gérer les banques de données et les statistiques de
plus 6 millions d’abonné dans son réseau.
5 – Donner des conseils et fournir de nouveaux services dans le domaine de télécom-
munication à tout autre organisme public ou privé, national et même étranger, à
caractère social et économique.
la figure 1.2 présente la structure compléte d’organisation TT :
3
Chapitre 1 1.3. Présentation du projet
Figure 1.2 – Organigramme TT
1.3 Présentation du projet
1.3.1 Cadre de projet et problématique
Ce travail s’inscrit dans le cadre d’un stage de fin d’études. Il a deux objectifs princi-
paux. Le premier est de s’intégrer et d’explorer l’établissement d’accueil et ses différents
métiers, et le second consiste à mettre en pratique les théories acquises au cours des an-
nées d’études et à les développer afin de résoudre des problèmes pratiques.
Et comme nous avons mentionné au départ, TT est le plus grand opérateur de télécommu-
nications en Tunisie avec une large couverture dans tout le pays. Ses réseaux comprennent
des milliers de kilomètres des câbles, des liaisons sans fil radio, des fibres optiques, des
routeurs, des commutateurs et d’autres dispositifs de télécommunication.
Et par conséquent, les grands réseaux de TT sont des cibles potentiels pour les cybercri-
minels qui cherchent à y accéder afin de perturber leurs services.
Il est donc essentiel de mettre en place des mesures de sécurité efficaces pour protéger et
analyser les informations de sécurité provenant des différentes sources.
1.3.2 Etude de l’existant
L’objectif de l’étude de l’existant est d’analyser la solution de supervision utilisée par
Tunisie Télécom et de recommander des améliorations afin de renforcer la sécurité de
l’entreprise.
L’équipe de sécurité de Tunisie Télécom a mis en place une solution de supervision basée
sur la plateforme ‘’QRadar” pour surveiller l’infrastructure informatique et détecter des
menaces potentielles.
QRadar [9] est une solution de supervision commerciale d’IBM conçu pour les différentes
grandes entreprises. Elle offre des capacités d’analyse, de corrélation et de reporting des
4
Chapitre 1 1.3. Présentation du projet
logs de différents composants tels que les routeurs, les commutateurs, les serveurs et les
applications. En cas de détection des anomalies QRadar génére des alertes.
Figure 1.3 – Authentification du Logiciel QRadar.
1.3.3 Critique de l’existant
QRadar permet la gestion des événements de sécurité SIEM et offre des capacités
d’analyse de sécurité et de corrélation.
Cependant, l’inconvénient majeur du système QRadar est son coût élevé. En effet, c’est
un système SIEM haut de gamme coûteux en terme de mise en place et de maintenance.
De plus, nous avons constaté d’après la figure 1.4 que le nombre d’alertes générées par
le système QRadar est trop élevé. Il est difficile, aux analystes de sécurité d’identifier les
alertes qui nécessitent une attention immédiate. À cela s’ajoute que Qradar génére des
fausses alertes qui pourraient impacter la pertinence de l’analyse.
Figure 1.4 – Onglet d’Infraction dans QRadar Console.
5
Chapitre 1 1.4. Conclusion
De plus, les systèmes SIEM comme QRadar sont complexes et peuvent nécessiter une
expertise technique pour les configurer et les utiliser correctement.
De même, nous avons remarqué que le système QRadar fonctionne en silos : pas des
intégrations et des coopérations avec d’autres outils de sécurité, comme les systèmes
de détection d’intrusion ou les outils de gestion de vulnérabilités ce qu’il intacte leur
fonctionnement et démarche pour la détection des menaces.
Aussi, nous avons aperçu que l’infrastructure QRadar nécessite une maintenance régulière
et permanente pour assurer une performance optimale et garantir les dernières mises à jour
de sécurité et de corriger les erreurs qui peuvent affecter sur la qualité de la surveillance
surtout qu’il est difficile à être extensible ; et tous systèmes non évolutifs ne peuvent pas
prendre en charge une croissance des données et des événements de sécurité.
Figure 1.5 – Onglet d’Activité du Réseau dans QRadar Console
1.3.4 Solution proposée
Dans ce projet, le choix de l’outil SIEM sa charnière autour de trois conditions fonda-
mentales :
• Budget
• Efficacité contre les menaces et les attaques
• Flexibilité
Nous citons tout d’abord que le choix de la solution est basé sur les critères principaux
mentionnées au-dessus et sur les problèmes détectés au cours du critique de l’existant, et
pour remédier aux inconvénients majeurs du logiciel utilisé QRadar, la solution adéquate
consiste à utiliser un système de monitoring SIEM : ELK Stack.
1.4 Conclusion
A travers ce chapitre nous avons présenté l’organisme d’accueil, le cadre de projet
et la problématique ainsi que l’étude de l’existant et le critique, puis nous avons déposé
la solution fixée par l’entreprise. Dans le chapitre suivant, nous allons définir quelques
notions de bases liées au domaine de la sécurité informatique.
6
Chapitre 2
Les Notions de Bases de la Sécurité
Informatique
2.1 Introduction
Dans ce chapitre, et avant de passer à la présentation des solutions disponibles de
la supervision, nous allons définir quelques notions de bases comme la cyberattaque, la
cybersécurité, la supervision. . . et nous allons citer leurs propres fonctionnements.
2.2 Cyberattaque
Dans cette partie, nous focaliserons à définir la cyberattaque, ses types en mentionnant
quelques exemples d’attaques les plus connus.
2.2.1 Définition
En se basant sur la définition d’IBM et CISCO [10], on peut définir la Cyberattaque
comme une tentative malveillante indésirable de voler, de désactiver, de modifier, d’expo-
ser ou de détruire des informations via un accès non autorisé aux systèmes informatiques
dont le cachet est d’entraîner une cybercrise au niveau de la technologie d’information,
financier ou de réputation.
2.2.2 Types d’attaques
Généralement, nous pouvons citer des différents types d’attaques :
• Une attaque passive : elle est basée essentiellement sur l’écoute, la collection et
l’analyse du trafic.
• Une attaque active : c’est toute modification de contenu qui touche le fonction-
nement d’un service de sécurité.
• Logiciels malveillants : ce sont les attaques basées sur des vulnérabilités des
systèmes ou des réseaux ‘’Malware”.
• Forgées : ce sont les attaques basées sur la manipulation des éléments des commu-
nications afin d’en tirer profit ou de les nuire.
7
Chapitre 2 2.2. Cyberattaque
2.2.3 Différents exemples de cyberattaques
Nous citons dans les tableaux 2.1 et 2.2 les différents types d’attaques les plus connus
Table 2.1 – Types d’attaques malveillantes
Nom de l’attaque Définition
Les Logiciels
Malveillants
Backdoor (Porte débordée) C’est une méthode malveillante secrète permet-
tant d’accéder à un système informatique ou un
réseau sans avoir à passer par les canaux d’au-
thentification normaux.
Les Logiciels
Malveillants
Trojan (Cheval de Troie) C’est un type de malware qui est conçu pour
tromper les utilisateurs en se faisant passer pour
un programme légitime, tout en ayant une fonc-
tionnalité cachée qui permet à un pirate d’ac-
céder et de contrôler à distance l’ordinateur in-
fecté, ou d’effectuer des attaques sur celui-ci.
Les Logiciels
Malveillants
Bombe logique C’est un type de programme malveillant qui
est conçu pour se déclencher à une date ou à
un événement précis, comme la suppression de
certains fichiers, l’exécution de certaines com-
mandes, causant ainsi des dommages à l’ordi-
nateur ou au réseau cible.
Les Logiciels
Malveillants
Un virus C’est un programme malveillant qui infecte
d’autres fichiers ou se réplique sur des systèmes
informatiques sans autorisation. Les virus infor-
matiques sont conçus pour endommager, de per-
turber un ordinateur ou au réseau. Ils peuvent
se transmettre via des fichiers ou des docu-
ments infectés, des e-mails, des sites web mal-
veillants ou des périphériques de stockage amo-
vibles compromis.
Les Logiciels
Malveillants
Worm (Vers) C’est un type de code malveillant qui se pro-
page automatiquement à travers un réseau in-
formatique sans avoir besoin d’une intervention
humaine pour se transmettre.
Les Logiciels
Malveillants
Hoax (Canular) C’est une fausse information ou une alerte trom-
peuse qui est intentionnellement diffusée pour
tromper les gens. Les canulars peuvent se pro-
pager par divers moyens, tels que les réseaux
sociaux, les e-mails, les SMS ou les sites Web.
8
Chapitre 2 2.2. Cyberattaque
Table 2.2 – Types d’attaques forgées
Nom de l’attaque Définition
Manipulation
d’Attaques
Forgées
Phishing (Hameçonnage) C’est une technique de fraude en ligne
qui trompe les utilisateurs en leur faisant
croire qu’ils communiquent avec une entité de
confiance, telle qu’une banque ou un service en
ligne, afin d’obtenir leurs informations confiden-
tielles.
Manipulation
d’Attaques
Forgées
Cracking (Craquage) C’est une activité malveillante qui implique une
entrée non autorisée dans un système informa-
tique en utilisant des techniques de piratage in-
formatique.
Manipulation
d’Attaques
Forgées
Sniffing (Renfilage) C’est un type d’attaque sur les réseaux infor-
matique qui analyse le traffic afin de récupérer
des informations confidentielles.
Manipulation
d’Attaques
Forgées
Spoofing (Mascarade) C’est une technique qui consiste à falsifier
des informations d’identification, telles qu’une
adresse IP, une adresse e-mail, un numéro de
téléphone ou une adresse de site Web, afin de
dissimuler la véritable identité pour commettre
des cybercrimes.
Manipulation
d’Attaques
Forgées
Smurfing C’est un type de Distributed Denial of Ser-
vice (DDoS) qui utilise un grand nombre d’or-
dinateurs zombies ou des botnets pour envoyer
un grand nombre de requêtes avec des fausses
adresses IP. Cette attaque vise à submerger un
serveur cible ou un réseau avec un trafic exces-
sif, ce qui entraîne une saturation des ressources
du système et une interruption de service.
Manipulation
d’Attaques
Forgées
Denial of Service (DoS)
C’est une attaque informatique qui perturbe le
fonctionnement normal d’un système informa-
tique en surchargeant les requêtes, de sorte qu’il
ne répond plus aux requêtes légitimes.
9
Chapitre 2 2.3. Cybersécurité
2.3 Cybersécurité
Nous consacrons la deuxième partie à présenter la cybersécurité, ses types et ses ser-
vices.
2.3.1 Définition
En s’appuyant aussi sur la définition d’IBM [11] et CISCO [12], La cybersécurité est
la pratique qui consiste à protéger les systèmes critiques et les informations sensibles
contre les attaques malveillantes. Elle est également appelée sécurité des technologies de
l’information ou bien « Information Technology (IT) ».
2.3.2 Types de sécurité
Nous pouvons répartir la sécurité en plusieurs catégories :
• La sécurité des informations : garantit les services de sécurité.
• La sécurité des applications : protection des appareils contre les menaces et les
attaques.
• La sécurité réseaux : protection du réseau informatique contre les intrus.
• La sécurité opérationnelle : mécanisme de défense dont le but est le contrôle
d’accès et le stockage des données.
2.3.3 Services de sécurité
La politique de cybersécurité exige ces cinq piliers de services :
• Confidentialité : C’est un service qui consiste à rendre l’information incompréhen-
sible à travers des mécanismes de cryptographie.
• Intégrité des données : C’est un service qui protège les données contre toutes
modifications malveillantes.
• Disponibilité : C’est un service qui garantit par la redondance des équipements.
• Authentification : C’est un service qui offre une protection contre l’usurpation
d’identité.
• Non-répudiation : Une entité réseau ne peut pas nier un message qu’elle a émis.
2.4 Supervision
Commençons par définir la supervision
2.4.1 Définition
La supervision [13] ou le monitoring [8] en informatique est la surveillance, le pilo-
tage, le suivi et le contrôle de tout système informatique en temps réel, afin de pallier les
problèmes potentiels, les goulots d’étranglement et les moindres anomalies qui peuvent
ralentir la progression et la disponibilité continue du système.
10
Chapitre 2 2.4. Supervision
La supervision désigne généralement la mise en place à l’aide d’outils logiciels conçus pour
la collecte des données de performance des différents composants du système tels que ; les
serveurs, les réseaux, les bases de données, les applications, etc. . . Ces données sont pré-
sentées sous forme de graphiques, de tableaux de bord et d’alertes (en cas de dépassement
de seuils critiques ou d’événements inhabituels).
L’intérêt principal de la supervision des systèmes informatiques des réseaux ou des appli-
cations est principalement la gestion optimale de l’infrastructure informatique.
En effet, elle permet aux administrateurs systèmes la détection rapide des problèmes en
temps réel et relatives au diagnostic des causes, aux réseaux, aux services en ligne, aux
débits, aux contrôle les flux, aux composants matériels, aux systèmes d’exploitations, au
système de stockage des données. Elle permet aussi la prise des mesures correctives avant
qu’ils n’affectent l’expérience d’utilisateur ou entraînent une interruption de service.
Elle peut également aider à identifier les tendances et les modèles de comportement du
système, à planifier la capacité et à améliorer l’efficacité opérationnelle.
2.4.2 Security Operation Center
Définition
SOC signifie Centre d’Opérations de Sécurité [14] est une fonction centralisée au sein
d’une entreprise qui surveille et améliore l’ensemble de l’infrastructure informatique de
l’organisation. L’intérêt du SOC est de détecter, analyser et prévenir les événements effi-
cacement en temps réel.
Le SOC est chargé de superviser 24h/24h les systèmes d’information au sein des en-
treprises afin de le sécuriser des cyberattaques. Il est considéré essentiellement comme un
point de corrélation pour chaque événement détecter et sauvegarder au sein de l’entreprise
qui est surveillée.
2.4.3 Fonctions du SOC
1. Surveillance proactive continue : Les outils utilisés par le SOC analysent le
réseau 24h/24h afin de signaler toute anomalie ou activité suspecte.
2. Classement et gestion des alertes : Le SOC examine précautionneusement les
alertes, il élimine tout faux positif et résolut l’agressivité des menaces réelles et les
cibles possibles.
3. Réponse aux menaces : Le SOC agit comme un intervenant principal, il exerce
des opérations défensives telles que l’arrêt des processus nuisibles et l’isolement des
points de terminaison.
4. Récupération et correction : Le SOC règle les systèmes et récupère toutes les
informations perdues qui peut engendrer la suppression ou le redémarrage des ter-
minaux.
5. Gestion de la conformité : Le SOC est responsable de la vérification régulière
de ses systèmes afin d’assurer la conformité à ces règlements, qui peuvent être émis
11
Chapitre 2 2.4. Supervision
par leur organisation, industrie ou organes directeurs.
6. Gestion des journaux : Le SOC utilise le SIEM pour agréger et corréler les flux de
données des applications, des systèmes d’exploitation, des terminaux et des pare-feu
qui produisent tous leurs propres journaux internes.
La figure 2.1 décrit le principe de fonctionnement du SOC.
Figure 2.1 – Fonctionnement du SOC [1].
2.4.4 Types du SOC
Les SOC peuvent être classés en plusieurs types [15] en fonction de leur taille, de leur
portée et de leur niveau de sophistication. Voici quelques-uns des types de SOC les plus
courants :
— SOC interne : un SOC interne est géré et exploité par l’entreprise elle-même. Il est
généralement situé dans les locaux de l’entreprise et peut être géré par le personnel
interne.
— SOC externalisé : un SOC externalisé est géré par un prestataire de services tiers.
Les entreprises peuvent externaliser leur SOC pour bénéficier d’une expertise sup-
plémentaire et d’une surveillance constante de la sécurité.
— SOC hybride : un SOC hybride combine les aspects d’un SOC interne et externa-
lisé. Il peut être géré par le personnel interne de l’entreprise en collaboration avec
un prestataire de services tiers.
12
Chapitre 2 2.4. Supervision
— SOC virtuel : un SOC virtuel est un SOC qui utilise des technologies de com-
munication à distance pour surveiller la sécurité des réseaux et des systèmes. Il est
souvent utilisé par les petites entreprises qui n’ont pas les ressources nécessaires
pour installer un SOC interne.
— SOC centralisé : un SOC centralisé est un SOC qui surveille et gère la sécurité
de plusieurs entités organisationnelles à partir d’un emplacement centralisé. Il est
souvent utilisé par les grandes entreprises ayant plusieurs sites ou filiales.
— SOC décentralisé : un SOC décentralisé est un SOC qui est réparti sur plusieurs
sites géographiques. Il peut être utilisé par les entreprises ayant des bureaux dans
plusieurs régions ou pays.
Il existe d’autres types de SOC qui peuvent être adaptés aux besoins et aux exi-
gences spécifiques de chaque entreprise.
2.4.5 Security Information and Event Management
Définition
La gestion de l’information et des événements de sécurité « SIEM » [16] est une tech-
nologie spécifique qui aide les organisations à reconnaître les menaces de sécurité et les
vulnérabilités potentielles.
Elle met en évidence les anomalies de comportement des utilisateurs et emploie l’intelli-
gence artificielle pour robotiser plusieurs mécanismes manuels associés à la détection des
menaces et à la réponse aux incidents :
C’est la combinaison de deux briques : Gestion des informations de sécurité « Security
Information Management (SIM) » et Gestion des événements de sécurité « Security Event
Management (SEM) ».
• Gestion des informations de sécurité « Security Information Management
SIM » :
SIM [17] est un logiciel de rétention des informations qui collecte les logs à partir
de dispositifs de sécurité (logiciels antivirus, pare-feu, Intrusion Detection System (IDS),
équipements réseaux, des serveurs proxy. . .) afin d’analyser et traduire les données sauve-
gardées d’une façon corrélées, proportionnelles et rationalisées.
• Gestion des événements de sécurité « Security Event Management SEM
» :
SEM est un processus de supervision en temps réel ou quasi temps réel qui permet
d’identifier, de surveiller et d’évaluer des événements liés à la sécurité. Le but est d’aider
les administrateurs systèmes à analyser, ajuster et gérer l’architecture, les stratégies, les
politiques et les procédures de sécurité de l’information.
Et la figure 2.2 présente l’architecture d’un système SIEM.
13
Chapitre 2 2.4. Supervision
Figure 2.2 – Architecture du SIEM [2].
2.4.6 Principe de fonctionnement du SIEM
• Collecte de données : Les SIEM [18] collectent des données de sécurité à partir
de diverses sources, notamment les journaux d’événements, les alertes de sécurité,
les informations sur les menaces et les vulnérabilités, les flux de données réseau et
les données d’utilisateurs.
• Agrégation : Les SIEM agrègent les données de sécurité en temps réel pour fournir
une vue globale des activités de sécurité de l’ensemble du système d’information.
• Corrélation : Les SIEM corrélaient les données de sécurité pour identifier les mo-
dèles et les relations entre les événements de sécurité apparemment non liés. Cela
permet de détecter les menaces avancées et les attaques sophistiquées qui peuvent
échapper aux systèmes de sécurité traditionnels.
• Analyse : Les SIEM analysent les données de sécurité pour identifier les événements
et les activités suspects, ainsi que pour évaluer la gravité des menaces. Les SIEM
utilisent des algorithmes d’apprentissage automatique et des règles de détection pour
détecter les anomalies et les indicateurs de compromission.
• Alertes et rapports : Les SIEM génèrent des alertes en temps réel pour signa-
ler les menaces potentielles, ainsi que des rapports détaillés pour aider les équipes
de sécurité à comprendre les tendances et les modèles de sécurité. Les rapports
peuvent également être utilisés pour démontrer la conformité réglementaire et les
performances opérationnelles.
La figure 2.3 illustre le principe de fonctionnement du SIEM.
14
Chapitre 2 2.4. Supervision
Figure 2.3 – Fonctionnement du SIEM [3].
2.4.7 Relation entre SOC et SIEM
SOC et SIEM sont deux notions associées à la sécurité informatique . En effet, le
SOC peut utiliser le SIEM pour collecter et analyser les événements de sécurité. Le SIEM
permet au SOC d’avoir une vue d’ensemble sur la sécurité du système, il permet aussi
de détecter rapidement les menaces de sécurité, de générer des alertes en temps réel pour
permettre une réponse rapide.
Le SIEM est un outil utilisé par le SOC pour surveiller et analyser les événements de
sécurité dans les environnements informatique, et par la suite, le SOC utilise les infor-
mations fournies par le SIEM pour surveiller activement les activités suspectes et réagir
rapidement aux menaces de sécurité.
En guise de conclusion, le SOC et le SIEM sont deux éléments importants pour la sécurité
informatique d’une entreprise et travaillent ensemble pour renforcer la sécurité informa-
tique de l’entreprise, surveiller les systèmes, détecter les incidents de sécurité et y répondre
rapidement.
À travers la figure 2.4, nous présentons la relation entre SOC et SIEM.
15
Chapitre 2 2.4. Supervision
Figure 2.4 – Relation entre SOC et SIEM [4].
2.4.8 Journalisations : Logs
En informatique, les fichiers logs (appelés aussi des fichiers journaux) sont des fichiers
qui permet le stockage et l’enregistrement d’un antécédent des évènements et des actions
attachées à un processus intervenant sur une application, un serveur ou un dispositif in-
formatique.
Et généralement, les logs sont stockés dans des fichiers texte ou dans des bases de données
logs afin d’exploiter pour identifier les erreurs, diagnostiquer les problèmes, détecter les in-
trusions en identifiant les événements anormaux, constater les lieux des attaques, effectuer
des analyses de données dont le but visualiser les actions du Système Informatique (SI)
et retracer l’historique et les actions d’un attaquant pour améliorer les performances et
la sécurité des systèmes.
Le schéma 2.5 montre l’interconnexion entre les fichiers journaux et les systèmes SIEM.
Figure 2.5 – Interconnexion entres les fichiers logs et les systèmes SIEM [5].
16
Chapitre 2 2.5. Solutions disponibles
2.5 Solutions disponibles
Commençons par définir quelques logiciels de supervision
2.5.1 Définition de chaque logiciel de supervision
Voici une liste de logiciels couramment utilisés pour la gestion de l’information et des
événements de sécurité :
• ELK Stack : cette suite open source est composée de 4 principaux éléments : Elas-
ticsearch, Kibana, Beats et Logstash. Elle permet de collecter les journaux de tous
les dispositifs et applications, de les traiter, d’analyser et de créer des visualisations
pour surveiller les applications et les équipements.
Figure 2.6 – Logo ELK Stack
• QRadar : il s’agit d’une solution commerciale proposée par IBM qui fournit une
plateforme centralisée pour la gestion de la sécurité et l’analyse des événements.
Figure 2.7 – Logo QRadar
• Splunk : cette plateforme de gestion de journaux offre des analyses en temps réel
des données machines provenant de toutes les sources, notamment les journaux, les
événements, et les métriques.
Figure 2.8 – Logo Splunk
17
Chapitre 2 2.5. Solutions disponibles
• SolarWinds Log and Event Manager : c’est une solution pour la gestion de
journaux et l’analyse d’événements qui fournit une vue centralisée de la sécurité et
une réponse rapide aux incidents.
Figure 2.9 – Logo SolarWinds and Event Manager
• McAfee Enterprise Security Manager : c’est une solution qui fournit une plate-
forme centralisée pour la collecte, la visualisation, et l’analyse de données de sécurité.
Figure 2.10 – Logo McAfee Enterprise Security Manager
• ArcSight : c’est une solution commerciale d’HP qui fournit une analyse en temps
réel des événements et une protection contre les menaces pour les entreprises.
Figure 2.11 – Logo ArcSight
18
Chapitre 2 2.6. Conclusion
2.5.2 Les Avantages et les inconvénients des logiciels de la su-
pervision
Le tableau 2.3 présente les différents critères de chaque SIEM définis dans la section
ci-dessus :
Table 2.3 – Avantages et inconvénients des logiciels de la supervision
SIEM proposées Avantages Inconvénients
ELK Stack Flexibilité
Open-source
Analyse en temps réel
Complexité
Coût de licence
QRadar Facile à utiliser
Analyse en temps réel
Coût élevé
Configuration compliquée
Splunk Large écosystème d’intégra-
tion
Interface personnalisée
Nécessite une expertise en
programmation
Coût élevé
ArcSight Fonctionnalités de sécurité
avancées
Configuration compliquée
Coût élevé
McAfee Enterprise Security
Manager
Intégration avec une variété
de technologies de sécurité
McAfee
Fonctionnalités de sécurité
limitées
Coût élevé
SolarWinds Log Coût abordable par rapport
à d’autres systèmes SIEM
Fonctionnalités de sécurité
limitées
Il est important de mentionner que ces avantages et inconvénients sont généraux et
peuvent être fluctués en fonction des spécifications et de l’emploi de chaque système.
2.6 Conclusion
Nous avons consacré ce chapitre à définir quelques notions telles que la cybersécurité,
la cyberattaque, le principe de la supervision et principalement le centre d’opérations de
sécurité SOC et la gestion de l’information et des événements de sécurité SIEM, indiquer
leurs caractéristiques, leurs types et de déterminer leurs fonctionnements. Et par la suite,
nous avons bien décrit les différents types de logiciels de supervisions, ses avantages et ses
inconvénients.
Dans le chapitre suivant, nous déposerons la solution adéquate et nous présenterons ses
propres composantes et leur fonctionnement puis nous focalisons sur l’installation de l’en-
vironnement du travail, la réalisation et le développement de la solution.
19
Chapitre 3
Réalisation et tests
3.1 Introduction
Dans ce dernier chapitre, nous présenterons la solution, l’environnement du travail
matériel, logiciel et l’architecture du travail. Ainsi que, nous focaliserons sur la partie
pratique de la réalisation de la solution optée et les tests.
3.2 Choix de la solution et justification
Commençons par une comparaison entre ELK stack et Qradar
3.2.1 Avantages du ELK Stack par rapport à la solution adoptée
par TT
En premier lieu, il existe plusieurs raisons pour lesquelles nous avons opté l’utilisation
ELK Stack au lieu de QRadar (utilisé par TT) pour la gestion de l’information et des
événements de sécurité SIEM.
En effet, la Suite ELK est une solution open-source qui est gratuite à utiliser et qui peut
être personnalisée en fonction de vos besoins spécifiques.
Outre, Elastic Stack est un logiciel flexible puisqu’il est composé de quatre outils (Elas-
ticsearch, Logstash, Kibana et Beats) qui peuvent être déployés et utilisés de manière
indépendante ou en tant que solution complète.
N’oublions pas la performance qu’ELK peut nous garantir vu qu’il traite et analyse des
données volumineuses et massives en temps réel ce qui peut être crucial pour la détection
des incidents de sécurité et la prise des mesures rapides pour les corriger.
D’ailleurs, ELK a une grande communauté de développeurs et d’utilisateurs qui contri-
buent constamment de nouvelles fonctionnalités et intégrations et cela peut aider à ré-
soudre les problèmes et à trouver des solutions plus rapidement.
En guise de conclusion, ELK Stack est le choix le plus populaire et la solution la plus
idéale pour les entreprises qui cherchent une solution flexible, personnalisable et peu coû-
teuse afin de répondre à leurs besoins.
20
Chapitre 3.2. Choix de la solution et justification
3.2.2 Composants du ELK
Comme nous citons au niveau de la définition de la suite ELK, ELK Stack [19] est
un acronyme pour Elasticsearch, Logstash, Kibana et Beats. Ces composants principaux
forment la plateforme ELK.
• Elasticsearch : Elasticsearch est un moteur de recherche distribué qui permet le
stockage, la recherche et l’analyser des données massives. Il est conçu pour être évo-
lutif, rapide et convivial.
• Logstash : Logstash est un collecteur des logs qui offre la possibilité de collecter,
de traiter et de normaliser les données.
• Kibana : Kibana est un outil employé essentiellement pour la visualisation, l’ana-
lyse des données et la création des tableaux de bord personnalisés.
• Beats : Beat est une plate-forme gratuite et libre s’occuper de la transmission et
la transite les données vers Wazuh et Elasticsearch.
• Wazuh : Wazuh est une plateforme open source du projet Open Source Security
Event Correlator (OSSEC) qui appartient à la famille des Host-based Intrusion De-
tection System (HIDS) utilisée pour la prévention, la détection, la surveillance des
logs applicatifs et des appels système dont le but de répondre aux menaces trouvées.
La figure 3.1 représente l’architecture du serveur Wazuh.
Figure 3.1 – Architecture du Serveur Wazuh [6]
21
Chapitre 3.3. Environnement du travail
Ensemble, ces composants d’Elastic Stack constituent une plate-forme complète pour
le traitement, l’analyse de données de sécurité et la collecte des logs de système.
3.2.3 Fonctionnement d’ELK Stack
Le fonctionnement de la plate-forme ELK Stack se déroule en trois étapes principales :
➢ La collecte des données : Wazuh est utilisé afin de collecter les données à partir
de diverses sources et systèmes. Ces derniers seront par la suite filtrés, standardisées et
traitées avant d’être stocker à la base de données Elasticsearch.
➢ Le stockage des données : Les données collectées par les agents Wazuh sont
stockées dans le module Elasticsearch.
➢ L’analyse et la visualisation des données : Les données stockées dans Elastic-
search peuvent être visualisées et analysées à l’aide de Kibana et/ou Wazuh. Kibana et
Wazuh offrent une interface graphique conviviale pour explorer les données et créer des
tableaux de bord personnalisés.
En résumé, la plate-forme ELK assure la collection, le stockage et l’analyse des don-
nées de différentes sources et les visualiser sous différentes formes dont le but est d’obtenir
des informations utiles et des insights.
3.3 Environnement du travail
Passons maintenant à l’environnement matériel
3.3.1 Environnement matériel
Table 3.1 – Caractéristiques de l’environnement matériel
Constructeur ASUS
Système d’exploitation
Windows 10 Professional x
64 bit
Mémoire vivante : Random
Access Memory (RAM)
12 GB
Disque dur : Read-Only
Memory (ROM)
1 TO
Processeur Intel Core I7-4750HQ
Carte graphique GPU Intel HD Graphics
Sur l’ordinateur portable mentionné dans le tableau 3.1, nous installons 5 machines
virtuelles ayant les caractéristiques décrites dans le tableau 3.2
22
Chapitre 3.3. Environnement du travail
Table 3.2 – Caractéristique des différentes machines virtuelles créées
Machine
virtuelle 1 :
Serveur
Machine
virtuelle 2 :
Client 1
Machine
virtuelle 3 :
Client 2
Machine
virtuelle 4 :
Client 3 :
Machine
vunèrable
Typhoon 1.02
Machine
virtuelle 5 :
Pirate
Système
d’exploitation
Cent OS 7 Ubuntu 22.04.2 Windows 10
Ubuntu 14.04
LTS
Kali
Mémoire
vivante : RAM
3 GB 1.5 GB 1.5 2 GB 3 GB
Disque dur :
ROM
25 GB 22 GB 22 GB 20 GB 20 GB
Nombre de
cœurs de
processeur
alloués
2 Processors 1 Processors 1 Processors 2 Processors 2 Processors
Réseau adapté
Network
Address
Translation
(NAT)
NAT NAT NAT NAT
3.3.2 Environnement logiciel
Pour la réalisation de ce projet, nous avons choisi les logiciels suivants :
• VMware Workstation 17 Player
VMware Workstation [20] est un outil de visualisation utilisé pour exécuter plusieurs
systèmes d’exploitation sur un seul ordinateur hôte physique. Chaque machine vir-
tuelle peut exécuter simultanément sur n’importe quel système d’exploitation Linux,
Microsoft, Oracle, MacOs, etc. . . afin de développer des nouveaux logiciels ou de tes-
ter une architecture complexe d’un système d’exploitation.
Figure 3.2 – Logo VMware-Workstation-player
• Elastic Stack version 7.17.6
Elastic Stack [21], également connu sous le nom d’ELK Stack, est une plateforme
23
Chapitre 3.3. Environnement du travail
open source complète de gestion de données créée par la société Elastic. Cette pla-
teforme permet la collecte, le traitement, le stockage, la recherche et la visualisation
de données en temps réel.
Figure 3.3 – Logo Elastic Stack
• Wazuh version 4.3.10
Wazuh est un système de gestion de sécurité open source conçu pour aider les
organisations à surveiller et à gérer la sécurité de leur infrastructure informatique.
Le module Wazuh permet également aux utilisateurs de configurer des politiques de
sécurité personnalisées pour détecter les menaces et les vulnérabilités spécifiques à
leur environnement. [13]
Figure 3.4 – Logo Wazuh
• Kali version 2022.1
Kali [22] est une solution multiplateforme gratuite et open-source basée sur le sys-
tème d’exploitation ‘’Debian Linux” conçue pour les tests d’intrusions avancés et à
l’audit de sécurité afin de détecter des vulnérabilités potentielles. Kali fournit des
outils, des configurations qui facilitent le repérage des vulnérabilités.
Figure 3.5 – Logo Kali
24
Chapitre 3.3. Environnement du travail
• Metasploit
Metasploit [23] est un Framework inventé pour le développement et l’exécution d’ex-
ploits contre toute machine distante dans le but est de créer, personnaliser, fournir
des informations sur les vulnérabilités et de faciliter la pénétration des systèmes
informatiques. Il est très vigoureux et permet de déclencher des performances sur
la machine cible dans le but de la nuire et d’acquérir un accès non autorisé.
Figure 3.6 – Logo Metasploit
3.3.3 Architecture d’environnement du travail
En se basant sur la figure 3.7, nous pouvons constater que cette architecture est celle
d’un système SIEM. Elle est composée d’une machine physique et d’un environnement
virtualisé VMware.
Sous VMware, il y a une machine CentOS 7 qui contient ELK et Wazuh, et qui est connec-
tée à une machine Windows 10 et une machine Ubuntu 22.04.
On trouve également une machine Kali qui est utilisée pour tester le niveau de la sécurité
du réseau en tentant de pénétrer les machines Ubuntu et Windows.
Il y a également une machine Ubuntu 14.04 LTS vulnérable (Typhoon 1.02) qui sera testée
avec Kali pour obtenir un accès root, puis elle sera ajoutée au réseau pour évaluer son
niveau de vulnérabilité.
Enfin, les résultats de cette intrusion sont visualisés via ELK pour analyser le comporte-
ment du système.
25
Chapitre 3.4. Installation d’Elastic Stack
Figure 3.7 – Architecture d’environemment du travail
3.4 Installation d’Elastic Stack
Dans cette partie, nous allons focaliser sur les différentes étapes de l’installation d’Elas-
tic Stack.
3.4.1 Installation de prérequis
Tout d’abord, nous devons déterminer le nom du Local host.
Figure 3.8 – Commande pour déterminer le nom de localhost
Dés quand on a déterminé le nom du local host, nous pouvons créer les fichiers sudoers
qui nous permettent d’accéder comme un root à l’aide de la commande sudo nano
/etc/sudoers.
26
Chapitre 3.4. Installation d’Elastic Stack
Figure 3.9 – Commande pour créer des fichiers Sudoers
Figure 3.10 – Ajouter l’utilisateur comme un root
Ensuite, nous installons java et open jdk à travers la commande de figure 3.11.
Figure 3.11 – Commande pour installer java et open jdk
Pour vérifier la version de java installée, nous tapons la commande java –version.illustrée
dans la figure 3.12.
Figure 3.12 – Commande pour verifier la version du java
Et pour terminer cette première partie, nous installons les différents packages curl et
unzip nécessaire pour l’installation comme la montre la figure 3.13.
27
Chapitre 3.4. Installation d’Elastic Stack
Figure 3.13 – Commande pour installer les fichiers prérequis
3.4.2 Installation d’Elasticsearch
Après la préparation d’environnement d’installation, nous pouvons installer les com-
posants d’Elastic Stack.
Et pour commencer, le premier service qu’on va installer est la base de données Elastic-
search qu’elle joue le rôle d’un moteur de recherche pour les alertes et les données.
C’est pour cela, nous devons importer la clé GPG d’Elasticsearch qui nous permet de
signer, crypter et décrypter les données nécessaires.
Figure 3.14 – Commande pour importer la clé GPG à Elasticsearch
Puis, nous ajoutons le dépôt comme le montre la figure 3.15
Figure 3.15 – Commande pour ajouter le dépôt d’Elastic Stack
La prochaine étape consiste à installer le package Elasticsearch comme l’illustre la
figure 3.16
28
Chapitre 3.4. Installation d’Elastic Stack
Figure 3.16 – Commande pour installer le package Elasticsearch
Finalement, nous devons installer le fichier de configuration d’Elasticsearch pour as-
surer la bonne démarche d’installation d’Elasticsearch.
Figure 3.17 – Commande pour télécharger le fichier de configuration d’Elasticsearch
3.4.3 Création et déploiement de certificats
En premier lieu, nous installons le fichier de configuration. Puis, nous créons des cer-
tificats et par suit nous extrairons les fichiers installés.
Figure 3.18 – Commande pour télécharger le fichier de configuration des Certificats.
Figure 3.19 – Commande pour créer les certificats.
29
Chapitre 3.4. Installation d’Elastic Stack
Figure 3.20 – Commande pour extraire les fichiers Zip téléchargés du Certificats.
Du moment que l’installation des certificats se fait sans erreurs, nous créons un réper-
toire nommé /etc/elasticsearch/certs pour copier le fichier CA, le certificat et la clé.
Figure 3.21 – Commandes pour créer le répertoire et configurer les fichiers des certifi-
cats.
Ainsi, les commandes de figure 3.22 permet d’activer et de démarrer le service Elas-
ticsearch.
Figure 3.22 – Commandes pour activer et démarrer le service Elasticsearch.
Pour tester le bon fonctionnement de notre service nous tapons la commande sys-
temctl status elasticsearch.
Figure 3.23 – Commande pour vérifier l’activation d’Elasticsearch.
30
Chapitre 3.4. Installation d’Elastic Stack
Comme le serveur Elasticsearch fonctionne convenablement, nous pouvons générer les
informations d’identification de la Suite Elastic.
Figure 3.24 – Commande pour exécuter les nouveaux mots de passe.
La commande de figure 3.25 affiche tous les mots de passe du système.
Figure 3.25 – Affichage des nouveaux mots de passe.
Finalement, pour vérifier que l’installation s’est bien déroulée nous tapons la com-
mande de la figure 3.26. Elle affiche toutes les informations concernant l’installation
d’Elasticsearch.
31
Chapitre 3.4. Installation d’Elastic Stack
Figure 3.26 – Commande pour vérifier le bon fonctionnement de l’installation d’Elas-
ticsearch.
3.4.4 Installation du module Wazuh
Avant l’installation du Wazuh, nous ajouterons des référentiels compatibles à la version
installée d’Elasticsearch pour assurer le bon fonctionnement du serveur Wazuh.
Figure 3.27 – Commande pour importer la clé GPG à Wazuh.
Figure 3.28 – Commande pour ajouter le dépôt du Wazuh.
En outre, nous installons le package du gestionnaire de serveur Wazuh à l’aide de la
commande de la figure 3.29.
32
Chapitre 3.4. Installation d’Elastic Stack
Figure 3.29 – Commande pour installer le package du gestionnaire Wazuh.
Finalement, nous activons et démarrons Wazuh comme la montre la figure 3.30.
Figure 3.30 – Commande pour activer et démarrer le service de gestionnaire Wazuh.
Nous assurons le fonctionnement du service de gestionnaire Wazuh à travers la com-
mande de la figure 3.31.
Figure 3.31 – Commande pour vérifier l’activation du Wazuh.
3.4.5 Installation de Filebeat
L’installation d’outil Filebeat garanti la transmission sécurisée des alertes et des évè-
nements entre le serveur Wazuh et la base de données Elasticsearch.
Et pour installer le package Filebeat, nous tapons la commande suivante : yum install
33
Chapitre 3.4. Installation d’Elastic Stack
filebeat-7 .17 .6.
Figure 3.32 – Commande pour installer les Filebeat.
Puis, nous téléchargeons le fichier de configuration Filebeat ainsi que le modèle d’alertes
pour la base de données Elasticsearch et le module Wazuh pour Filebeat à travers les com-
mandes mentionnées dans la figure 3.33.
Figure 3.33 – Commandes pour télécharger le fichier de configuration Filebeat, le
modèle d’alertes pour Elasticsearch et module de Wazuh pour les Filebeat.
Ensuite, nous ajoutons le mot de passe d’elastic dans le fichier /etc/filebeat/filebeat.yml.
Figure 3.34 – Commande pour modifier le fichier Filebeat.
34
Chapitre 3.4. Installation d’Elastic Stack
Figure 3.35 – Ajout de mot de passe d’Elastic dans le fichier Filebeat.
De même, nous copions les certificats dans le fichier /etc/filebeat/certs.
Figure 3.36 – Commandes pour copier les certificats dans le fichier Filebeat.
En dernier lieu, nous activons et démarrons le service Filebeat comme illustrée dans
la figure 3.37.
Figure 3.37 – Commandes pour activer et démarrer le service Filebeat.
Pour assurer l’activation du service Filebeat, nous tapons la commande de figure 3.38.
35
Chapitre 3.4. Installation d’Elastic Stack
Figure 3.38 – Commande pour vérifier le bon fonctionnement de service Filebeat.
La commande filebeat test output illustrée dans la figure 3.39 affirme le succès
d’installation du Filebeat.
Figure 3.39 – Commande pour tester le succès d’installation de Filebeat.
3.4.6 Installation de Kibana
Pour terminer l’installation d’Elastic Stack, nous installerons l’interface web Kibana
qui nous permet la visualisation des événements et des alertes stockés dans la base de
données Elasticsearch.
Pour cela, nous installons initialement le package Kibana comme la montre la figure 3.40.
Figure 3.40 – Commande pour installer le package Kibana.
36
Chapitre 3.4. Installation d’Elastic Stack
Dès que l’installation du Kibana s’effectue, nous copions les certificats Elasticsearch
dans le dossier de configuration de Kibana.
Figure 3.41 – Commandes pour copier les certificats d’Elasticsearch dans le dossier de
configuration de Kibana.
Aussi, nous téléchargeons le fichier de configuration de Kibana.
Figure 3.42 – Commande pour télécharger le fichier de configuration Kibana.
A l’aide de la commande vim /etc/kibana/kibana.yml, nous remplaçons le mot de
passe par défaut trouvé par le mot de passe d’Elastic.
Figure 3.43 – Commande pour modifier le fichier Kibana.
37
Chapitre 3.4. Installation d’Elastic Stack
Figure 3.44 – Ajout du mot de passe Elastic au fichier de Kibana.
Ensuite, nous créons le répertoire /user/share/kibana/data et nous installons le
plugin Wazuh Kibana.
Figure 3.45 – Commandes pour créer le répertoire Kibana et installer le plugin Wazuh
Kibana.
En dernier lieu, nous relions le socket de Kibana au port 443.
Figure 3.46 – Commande pour relier le socket Kibana au port 443.
L’activation et le démarrage du service Kibana se fait à l’aide des commandes de la
figure 3.47.
38
Chapitre 3.4. Installation d’Elastic Stack
Figure 3.47 – Commandes pour activer et démarrer le service Kibana.
Finalement, la commande systemctl status kibana vérifie l’activation du service
Kibana.
Figure 3.48 – Commande pour vérifier le fonctionnement de Kibana.
3.4.7 Désactivation des Référentiels
Pour assurer la compatibilité entre la version de Wazuh, Elastic Stack et les paquets,
nous désactivons toute mise à jour involontaire du système comme illustré à la figure 3.49.
Figure 3.49 – Commandes pour désactiver les références des nouvelles versions.
Pour accéder à l’interface Web nous devons savoir l’adresse IP du serveur wazuh. La
commande ip add affiche les différents types d’adresses.
39
Chapitre 3.4. Installation d’Elastic Stack
Figure 3.50 – Commande pour déterminer l’adresse IP du serveur.
Voici une capture qui montre l’authentification au logiciel Elastic Stack.
Figure 3.51 – Authentifier au Elastic Stack.
40
Chapitre 3.5. Installation des agents
3.5 Installation des agents
Dès que l’installation du serveur Elastic Stack s’effectue, nous passons à l’étape sui-
vante qui consiste d’installer les agents de wazuh sur nos différents client Ubuntu 22.04.2
et Windows 10.
Et avant tout, nous devons arrêter le fonctionnement du Firewall du système CentOS 7.
Figure 3.52 – Arrêt du fonctionnement du Firewall du CentOS.
3.5.1 Installation des agents sur Ubuntu 22.04
Pour installer l’agent wazuh, nous devons tout d’abord accéder en tant qu’un admi-
nistrateur.
Figure 3.53 – Mettre l’utilisateur comme un root.
Figure 3.54 – La mise à jour du système Ubuntu.
41
Chapitre 3.5. Installation des agents
Après la préparation d’environnement de travail, nous pouvons maintenant installer
convenablement les agents du wazuh à travers les commandes de la figure 3.55.
Figure 3.55 – Installation des agents sur Ubuntu.
3.5.2 Installation des agents sur Windows 10
L’installations des agents du wazuh sur Windows 10 s’effectue à l’aide des deux com-
mandes de la figure 3.56.
Figure 3.56 – Installation des agents sur Windows.
Et finalement, nous vérifions le succés d’installation à travers les tableaux de bords
du wazuh qui affiche l’interconnexion entre le serveur et les clients Ubuntu et Windows
et l’activation des agents.
42
Chapitre 3.6. Visualisation du système :
Figure 3.57 – Activation des Agents sur Ubuntu et Windows.
3.6 Visualisation du système :
Dans cette partie, nous allons présenter les différents composants de l’interface gra-
phique du système. Wazuh est constitué de quatre modules principaux, comme l’indique
la figure 3.58 :
• Security information management
• Threat detection and response
• Auditing and Policy Monitoring
• Regulatory Compliance
Figure 3.58 – Capture des composants du module wazuh.
43
Chapitre 3.6. Visualisation du système :
• Security information management :
Ce module est formé de deux outils essentiels « Security Events » et « Integrity Monito-
ring ».
Il est responsable de la collecte, la corrélation et la gestion des journaux de sécurité.
La figure 3.59 illustre comment Wazuh détecte les alertes et les traduit dans un gra-
phique.
Figure 3.59 – Capture du tableau du bord Wazuh.
La figure 3.60 affiche le traitement des fichiers logs. Elle est composée de quatre parties :
— Le premier champ détecte la date et l’heure des évènements.
— Le second affiche les noms des évènements et les décrit.
— La troisième colonne montre le niveau d’alerte de chaque évènement termes de
menace pour la sécurité. Le niveau peut varier de 1 à 15, le tableau 3.3 décrit
chaque alerte et son taux de gravité :
Table 3.3 – Niveau d’alerte de chaque événement.
Niveau d’alerte Signification
1 Ignoré
2 Notification système de faible priorité
3 Evénements réussis/autorisés
4 Erreur de priorité basse du système
5 Erreur générée par l’utilisateur
6 Attaque de faible pertinence
7 Critique
8 Première fois vu
9 Erreur provenant d’une source non valide
10 Plusieur erreurs générées par l’utilisateur
11 Avertissement de contrôle d’intégrité
12 Evénement de grande importance
13 Erreur inhabituelle (Haute importance)
14 Evénement de sécurité de grande importance
15 Attaque sévère
44
Chapitre 3.7. Scénarios des attaques
— La quatrième colonne montre l’Identifiant (ID) affecté par la MITRE ATT&CK de
chaque évènement.
Figure 3.60 – Capture analyse des évènements.
• Threat detection and response :
Il est aussi composé de deux outils nommés « Vulnerabilities » et « MITRE ATT&CK ».
Ce module détecte les menaces potentielles telles que les activités suspectes, les attaques
des logiciels malveillants et les tentatives de piratage.
• Auditing and Policy Monitoring :
Ce module est constitué de trois outils « Policy Monitoring », « System Auditing » et «
Security Configuration Assessment ».
Le module Auditing and Policy Monitoring de Wazuh permet la surveillance de la confor-
mité des systèmes informatiques aux politiques de sécurité et aux réglementations en
vigueur en temps réel.
• Regulatory Compliance :
Ce dernier module de Wazuh est composé des normes suivantes « Payment Card Industry
Data Security Standard (PCI-DSS) », « General Data Protection Regulation (GDPR) »,
« Health Insurance Portability and Accountability Act (HIPAA) » et « National Institute
of Standards and Technology 800-53 (NIST 800-53) ».
Il permet aux organisations d’assurer la conformité de leurs systèmes informatiques aux
réglementations en vigueur.
Et dans ce projet, nous allons focaliser sur deux outils essentiels : ‘’Security informa-
tion management” et ‘’Threat detection and response”.
3.7 Scénarios des attaques
Ce volet sera consacré à une série de scénarios d’attaques qu’on peut réaliser sur notre
système afin de tester le bon fonctionnement de notre SIEM en détectant ses différentes
attaques et créant des réponses immédiates. Voici quelques exemples d’attaques qu’on va
effectuer :
• Surveillance de l’intégrité des fichiers.
• Détection d’une attaque par injection SQL.
45
Chapitre 3.7. Scénarios des attaques
• Détection de vulnérabilité.
• Attaque force brute par SSH.
3.7.1 Surveillance de l’intégrité des fichiers
La surveillance d’intégrité des fichiers est un module disposé par Wazuh qui assiste
à maintenir une longueur d’avance sur les failles de sécurité et à détecter les alertes qui
pourraient exposer le réseau à des attaques de pillage.
Et dans ce contexte, nous allons découvrir comment ELK Stack et plus précisément le
module de surveillance Wazuh intègre lors d’une modification dans le système de fichiers
pour détecter toutes créations, changement ou suppression des fichiers.
Et par la suite, nous essayons de modifier un fichier dans le répertoire /root. Et pour
cela, nous accédons au fichier /var/ossec/etc/ossec.conf de l’agent Wazuh installé sur
la machine Ubuntu 22.04.
Figure 3.61 – Commande pour modifier le fichier ossec.conf.
Nous activons l’audit des données qui détecte toutes informations sur l’utilisateur et
le processus modifiés.
Figure 3.62 – Capture d’ajout de la ligne directories check-all pour vérifier l’intégrité
du fichier.
Puis, nous redémarrons l’agent Wazuh et nous testons leur fonctionnement.
46
Chapitre 3.7. Scénarios des attaques
Figure 3.63 – Commandes pour démarrer et vérifier le bon fonctionnement d’agent
wazuh.
Le module Wazuh a détecté les changements et les a affichés sous forme d’alertes de
sécurité.
Figure 3.64 – Première description d’alerte de Sécurité par ELK Stack.
Les figures 3.65, 3.66 et 3.67 présentent en détails comment réagit Wazuh avec cette
alerte en affichant toutes les données nécessaires.
47
Chapitre 3.7. Scénarios des attaques
Figure 3.65 – Première description d’alerte de Sécurité.
Figure 3.66 – Deuxième description d’alerte de Sécurité.
48
Chapitre 3.7. Scénarios des attaques
Figure 3.67 – Troisième description d’alerte de Sécurité.
3.7.2 Détection d’une attaque par injection SQL
SQL Injection est un type de vulnérabilité de sécurité web qui permet aux attaquants
d’exploiter les failles des requêtes dynamiques qu’une application fait à la base de don-
nées.
Elle permet au pirate d’accéder, de modifier, de supprimer et de manipuler les données
liées à la base de données ce qui engendre des problèmes liés au fonctionnement des ap-
plications et même la destruction des bases de données.
L’injection SQL est l’une des techniques de piratage web les plus courantes et poten-
tielles car elle peut être employée dans le but de nuire les applications Web qui utilisent
les requêtes SQL pour la création des bases de données. (La majorité des applications
Web exploitent les bases de données SQL).
Et le module Wazuh offre la possibilité de détecter ce genre des attaques persistantes
et nocives en effectuant les étapes suivantes.
Tout d’abord, nous allons mettre à jour les packages locaux sur la machine ubuntu.
Figure 3.68 – Commande pour mettre à jour les packages locaux.
Et par la suite, nous installons le serveur Web Apache afin de surveiller les journaux
Apache.
49
Chapitre 3.7. Scénarios des attaques
Figure 3.69 – Commande pour installer serveur web Apache.
Pour autoriser l’accés externes aux port Web, nous devons déasactiver les para-feu.
Figure 3.70 – Commande pour installer serveur web Apache.
La commande systemctl status apache2 vérifie l’activation du serveur Web.
Figure 3.71 – Commande montre le bon fonctionnement du serveur Apache.
50
Chapitre 3.7. Scénarios des attaques
La commande de la figure 3.72 affiche l’installation de la page destination d’Apache.
Figure 3.72 – Installation du Apache.
Ensuite, nous essayons de modifier un fichier dans le répertoire /root. Et pour cette
raison, nous accédons au fichier /var/ossec/etc/ossec.conf de l’agent Wazuh installé
sur la machine Ubuntu 22.04.
Figure 3.73 – Commande pour accéder au fichier ossec.conf.
Nous ajoutons le code montionné dans la figure 3.74 pour surveiller Apache.
Figure 3.74 – Ajout du code pour surveiller Apache.
51
Chapitre 3.7. Scénarios des attaques
Puis, nous redémarrons l’agent Wazuh et nous testons leur fonctionnement.
Figure 3.75 – Commandes pour redémmarer et tester le bon fonctionnement du wazuh-
agent.
Nous injectons l’attaque SQL Injection à la commande de la figure 3.76.
Figure 3.76 – Injection de l’attaque.
Voici la réaction instantanée du module Wazuh afin de détecter cette attaque mal-
veillante.
Figure 3.77 – Résultat du système.
52
Chapitre 3.7. Scénarios des attaques
Figure 3.78 – Résultat affiché par wazuh.
Figure 3.79 – Description d’alerte 1.
Figure 3.80 – Description d’alerte 2.
Figure 3.81 – Description d’alerte 3.
3.7.3 Détection de vulnérabilité
La vulnérabilité [24] [25] en informatique désigne toute faille accidentelle ou inten-
tionnelle dans la configuration ou la conception du système permet au pirate d’accéder
illégalement au réseau informatique dans le but d’ignorer ou de violer les politiques de
sécurité d’une entreprise.
Et le système ELK Stack utilise un ensemble des outils et des solutions pour détecter et
53
Chapitre 3.7. Scénarios des attaques
mentionner les vulnérabilités du système.
Et dans ce contexte, nous essayons de visualiser comment wazuh détecte la vulnérabi-
lité des systèmes informatiques.
Pour cette raison, nous installons une machine vulnérable nommée Typhoon 1.02, [26]
[27] son système d’exploitation est Ubuntu 14.04.
Comme le montre la figure 3.82 pour accéder à la machine nous devons taper le nom
de l’identifiant et le mot de passe.
Figure 3.82 – Authentification de Typhoon 1.02
Donc, nous vérifions de l’adresse MAC de la machine Typhoon.
Figure 3.83 – Vérification de l’adresse MAC de la machine vulnhub
54
Chapitre 3.7. Scénarios des attaques
Puis, et à l’aide de Kali, nous tapons la commande netdiscover pour découvrir les
machines en ligne ou connectées et déterminer l’adresse IP de Typhoon en se basant à
son adresse MAC.
Figure 3.84 – Commande pour découvrir les machines connectées.
L’étape suivante consiste à scanner les ports de la machine cible.
Figure 3.85 – Commande pour scanner les ports de la machine cible.
55
Chapitre 3.7. Scénarios des attaques
Nous détectons un accès d’entré à mongoadmin dans http-rebots et une ouverture
du port 8080 (Port HTTP) pour Apache Tomcat.
Figure 3.86 – Détection d’une entrée mongoadmin dans robot.
Figure 3.87 – Détection d’ouverture du port 8080 pour Apache Tomcat Coyote JSP
Engine 1.1.
La figure 3.88 montre le résultat affiché en tapant sur le navigateur :
56
Chapitre 3.7. Scénarios des attaques
http ://192.168.35.148/mongoadmin.
Nous obtenons les justificatifs d’identité : nom d’utilisateur et mot de passe.
Figure 3.88 – Les données nécessaires pour Login.
Par la suite, nous scannons à travers la commande drib le site qui génère une grande
sortie des répertoires intéressants.
Figure 3.89 – Commande pour scanner le site.
La figure 3.106 montre l’ouverture du répertoire drupal qui affiche la version utilisée.
57
Chapitre 3.7. Scénarios des attaques
Figure 3.90 – Ouverture du répertoire drupal.
Figure 3.91 – Commande pour déterminer la version du Drupal .
En se basant sur la figure 3.107 nous remarquons que la version drupal 8 utilisé par
la machine est très ancienne et cela nous permet d’exploiter le module Metasploit pour
fournir des informations sur les vulnérabilités de la cible. Donc la prochaine étape consiste
d’installer et d’exécuter Metasploit.
58
Chapitre 3.7. Scénarios des attaques
Figure 3.92 – Lancement de Metasploit.
La commande search drupal permet de rechercher le répertoire drupal dans Metas-
ploit.
Figure 3.93 – Commande pour rechercher drupal dans Metasploit.
La figure 3.94 montre les modifications des paramètres du Metasploit.
59
Chapitre 3.7. Scénarios des attaques
Figure 3.94 – Modification des paramètres du Metasploit.
Voici les changements effectués sur Metasploit.
Figure 3.95 – Résultat de la modification efféctuée sur Metasploit.
La commande run ré-exécute Metasploit.
60
Chapitre 3.7. Scénarios des attaques
Figure 3.96 – Commande pour redémarrer Metasploit.
Ensuite, nous recherchons le sploit de la version 3.13.0 et nous l’envoyons vers la
machine Typhoon.
Figure 3.97 – Commandes pour chercher le Spoit 3.13.0 et l’envoyer vers Typhoon
1.02.
Au bout d’un certain temps, nous avons eu une idée de profiter des résultats obtenus
au-dessus et surtout de la figure 3.88 qui contient les justificatifs d’identité de la cible et
de connecter par le protocole SSH.
Pour cela, et sur une nouvelle fenêtre de terminale, nous devons connaitre l’adresse IP
du serveur Kali.
61
Chapitre 3.7. Scénarios des attaques
Figure 3.98 – Commande pour déterminer l’adresse IP de Kali.
Puis, nous tapons la commande suivante : ssh typhoon@192.168.35.148.
Figure 3.99 – Commande pour connecter avec SSH.
La figure 3.100 montre la réception du fichier qui contient le sploit.
62
Chapitre 3.7. Scénarios des attaques
Figure 3.100 – Commande pour récupérer le sploit.
Nous exécutons le fichier qui contient le sploit.
Figure 3.101 – Commandes pour exécuter fichier contenant le sploit.
La figure 3.102 montre le succès d’exécution du fichier.
Figure 3.102 – Succés d’exécution du fichier.
A ce niveau-là, nous pouvons directement installer l’agent-wazuh à travers Kali puisque
le type du clavier utilisé par Typhoon est QWERTY et cela engendre des lacunes lors de
l’écriture des commandes.
La figure 3.103 montre l’installation d’agent-wazuh.
63
Chapitre 3.7. Scénarios des attaques
Figure 3.103 – Commandes pour installer agent-wazuh.
Voici le résultat affiché par le module Wazuh et le succès d’interconnexion de l’agent
par le système.
Figure 3.104 – Résultat d’interconnexion de l’agent affiché par Wazuh.
La dernière étape consiste à détecter la vulnérabilité de la machine, donc nous accé-
dons au fichier root ossec.conf.
Figure 3.105 – Commande pour accéder au fichier ossec.conf.
Nous vérifions les paramètres liés à la détection des vulnérabilités.
64
Chapitre 3.7. Scénarios des attaques
Figure 3.106 – Configuration de la vulnérabilité 1.
Figure 3.107 – Configuration de la vulnérabilité 2.
65
Chapitre 3.7. Scénarios des attaques
Figure 3.108 – Configuration de la vulnérabilité 3.
Figure 3.109 – Configuration de la vulnérabilité 4.
Finalement, nous redémarrons le serveur wazuh-manager.
Figure 3.110 – Commande pour redémarrer agent-wazuh.
66
Chapitre 3.7. Scénarios des attaques
Le système détecte immédiatement la vulnérabilité de la cible et affiche les résultats
suivants.
Figure 3.111 – Résultat affiché par Wazuh 1.
Figure 3.112 – Résultat affiché par Wazuh 2.
3.7.4 Attaque force brute par protocole SSH
Les attaques force brute SSH dans les systèmes informatiques sont des tentatives de
connexions SSH utilisées dans le but d’accéder illégalement à des systèmes protégés par
mot de passe, tels que les comptes de messagerie électronique, les comptes bancaires en
ligne ou les réseaux privés. . . en effectuant une suite des tests pour découvrir le nom d’uti-
lisateur et le mot de passe.
Et pour effectuer cette attaque, nous allons tout d’abord activer le protocole SSH sur la
machine cible Ubuntu 22.04.
Figure 3.113 – Commande pour activer le protocole SSH sur machine Ubuntu.
67
Chapitre 3.7. Scénarios des attaques
Pour assurer l’activation du protocole SSH, nous tapons la commande de figure 3.114.
Figure 3.114 – Commande pour vérifier le fonctionnement de SSH sur Ubuntu.
Ensuite nous accédons convenablement en tapant les identifiants corrects. La capture
3.115 montre le succès d’interconnexion lorsqu’on tape le nom d’utilisateur et le mot de
passe correctement.
Figure 3.115 – Capture Login SSH.
Puis, nous essayons de taper des mots de passe inexacts afin de visualiser la réponse
du système. Le protocole SSH offre par défaut trois essais seulement à l’utilisateur et par
la suite la permission sera refusée mais sans bloquer l’utilisateur.
68
Chapitre 3.7. Scénarios des attaques
Figure 3.116 – Capture 3 essais d’attaque SSH.
Donc nous essayons d’insérer une règle qui bloque l’utilisateur après deux essais in-
correcte seulement pendant 180 secondes.
Figure 3.117 – Commande pour accéder aux règles.
Figure 3.118 – Capture de la règle SSH ajouté.
Nous redémarrons le serveur Wazuh et nous testons la réaction du système après
l’ajout de la règle 5760.
69
Chapitre 3.8. Conclusion
Figure 3.119 – Capture du blocage d’attaque SSH.
Le serveur Wazuh affiche les différentes alertes détéctées immédiatemment. Il réagit
à cette tentative trouvée en bloquant l’utilisateur après deux essais comme le montre la
figure 7.120.
Figure 3.120 – Capture qui affiche la réponse du Wazuh : échec d’authentification SSH.
En résumé, le serveur Wazuh n’a pas détecté l’alerte seulement mais en ajoutant
et modifiant des règles il réagit rapidement afin d’éviter toutes tentatives malveillantes
indésirables.
3.8 Conclusion
Dans ce dernier chapitre, nous avons justifié notre choix de solution en décrivant les
avantages d’ELK stack. Nous avons ensuite présenté les composants et le fonctionnement
de cette solution, ainsi que les environnements logiciels et matériels nécessaires à sa mise
en place.
Nous avons également détaillé l’architecture de notre environnement du travail, puis pro-
cédé à l’installation de la solution et à la configuration des agents.
Aussi, nous avons réalisé la visualisation du système et à la configuration des agents.
Et finalement, nous avons créé des scénarios d’attaques pour tester le fonctionnemnt du
systéme et voir le résulats du Wazuh.
70
Conclusion Générale
Grâce à cette expérience professionnelle réalisée au sein de Tunisie Télécom, nous avons
eu l’opportunité de mettre en pratique nos compétences théoriques et professionnelles ac-
quises lors de nos études à l’institut.
Pendant la période de stage, nous avons d’abord découvert le réseau de Tunisie Té-
lécom, ainsi que les outils de sécurité utilisés par l’entreprise, notamment le système de
supervision QRadar. Après avoir examiné les lacunes de ce système, nous avons proposé
une alternative plus évolutive : le système de supervision ELK Stack. Dans la deuxième
partie du projet, nous avons étudié Elastic Stack. Son fonctionnement consiste à collecter
stocker et corréler les informations du réseau en vue d’identifier rapidement les incidents
de sécurité.
Il permet aussi de suivre les activités et diagnostiquer les problèmes de performance.
Nous avons consacré la partie pratique à la préparation de l’environnement de travail,
l’installation des machines virtuelles CentOS 7, Ubuntu 22.04.2, Windows 10, Typhoo
1.02 et Kali, ainsi que l’installation du système de supervision ELK Stack et ses com-
posants : tels que la base de données Elasticsearch, l’interface graphique de visualisation
Kibana, les FileBeats, le module Wazuh et ses agents wazuh.
Nous avons également présenté les différents composants du système, tels que l’audit
la surveillance des politiques, la conformité réglementaire, la détection et la réponse aux
menaces et surtout la gestion des informations de sécurité.
Enfin, nous avons mis en œuvre divers tests de détection de vulnérabilités afin de
démontrer l’aptitude de notre solution à analyser le niveau de vulnérabilité. Nous avons
aussi réalisé des scénarios d’attaques, tels que l’attaque par injection SQL, l’attaque par
force brute.
Nous avons constaté que l’avantage majeur d’incorporer le module Wazuh dans ELK
Stack est de détecter les menaces et les attaques potentielles en temps réel. Par conséquent
la sécurité de l’entreprise sera considérablement améliorée.
En conclusion, ce projet nous a permis d’acquérir une expertise en matière d’audit
de sécurité des réseaux et des systèmes, de nous familiariser avec l’environnement Linux,
d’explorer Metasploit et de réaliser des attaques à l’aide de Kali.
Cette expérience nous a également ouvert de nouvelles perspectives sur les systèmes
SIEM et l’intelligence artificielle qui jouent un rôle primordial dans la protection des
entreprises contre les cyberattaques.
71
Netographie
[1] SOC. In : tales from security professional (consulté le 19-05-2023).
https://tales-from-a-security-professional.com/which-services-can-
you-expect-from-a-security-operation-center-ce5e97aa6a31
[2] Architecure d’un SIEM. In : tutorial and example (consulté le 19-05-2023). https:
//www.tutorialandexample.com/siem-tools
[3] SIEM. In : orange business (consulté le 19-05-2023). https://www.orange-
business.com/fr/blogs/securite/lois-reglementations-standards-et-
certifications/gestion-des-informations-et-evenements-de-securite-
siem
[4] SIEM. In : openclassrooms (consulté le 19-05-2023). https://openclassrooms.com/
fr/courses/1750566-optimisez-la-securite-informatique-grace-au-
monitoring/7144162-identifiez-les-objectifs-du-monitoring
[5] SIEM. In : spiceworks (consulté le 19-05-2023). https://www.spiceworks.com/it-
security/vulnerability-management/articles/what-is-siem/
[6] Wazuh Architecture. In : Wazuh (consulté le 19-05-2023). https:
//documentation.wazuh.com/current/deployment-options/elastic-stack/
index.html
[7] Tunisie Télécom. In : Tunisie telecom (consulté le 19-05-2023). https://
www.tunisietelecom.tn/Fr/Particulier/A-Propos/Entreprise
[8] Supervision informatique. In : informatique-securite (consulté le 19-05-
2023). https://www.informatique-securite.net/quest-cest-reellement-
supervision-informatique/
[9] Qradar. In : IBM (consulté le 19-05-2023). https://www.ibm.com/docs/fr/SSKMKU/
com.ibm.qradar.doc/b_qradar_users_guide.pdf
[10] Cyberattaque. In : Oracle (consulté le 19-05-2023). https://www.oracle.com/fr/
cloud/cyberattaque-securite-reseau-informatique.html
[11] Cybersécurité. In : IBM (consulté le 19-05-2023). https://www.ibm.com/fr-fr/
topics/cybersecurity
[12] Cybersécurité. In : CISCO (consulté le 19-05-2023). https://www.cisco.com/c/
fr_fr/products/security/what-is-cybersecurity.html
[13] Supervision. In : appvizer (consulté le 19-05-2023). https://www.appvizer.fr/
magazine/services-informatiques/supervision-info/supervision-
informatique
[14] SOC. In : varnois (consulté le 19-05-2023). https://www.varonis.com/blog/
security-operations-center-soc
72
siem.pdf
siem.pdf

Contenu connexe

Tendances

Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Saadaoui Marwen
 
RAPPORT DE PROJET DE FIN D’ETUDES
RAPPORT DE PROJET DE FIN D’ETUDESRAPPORT DE PROJET DE FIN D’ETUDES
RAPPORT DE PROJET DE FIN D’ETUDESTombariAhmed
 
conception et réalisation d'une application de gestion des rapports téléphoni...
conception et réalisation d'une application de gestion des rapports téléphoni...conception et réalisation d'une application de gestion des rapports téléphoni...
conception et réalisation d'une application de gestion des rapports téléphoni...ismailbou
 
Rapport de projet de fin d"études
Rapport de projet de fin d"étudesRapport de projet de fin d"études
Rapport de projet de fin d"étudesMohamed Boubaya
 
Rapport Stage Ouvrier - Application J2EE - Haroun SMIDA
Rapport Stage Ouvrier - Application J2EE - Haroun SMIDARapport Stage Ouvrier - Application J2EE - Haroun SMIDA
Rapport Stage Ouvrier - Application J2EE - Haroun SMIDAHaroun SMIDA
 
AUTOMATISATION DU DEPLOIEMENT ET DE LA GESTION DES RESEAUX VIRTUELS DANS LE C...
AUTOMATISATION DU DEPLOIEMENT ET DE LA GESTION DES RESEAUX VIRTUELS DANS LE C...AUTOMATISATION DU DEPLOIEMENT ET DE LA GESTION DES RESEAUX VIRTUELS DANS LE C...
AUTOMATISATION DU DEPLOIEMENT ET DE LA GESTION DES RESEAUX VIRTUELS DANS LE C...Khadidja BOUKREDIMI
 
RapportPFE_IngenieurInformatique_ESPRIT
RapportPFE_IngenieurInformatique_ESPRITRapportPFE_IngenieurInformatique_ESPRIT
RapportPFE_IngenieurInformatique_ESPRITLina Meddeb
 
Rapport pfe talan_2018_donia_hammami
Rapport pfe talan_2018_donia_hammamiRapport pfe talan_2018_donia_hammami
Rapport pfe talan_2018_donia_hammamiDonia Hammami
 
2015 07 14_presentation-pfe-gestion-parc-informatique
2015 07 14_presentation-pfe-gestion-parc-informatique2015 07 14_presentation-pfe-gestion-parc-informatique
2015 07 14_presentation-pfe-gestion-parc-informatiqueUsmiste Rosso
 
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeMise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeOlivierMawourkagosse
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléCharif Khrichfa
 
Implémentation et mise en place d’un système décisionnel pour la solution Meg...
Implémentation et mise en place d’un système décisionnel pour la solution Meg...Implémentation et mise en place d’un système décisionnel pour la solution Meg...
Implémentation et mise en place d’un système décisionnel pour la solution Meg...Houssem Eddine Jebri
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...Borel NZOGANG
 
Mise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseauMise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseauRabeb Boumaiza
 
Rapport PFE réalisation d’un Framework Kinect
Rapport PFE réalisation d’un Framework KinectRapport PFE réalisation d’un Framework Kinect
Rapport PFE réalisation d’un Framework KinectAmine MEGDICHE
 
Rapport Projet de fin d'etude sur le parc informatique
Rapport Projet  de fin d'etude sur le parc informatiqueRapport Projet  de fin d'etude sur le parc informatique
Rapport Projet de fin d'etude sur le parc informatiqueHicham Ben
 
mise en place d'un système de classes virtuelles utilisant le webRTC + openfi...
mise en place d'un système de classes virtuelles utilisant le webRTC + openfi...mise en place d'un système de classes virtuelles utilisant le webRTC + openfi...
mise en place d'un système de classes virtuelles utilisant le webRTC + openfi...Bassirou Dime
 
Memoire version finale kenfack
Memoire version finale kenfackMemoire version finale kenfack
Memoire version finale kenfackvalmy roi
 

Tendances (20)

Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
 
RAPPORT DE PROJET DE FIN D’ETUDES
RAPPORT DE PROJET DE FIN D’ETUDESRAPPORT DE PROJET DE FIN D’ETUDES
RAPPORT DE PROJET DE FIN D’ETUDES
 
conception et réalisation d'une application de gestion des rapports téléphoni...
conception et réalisation d'une application de gestion des rapports téléphoni...conception et réalisation d'une application de gestion des rapports téléphoni...
conception et réalisation d'une application de gestion des rapports téléphoni...
 
Rapport de projet de fin d"études
Rapport de projet de fin d"étudesRapport de projet de fin d"études
Rapport de projet de fin d"études
 
Rapport Stage Ouvrier - Application J2EE - Haroun SMIDA
Rapport Stage Ouvrier - Application J2EE - Haroun SMIDARapport Stage Ouvrier - Application J2EE - Haroun SMIDA
Rapport Stage Ouvrier - Application J2EE - Haroun SMIDA
 
Rapport PFE
Rapport PFERapport PFE
Rapport PFE
 
AUTOMATISATION DU DEPLOIEMENT ET DE LA GESTION DES RESEAUX VIRTUELS DANS LE C...
AUTOMATISATION DU DEPLOIEMENT ET DE LA GESTION DES RESEAUX VIRTUELS DANS LE C...AUTOMATISATION DU DEPLOIEMENT ET DE LA GESTION DES RESEAUX VIRTUELS DANS LE C...
AUTOMATISATION DU DEPLOIEMENT ET DE LA GESTION DES RESEAUX VIRTUELS DANS LE C...
 
RapportPFE_IngenieurInformatique_ESPRIT
RapportPFE_IngenieurInformatique_ESPRITRapportPFE_IngenieurInformatique_ESPRIT
RapportPFE_IngenieurInformatique_ESPRIT
 
Rapport pfe talan_2018_donia_hammami
Rapport pfe talan_2018_donia_hammamiRapport pfe talan_2018_donia_hammami
Rapport pfe talan_2018_donia_hammami
 
Rapport de fin d'etude
Rapport  de fin d'etudeRapport  de fin d'etude
Rapport de fin d'etude
 
2015 07 14_presentation-pfe-gestion-parc-informatique
2015 07 14_presentation-pfe-gestion-parc-informatique2015 07 14_presentation-pfe-gestion-parc-informatique
2015 07 14_presentation-pfe-gestion-parc-informatique
 
Mise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécuriséeMise en place d'une solution VOIP sécurisée
Mise en place d'une solution VOIP sécurisée
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
 
Implémentation et mise en place d’un système décisionnel pour la solution Meg...
Implémentation et mise en place d’un système décisionnel pour la solution Meg...Implémentation et mise en place d’un système décisionnel pour la solution Meg...
Implémentation et mise en place d’un système décisionnel pour la solution Meg...
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
 
Mise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseauMise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseau
 
Rapport PFE réalisation d’un Framework Kinect
Rapport PFE réalisation d’un Framework KinectRapport PFE réalisation d’un Framework Kinect
Rapport PFE réalisation d’un Framework Kinect
 
Rapport Projet de fin d'etude sur le parc informatique
Rapport Projet  de fin d'etude sur le parc informatiqueRapport Projet  de fin d'etude sur le parc informatique
Rapport Projet de fin d'etude sur le parc informatique
 
mise en place d'un système de classes virtuelles utilisant le webRTC + openfi...
mise en place d'un système de classes virtuelles utilisant le webRTC + openfi...mise en place d'un système de classes virtuelles utilisant le webRTC + openfi...
mise en place d'un système de classes virtuelles utilisant le webRTC + openfi...
 
Memoire version finale kenfack
Memoire version finale kenfackMemoire version finale kenfack
Memoire version finale kenfack
 

Similaire à siem.pdf

Rapport PFE BIAT Conception et mise en place d’une plate-forme de gestion des...
Rapport PFE BIAT Conception et mise en place d’une plate-forme de gestion des...Rapport PFE BIAT Conception et mise en place d’une plate-forme de gestion des...
Rapport PFE BIAT Conception et mise en place d’une plate-forme de gestion des...Yasmine Lachheb
 
Conception et Développement d'un Network Management System ATM Nortel
Conception et Développement d'un Network Management System ATM NortelConception et Développement d'un Network Management System ATM Nortel
Conception et Développement d'un Network Management System ATM NortelTidiane Sylla
 
Projet Passerelle sécurisée intelligente pour l'internet des objets
Projet Passerelle sécurisée intelligente pour l'internet des objetsProjet Passerelle sécurisée intelligente pour l'internet des objets
Projet Passerelle sécurisée intelligente pour l'internet des objetsUniversité de Rennes 1
 
rapport de mémoire de mastère : sécurisation du réseau nan au sein des smart ...
rapport de mémoire de mastère : sécurisation du réseau nan au sein des smart ...rapport de mémoire de mastère : sécurisation du réseau nan au sein des smart ...
rapport de mémoire de mastère : sécurisation du réseau nan au sein des smart ...yosra fraiji
 
Rapport Projet De Fin D'étude de Conception et développement d’une applicatio...
Rapport Projet De Fin D'étude de Conception et développement d’une applicatio...Rapport Projet De Fin D'étude de Conception et développement d’une applicatio...
Rapport Projet De Fin D'étude de Conception et développement d’une applicatio...mouafekmazia
 
Conception et développement d'une marketplace basée sur l'architecture micros...
Conception et développement d'une marketplace basée sur l'architecture micros...Conception et développement d'une marketplace basée sur l'architecture micros...
Conception et développement d'une marketplace basée sur l'architecture micros...Adem Amen Allah Thabti
 
réaliser une plateforme d’automatisation et de génération des rapports de test
réaliser une plateforme d’automatisation et de génération des rapports de testréaliser une plateforme d’automatisation et de génération des rapports de test
réaliser une plateforme d’automatisation et de génération des rapports de testahmed oumezzine
 
Rapport pfe isi_Big data Analytique
Rapport pfe isi_Big data AnalytiqueRapport pfe isi_Big data Analytique
Rapport pfe isi_Big data AnalytiqueYosra ADDALI
 
Outpatient Department System (OPD)
Outpatient Department System (OPD) Outpatient Department System (OPD)
Outpatient Department System (OPD) Ben Ahmed Zohra
 
Mon Projet Fin d'étude: Conception et développement d'une application de géol...
Mon Projet Fin d'étude: Conception et développement d'une application de géol...Mon Projet Fin d'étude: Conception et développement d'une application de géol...
Mon Projet Fin d'étude: Conception et développement d'une application de géol...rim elaire
 
Rapport (Mémoire de Master) de stage PFE pour l’obtention du Diplôme Nationa...
Rapport (Mémoire de Master) de stage PFE pour  l’obtention du Diplôme Nationa...Rapport (Mémoire de Master) de stage PFE pour  l’obtention du Diplôme Nationa...
Rapport (Mémoire de Master) de stage PFE pour l’obtention du Diplôme Nationa...Mohamed Amine Mahmoudi
 
Référentiel e-Société
Référentiel e-SociétéRéférentiel e-Société
Référentiel e-SociétéGenève Lab
 
Rapport Projet de Fin d'Etudes
Rapport Projet de Fin d'EtudesRapport Projet de Fin d'Etudes
Rapport Projet de Fin d'EtudesHosni Mansour
 

Similaire à siem.pdf (20)

Report Master
Report MasterReport Master
Report Master
 
Rapport PFE BIAT Conception et mise en place d’une plate-forme de gestion des...
Rapport PFE BIAT Conception et mise en place d’une plate-forme de gestion des...Rapport PFE BIAT Conception et mise en place d’une plate-forme de gestion des...
Rapport PFE BIAT Conception et mise en place d’une plate-forme de gestion des...
 
Conception et Développement d'un Network Management System ATM Nortel
Conception et Développement d'un Network Management System ATM NortelConception et Développement d'un Network Management System ATM Nortel
Conception et Développement d'un Network Management System ATM Nortel
 
Projet Passerelle sécurisée intelligente pour l'internet des objets
Projet Passerelle sécurisée intelligente pour l'internet des objetsProjet Passerelle sécurisée intelligente pour l'internet des objets
Projet Passerelle sécurisée intelligente pour l'internet des objets
 
These
TheseThese
These
 
Protection-dun-réseau-dentreprise-via-un-firewall.pdf
Protection-dun-réseau-dentreprise-via-un-firewall.pdfProtection-dun-réseau-dentreprise-via-un-firewall.pdf
Protection-dun-réseau-dentreprise-via-un-firewall.pdf
 
Belwafi bilel
Belwafi bilelBelwafi bilel
Belwafi bilel
 
Belwafi bilel
Belwafi bilelBelwafi bilel
Belwafi bilel
 
rapport de mémoire de mastère : sécurisation du réseau nan au sein des smart ...
rapport de mémoire de mastère : sécurisation du réseau nan au sein des smart ...rapport de mémoire de mastère : sécurisation du réseau nan au sein des smart ...
rapport de mémoire de mastère : sécurisation du réseau nan au sein des smart ...
 
Rapport Projet De Fin D'étude de Conception et développement d’une applicatio...
Rapport Projet De Fin D'étude de Conception et développement d’une applicatio...Rapport Projet De Fin D'étude de Conception et développement d’une applicatio...
Rapport Projet De Fin D'étude de Conception et développement d’une applicatio...
 
Conception et développement d'une marketplace basée sur l'architecture micros...
Conception et développement d'une marketplace basée sur l'architecture micros...Conception et développement d'une marketplace basée sur l'architecture micros...
Conception et développement d'une marketplace basée sur l'architecture micros...
 
réaliser une plateforme d’automatisation et de génération des rapports de test
réaliser une plateforme d’automatisation et de génération des rapports de testréaliser une plateforme d’automatisation et de génération des rapports de test
réaliser une plateforme d’automatisation et de génération des rapports de test
 
Rapport
RapportRapport
Rapport
 
iRecruite
iRecruiteiRecruite
iRecruite
 
Rapport pfe isi_Big data Analytique
Rapport pfe isi_Big data AnalytiqueRapport pfe isi_Big data Analytique
Rapport pfe isi_Big data Analytique
 
Outpatient Department System (OPD)
Outpatient Department System (OPD) Outpatient Department System (OPD)
Outpatient Department System (OPD)
 
Mon Projet Fin d'étude: Conception et développement d'une application de géol...
Mon Projet Fin d'étude: Conception et développement d'une application de géol...Mon Projet Fin d'étude: Conception et développement d'une application de géol...
Mon Projet Fin d'étude: Conception et développement d'une application de géol...
 
Rapport (Mémoire de Master) de stage PFE pour l’obtention du Diplôme Nationa...
Rapport (Mémoire de Master) de stage PFE pour  l’obtention du Diplôme Nationa...Rapport (Mémoire de Master) de stage PFE pour  l’obtention du Diplôme Nationa...
Rapport (Mémoire de Master) de stage PFE pour l’obtention du Diplôme Nationa...
 
Référentiel e-Société
Référentiel e-SociétéRéférentiel e-Société
Référentiel e-Société
 
Rapport Projet de Fin d'Etudes
Rapport Projet de Fin d'EtudesRapport Projet de Fin d'Etudes
Rapport Projet de Fin d'Etudes
 

siem.pdf

  • 1. République Tunisienne Ministère de l’Enseignement Supérieur et de la Recherche Scientifique Université de Carthage Institut Supérieur des Technologies de l’Information et de la Communication Rapport de Stage Présenté en vue de l’obtention de la Licence en Technologies de l’Information et de la Communication Spécialité : Télécommunications Présenté Par Nour Berraies Youssef Ben Salah Mise en place d’un système de monitoring SIEM : ELK Stack Réalisé au sein de Tunisie Télécom Soutenu publiquement le 05/06/2023 devant le jury composé de : Président : Rapporteur : Encadrant professionnel : Encadrant académique : Mme Maha Cherif, Enseignante, ISTIC Mme Sabrine Naimi, Enseignante, ISTIC M Walid Zaghdoudi, Ingénieur, TELECOM Mme Nejla Oueslati, Enseignante, ISTIC Année Universitaire : 2022-2023
  • 2. République Tunisienne Ministère de l’Enseignement Supérieur et de la Recherche Scientifique Université de Carthage Institut Supérieur des Technologies de l’Information et de la Communication Rapport de Stage Présenté en vue de l’obtention de la Licence en Technologies de l’Information et de la Communication Spécialité : Télécommunication Présenté Par Nour Berraies Youssef Ben Salah Mise en place d’un système de monitoring SIEM : ELK Stack Réalisé au sein de Tunisie Télécom période de Stage : du 01/02/2023 jusqu’au 01/05/2023 Autorisation de dépôt du rapport de Projet de Fin d’Etudes : Encadrant professionnel : Le : signature : Encadrant académique : Le : Signature :
  • 3. Dédicaces À mes chers parents, mes idoles, aucune dédicace ne saurait être assez éloquente pour exprimer l’amour et le respect que j’ai pour vous. À mes sœurs Héla et Salma, qui n’ont jamais cessé de m’encourager et de me soutenir dans tous les projets que j’entreprends. En témoignage de mon affection fraternelle, mon attachement éternel et ma reconnaissance. À tous ceux que j’aime. À tous ceux qui m’aiment et me supportent. BEN SALAH Youssef i
  • 4. Dédicaces Au début, je tiens à remercier DIEU de m’avoir donné la santé et la force de mener à bien ce modeste travail. Je dédie ce projet à mes drôles parents, aucun hommage ne pourrait être à la hauteur d’amour et de respect que j’ai pour vous. À ma chère sœur qu’elle m’a toujours soutenu et m’encourage dans toute ma vie. Merci pour vos support et encouragement tout au long de mon parcours. À mon binôme Youssef qui a partagé avec moi tous les moments de la réalisation de ce travail. Tout ceux qui m’aiment et que j’aime. Nour Berraies ii
  • 5. Remerciements Nous avons un grand plaisir de garder cette page en signe de gratitude et de profonde reconnaissance à tous ceux qui nous ont aidés de près et de loin pour réaliser ce projet. En premier lieu, nous tenons à remercier Mr Walid Zaghdoudi notre encadrant professionnel au sein de Tunisie Télécom et notre encadrante académique Mme Nejla Oueslati pour leurs disponibilités durant la période du stage, leurs judicieux conseils, leurs efforts et leurs encouragements ; nos respectueuses reconnaissances. Nous tenons aussi à remercier la société qui nous a accueillis pendant toute la durée du stage Tunisie Télécom pour cette opportunité de nous intégrer dans leur travail. Et finalement, nous aimerons adresser ce remerciement à l’Institut Supérieur des Tech- nologies de l’Information et de la Communication ISTIC et le jury pour leurs propres efforts réalisés. iii
  • 6. Table des matières Remerciements iii Liste des Abbréviations xi Introduction Générale 1 1 Présentation Générale du Projet 2 1.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.2 Présentation de l’organisme d’accueil . . . . . . . . . . . . . . . . . . . . . 2 1.2.1 Organisme d’accueil . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.2.2 Domaines d’activités . . . . . . . . . . . . . . . . . . . . . . . . . . 3 1.2.3 Missions de Tunisie Télécom . . . . . . . . . . . . . . . . . . . . . . 3 1.3 Présentation du projet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 1.3.1 Cadre de projet et problématique . . . . . . . . . . . . . . . . . . . 4 1.3.2 Etude de l’existant . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 1.3.3 Critique de l’existant . . . . . . . . . . . . . . . . . . . . . . . . . . 5 1.3.4 Solution proposée . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 1.4 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 2 Les Notions de Bases de la Sécurité Informatique 7 2.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 2.2 Cyberattaque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 2.2.1 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 2.2.2 Types d’attaques . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 2.2.3 Différents exemples de cyberattaques . . . . . . . . . . . . . . . . . 8 2.3 Cybersécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 2.3.1 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 2.3.2 Types de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 2.3.3 Services de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 2.4 Supervision . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 2.4.1 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 2.4.2 Security Operation Center . . . . . . . . . . . . . . . . . . . . . . . 11 2.4.3 Fonctions du Security Operations Center (SOC) . . . . . . . . . . . 11 2.4.4 Types du SOC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 2.4.5 Security Information and Event Management . . . . . . . . . . . . 13 2.4.6 Principe de fonctionnement du Security Information and Event ma- nagement (SIEM) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 2.4.7 Relation entre SOC et SIEM . . . . . . . . . . . . . . . . . . . . . . 15 2.4.8 Journalisations : Logs . . . . . . . . . . . . . . . . . . . . . . . . . . 16 iv
  • 7. Table des matières Table des matières 2.5 Solutions disponibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 2.5.1 Définition de chaque logiciel de supervision . . . . . . . . . . . . . 17 2.5.2 Les Avantages et les inconvénients des logiciels de la supervision . . 19 2.6 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 3 Réalisation et tests 20 3.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 3.2 Choix de la solution et justification . . . . . . . . . . . . . . . . . . . . . . 20 3.2.1 Avantages du ELK Stack par rapport à la solution adoptée par TT 20 3.2.2 Composants du ELK . . . . . . . . . . . . . . . . . . . . . . . . . . 21 3.2.3 Fonctionnement d’ELK Stack . . . . . . . . . . . . . . . . . . . . . 22 3.3 Environnement du travail . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 3.3.1 Environnement matériel . . . . . . . . . . . . . . . . . . . . . . . . 22 3.3.2 Environnement logiciel . . . . . . . . . . . . . . . . . . . . . . . . . 23 3.3.3 Architecture d’environnement du travail . . . . . . . . . . . . . . . 25 3.4 Installation d’Elastic Stack . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 3.4.1 Installation de prérequis . . . . . . . . . . . . . . . . . . . . . . . . 26 3.4.2 Installation d’Elasticsearch . . . . . . . . . . . . . . . . . . . . . . . 28 3.4.3 Création et déploiement de certificats . . . . . . . . . . . . . . . . . 29 3.4.4 Installation du module Wazuh . . . . . . . . . . . . . . . . . . . . . 32 3.4.5 Installation de Filebeat . . . . . . . . . . . . . . . . . . . . . . . . . 33 3.4.6 Installation de Kibana . . . . . . . . . . . . . . . . . . . . . . . . . 36 3.4.7 Désactivation des Référentiels . . . . . . . . . . . . . . . . . . . . . 39 3.5 Installation des agents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 3.5.1 Installation des agents sur Ubuntu 22.04 . . . . . . . . . . . . . . . 41 3.5.2 Installation des agents sur Windows 10 . . . . . . . . . . . . . . . . 42 3.6 Visualisation du système : . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 3.7 Scénarios des attaques . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 3.7.1 Surveillance de l’intégrité des fichiers . . . . . . . . . . . . . . . . . 46 3.7.2 Détection d’une attaque par injection Structured Query Language (SQL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 3.7.3 Détection de vulnérabilité . . . . . . . . . . . . . . . . . . . . . . . 53 3.7.4 Attaque force brute par protocole Secure Shell (SSH) . . . . . . . . 67 3.8 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 Conclusion Générale 71 Netographie 72 Liens d’installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 v
  • 8. Table des figures 1.1 Logo Tunisie Télécom (TT) . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.2 Organigramme TT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 1.3 Authentification du Logiciel QRadar. . . . . . . . . . . . . . . . . . . . . . 5 1.4 Onglet d’Infraction dans QRadar Console. . . . . . . . . . . . . . . . . . . 5 1.5 Onglet d’Activité du Réseau dans QRadar Console . . . . . . . . . . . . . 6 2.1 Fonctionnement du SOC [1]. . . . . . . . . . . . . . . . . . . . . . . . . . . 12 2.2 Architecture du SIEM [2]. . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 2.3 Fonctionnement du SIEM [3]. . . . . . . . . . . . . . . . . . . . . . . . . . 15 2.4 Relation entre SOC et SIEM [4]. . . . . . . . . . . . . . . . . . . . . . . . . 16 2.5 Interconnexion entres les fichiers logs et les systèmes SIEM [5]. . . . . . . . 16 2.6 Logo ELK Stack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 2.7 Logo QRadar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 2.8 Logo Splunk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 2.9 Logo SolarWinds and Event Manager . . . . . . . . . . . . . . . . . . . . . 18 2.10 Logo McAfee Enterprise Security Manager . . . . . . . . . . . . . . . . . . 18 2.11 Logo ArcSight . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 3.1 Architecture du Serveur Wazuh [6] . . . . . . . . . . . . . . . . . . . . . . 21 3.2 Logo VMware-Workstation-player . . . . . . . . . . . . . . . . . . . . . . . 23 3.3 Logo Elastic Stack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 3.4 Logo Wazuh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 3.5 Logo Kali . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 3.6 Logo Metasploit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 3.7 Architecture d’environemment du travail . . . . . . . . . . . . . . . . . . . 26 3.8 Commande pour déterminer le nom de localhost . . . . . . . . . . . . . . . 26 3.9 Commande pour créer des fichiers Sudoers . . . . . . . . . . . . . . . . . . 27 3.10 Ajouter l’utilisateur comme un root . . . . . . . . . . . . . . . . . . . . . . 27 3.11 Commande pour installer java et open jdk . . . . . . . . . . . . . . . . . . 27 3.12 Commande pour verifier la version du java . . . . . . . . . . . . . . . . . . 27 3.13 Commande pour installer les fichiers prérequis . . . . . . . . . . . . . . . . 28 3.14 Commande pour importer la clé GPG à Elasticsearch . . . . . . . . . . . . 28 3.15 Commande pour ajouter le dépôt d’Elastic Stack . . . . . . . . . . . . . . 28 3.16 Commande pour installer le package Elasticsearch . . . . . . . . . . . . . . 29 3.17 Commande pour télécharger le fichier de configuration d’Elasticsearch . . 29 3.18 Commande pour télécharger le fichier de configuration des Certificats. . . 29 3.19 Commande pour créer les certificats. . . . . . . . . . . . . . . . . . . . . . 29 3.20 Commande pour extraire les fichiers Zip téléchargés du Certificats. . . . . 30 3.21 Commandes pour créer le répertoire et configurer les fichiers des certificats. 30 3.22 Commandes pour activer et démarrer le service Elasticsearch. . . . . . . . 30 3.23 Commande pour vérifier l’activation d’Elasticsearch. . . . . . . . . . . . . 30 vi
  • 9. Table des figures Table des figures 3.24 Commande pour exécuter les nouveaux mots de passe. . . . . . . . . . . . 31 3.25 Affichage des nouveaux mots de passe. . . . . . . . . . . . . . . . . . . . . 31 3.26 Commande pour vérifier le bon fonctionnement de l’installation d’Elastic- search. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 3.27 Commande pour importer la clé GPG à Wazuh. . . . . . . . . . . . . . . 32 3.28 Commande pour ajouter le dépôt du Wazuh. . . . . . . . . . . . . . . . . 32 3.29 Commande pour installer le package du gestionnaire Wazuh. . . . . . . . 33 3.30 Commande pour activer et démarrer le service de gestionnaire Wazuh. . . 33 3.31 Commande pour vérifier l’activation du Wazuh. . . . . . . . . . . . . . . . 33 3.32 Commande pour installer les Filebeat. . . . . . . . . . . . . . . . . . . . . 34 3.33 Commandes pour télécharger le fichier de configuration Filebeat, le modèle d’alertes pour Elasticsearch et module de Wazuh pour les Filebeat. . . . . 34 3.34 Commande pour modifier le fichier Filebeat. . . . . . . . . . . . . . . . . 34 3.35 Ajout de mot de passe d’Elastic dans le fichier Filebeat. . . . . . . . . . . 35 3.36 Commandes pour copier les certificats dans le fichier Filebeat. . . . . . . . 35 3.37 Commandes pour activer et démarrer le service Filebeat. . . . . . . . . . 35 3.38 Commande pour vérifier le bon fonctionnement de service Filebeat. . . . . 36 3.39 Commande pour tester le succès d’installation de Filebeat. . . . . . . . . 36 3.40 Commande pour installer le package Kibana. . . . . . . . . . . . . . . . . 36 3.41 Commandes pour copier les certificats d’Elasticsearch dans le dossier de configuration de Kibana. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 3.42 Commande pour télécharger le fichier de configuration Kibana. . . . . . . 37 3.43 Commande pour modifier le fichier Kibana. . . . . . . . . . . . . . . . . . 37 3.44 Ajout du mot de passe Elastic au fichier de Kibana. . . . . . . . . . . . . 38 3.45 Commandes pour créer le répertoire Kibana et installer le plugin Wazuh Kibana. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 3.46 Commande pour relier le socket Kibana au port 443. . . . . . . . . . . . . 38 3.47 Commandes pour activer et démarrer le service Kibana. . . . . . . . . . . 39 3.48 Commande pour vérifier le fonctionnement de Kibana. . . . . . . . . . . . 39 3.49 Commandes pour désactiver les références des nouvelles versions. . . . . . 39 3.50 Commande pour déterminer l’adresse Internet Protocol (IP) du serveur. . 40 3.51 Authentifier au Elastic Stack. . . . . . . . . . . . . . . . . . . . . . . . . . 40 3.52 Arrêt du fonctionnement du Firewall du CentOS. . . . . . . . . . . . . . . 41 3.53 Mettre l’utilisateur comme un root. . . . . . . . . . . . . . . . . . . . . . 41 3.54 La mise à jour du système Ubuntu. . . . . . . . . . . . . . . . . . . . . . 41 3.55 Installation des agents sur Ubuntu. . . . . . . . . . . . . . . . . . . . . . 42 3.56 Installation des agents sur Windows. . . . . . . . . . . . . . . . . . . . . . 42 3.57 Activation des Agents sur Ubuntu et Windows. . . . . . . . . . . . . . . . 43 3.58 Capture des composants du module wazuh. . . . . . . . . . . . . . . . . . 43 3.59 Capture du tableau du bord Wazuh. . . . . . . . . . . . . . . . . . . . . . 44 3.60 Capture analyse des évènements. . . . . . . . . . . . . . . . . . . . . . . . 45 3.61 Commande pour modifier le fichier ossec.conf. . . . . . . . . . . . . . . . . 46 3.62 Capture d’ajout de la ligne directories check-all pour vérifier l’intégrité du fichier. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 3.63 Commandes pour démarrer et vérifier le bon fonctionnement d’agent wazuh. 47 3.64 Première description d’alerte de Sécurité par ELK Stack. . . . . . . . . . 47 3.65 Première description d’alerte de Sécurité. . . . . . . . . . . . . . . . . . . . 48 3.66 Deuxième description d’alerte de Sécurité. . . . . . . . . . . . . . . . . . . 48 vii
  • 10. Table des figures Table des figures 3.67 Troisième description d’alerte de Sécurité. . . . . . . . . . . . . . . . . . . 49 3.68 Commande pour mettre à jour les packages locaux. . . . . . . . . . . . . 49 3.69 Commande pour installer serveur web Apache. . . . . . . . . . . . . . . . 50 3.70 Commande pour installer serveur web Apache. . . . . . . . . . . . . . . . 50 3.71 Commande montre le bon fonctionnement du serveur Apache. . . . . . . . 50 3.72 Installation du Apache. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 3.73 Commande pour accéder au fichier ossec.conf. . . . . . . . . . . . . . . . . 51 3.74 Ajout du code pour surveiller Apache. . . . . . . . . . . . . . . . . . . . . 51 3.75 Commandes pour redémmarer et tester le bon fonctionnement du wazuh- agent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 3.76 Injection de l’attaque. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 3.77 Résultat du système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 3.78 Résultat affiché par wazuh. . . . . . . . . . . . . . . . . . . . . . . . . . . 53 3.79 Description d’alerte 1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 3.80 Description d’alerte 2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 3.81 Description d’alerte 3. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 3.82 Authentification de Typhoon 1.02 . . . . . . . . . . . . . . . . . . . . . . 54 3.83 Vérification de l’adresse Media Access Control (MAC) de la machine vulnhub 54 3.84 Commande pour découvrir les machines connectées. . . . . . . . . . . . . 55 3.85 Commande pour scanner les ports de la machine cible. . . . . . . . . . . . 55 3.86 Détection d’une entrée mongoadmin dans robot. . . . . . . . . . . . . . . 56 3.87 Détection d’ouverture du port 8080 pour Apache Tomcat Coyote JSP Engine 1.1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 3.88 Les données nécessaires pour Login. . . . . . . . . . . . . . . . . . . . . . 57 3.89 Commande pour scanner le site. . . . . . . . . . . . . . . . . . . . . . . . 57 3.90 Ouverture du répertoire drupal. . . . . . . . . . . . . . . . . . . . . . . . 58 3.91 Commande pour déterminer la version du Drupal . . . . . . . . . . . . . . 58 3.92 Lancement de Metasploit. . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 3.93 Commande pour rechercher drupal dans Metasploit. . . . . . . . . . . . . 59 3.94 Modification des paramètres du Metasploit. . . . . . . . . . . . . . . . . . 60 3.95 Résultat de la modification efféctuée sur Metasploit. . . . . . . . . . . . . 60 3.96 Commande pour redémarrer Metasploit. . . . . . . . . . . . . . . . . . . . 61 3.97 Commandes pour chercher le Spoit 3.13.0 et l’envoyer vers Typhoon 1.02. 61 3.98 Commande pour déterminer l’adresse IP de Kali. . . . . . . . . . . . . . . 62 3.99 Commande pour connecter avec SSH. . . . . . . . . . . . . . . . . . . . . 62 3.100 Commande pour récupérer le sploit. . . . . . . . . . . . . . . . . . . . . . 63 3.101 Commandes pour exécuter fichier contenant le sploit. . . . . . . . . . . . 63 3.102 Succés d’exécution du fichier. . . . . . . . . . . . . . . . . . . . . . . . . . 63 3.103 Commandes pour installer agent-wazuh. . . . . . . . . . . . . . . . . . . . 64 3.104 Résultat d’interconnexion de l’agent affiché par Wazuh. . . . . . . . . . . 64 3.105 Commande pour accéder au fichier ossec.conf. . . . . . . . . . . . . . . . . 64 3.106 Configuration de la vulnérabilité 1. . . . . . . . . . . . . . . . . . . . . . . 65 3.107 Configuration de la vulnérabilité 2. . . . . . . . . . . . . . . . . . . . . . . 65 3.108 Configuration de la vulnérabilité 3. . . . . . . . . . . . . . . . . . . . . . . 66 3.109 Configuration de la vulnérabilité 4. . . . . . . . . . . . . . . . . . . . . . . 66 3.110 Commande pour redémarrer agent-wazuh. . . . . . . . . . . . . . . . . . . 66 3.111 Résultat affiché par Wazuh 1. . . . . . . . . . . . . . . . . . . . . . . . . . 67 3.112 Résultat affiché par Wazuh 2. . . . . . . . . . . . . . . . . . . . . . . . . . 67 viii
  • 11. Table des figures Table des figures 3.113 Commande pour activer le protocole SSH sur machine Ubuntu. . . . . . . 67 3.114 Commande pour vérifier le fonctionnement de SSH sur Ubuntu. . . . . . . 68 3.115 Capture Login SSH. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 3.116 Capture 3 essais d’attaque SSH. . . . . . . . . . . . . . . . . . . . . . . . 69 3.117 Commande pour accéder aux règles. . . . . . . . . . . . . . . . . . . . . . 69 3.118 Capture de la règle SSH ajouté. . . . . . . . . . . . . . . . . . . . . . . . 69 3.119 Capture du blocage d’attaque SSH. . . . . . . . . . . . . . . . . . . . . . 70 3.120 Capture qui affiche la réponse du Wazuh : échec d’authentification SSH. . 70 ix
  • 12. Liste des tableaux 2.1 Types d’attaques malveillantes . . . . . . . . . . . . . . . . . . . . . . . . . 8 2.2 Types d’attaques forgées . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 2.3 Avantages et inconvénients des logiciels de la supervision . . . . . . . . . . 19 3.1 Caractéristiques de l’environnement matériel . . . . . . . . . . . . . . . . . 22 3.2 Caractéristique des différentes machines virtuelles créées . . . . . . . . . . 23 3.3 Niveau d’alerte de chaque événement. . . . . . . . . . . . . . . . . . . . . . 44 x
  • 13. Liste des abréviations ADSL Asymmetric Digital Subscriber Line DDoS Distributed Denial of Service DoS Denial of Service DTH Direct to Home GDPR General Data Protection Regulation HIPAA Health Insurance Portability and Accountability Act HIDS Host-based Intrusion Detection System ID Identifiant IDS Intrusion Detection System IP Internet Protocol IPTV Internet Protocol Television IT Information Technology MAC Media Access Control NAT Network Address Translation NIST 800-53 National Institute of Standards and Technology 800-53 OSSEC Open Source Security Event Correlator PCI-DSS Payment Card Industry Data Security Standard RAM Random Access Memory ROM Read-Only Memory SEM Security Event Management SIEM Security Information and Event management SI Système Informatique SIM Security Information Management SMS Short Message Service SOC Security Operations Center SSH Secure Shell SQL Structured Query Language TT Tunisie Télécom VOD Video on Demand VoIP Voice over Internet Protocol Wi-Fi Wireless Fidelity xi
  • 14. Introduction Générale Suite à la transformation digitale et aux développements technologiques, les systèmes d’information sont devenus vulnérables aux menaces qui peuvent engendrer une défaite des données vitales voire même des dommages physiques aux machines. C’est pour cette raison la sécurité de l’information au sein des organisations est devenue une nécessité pri- mordiale. Cette exigence de protection des données a stimulé un nouveau domaine nommé « Cybersécurité ». Le but de la cybersécurité est d’assurer une protection et une intégrité des informations (sensibles ou non) au sein des infrastructures digitales. Elle représente l’ensemble des ou- tils, des politiques, des concepts et des mécanismes de sécurité. Ces derniers, consistent à protéger : les terminaux, les systèmes informatiques, les serveurs, les réseaux, les disposi- tifs mobiles, les données et les logs contre les menaces et attaques malveillantes. Dans ce contexte s’inscrit le sujet de notre stage de fin d’études intitulé : la mise en place d’un système de monitoring SIEM : ELK Stack et réalisé au sein de l’en- treprise ‘’Tunisie Télécom”. Dans ce projet, nous allons nous focaliser sur une solution permettant : la collecte des logs, la gestion de ces derniers et la corrélation des journaux dans le but de détecter des potentielles anomalies telles que les cyberattaques. Ce rapport est constitué de trois grands chapitres : ➢ Le premier chapitre est dédié à présenter l’organisme d’accueil, ses missions et ses domaines d’activités. Il identifie le contexte et la problématique. Une analyse critique de l’existant est réalisée. La solution proposée est basée sur les limites de ces derniers. ➢ Le deuxième chapitre est consacré aux principes fondamentaux de la sécurité infor- matique. Il présente les solutions disponibles dans le marché ainsi que leurs avantages et inconvénients. ➢ Le troisième chapitre se focalise sur la solution adoptée afin d’assurer une meilleure supervision, sa mise en œuvre depuis l’installation de l’environnement du travail jusqu’à la réalisation. 1
  • 15. Chapitre 1 Présentation générale du projet 1.1 Introduction Dans ce premier chapitre, nous allons tout d’abord nous concentrer sur la mise en contexte du projet en commençant par une présentation de l’organisme d’accueil Tunisie Télécom dans lequel le travail a été effectué, le contexte du projet et la problématique à résoudre, l’étude de l’existant et le critique et finalement la solution proposée. 1.2 Présentation de l’organisme d’accueil Tout d’abord, nous présenterons le cadre juridique de l’organisme d’accueil Tunisie Télécom, domaines d’activité et ses propres missions. 1.2.1 Organisme d’accueil L’office national des télécommunications [7] est un établissement à caractère commer- cial, doté de la personnalité civile et de l’autonomie financière. Il a été conçu et mis en œuvre par la loi N°36 du 17 avril 1995. Puis il a changé son statut juridique, en vertu du décret N°30 du 5 avril 2004, pour devenir une société nommée « Tunisie Telecom ». Figure 1.1 – Logo TT 2
  • 16. Chapitre 1 1.2. Présentation de l’organisme d’accueil 1.2.2 Domaines d’activités Tunisie Télécom est le principal fournisseur de services de télécommunications en Tu- nisie ; se compose de 24 conseils régionaux, de 140 espaces et points de vente TT et de plus de 13 000 points de vente ; offre à ses clients une gamme complète de services de téléphonie, d’Internet et de télévision. Nous présentons ci-dessous les principaux services de l’organisation : • Services de téléphonie fixe : TT fournit des services de téléphonie fixe aux clients professionnels et résidentiels en Tunisie. • Services de téléphonie mobile : TT fournit des services de téléphonie mobile sous la marque "Tunisie Télécom Mobile", qui comprend des Short Message Ser- vice (SMS), des appels et des services de données. • Services Internet : TT offre des services Internet haut débit via Asymmetric Di- gital Subscriber Line (ADSL), Wireless Fidelity (Wi-Fi), et fibre optique. La société propose également des services de Voice over Internet Protocol (VoIP). • Services de télévision : TT offre une gamme de services de télévision, notamment des services Internet Protocol Television (IPTV) , Direct to Home (DTH) , Video on Demand (VOD) et des services de télévision en ligne. • Services aux entreprises : TT propose des services de télécommunications pour les entreprises, notamment des services de centre d’appels, des services de réseaux privés, des services de vidéo conférence et des services de connectivité à large bande. • Services financiers : TT fournit des services financiers, y compris le transfert d’argent et les services de paiement mobile et électronique. [8] 1.2.3 Missions de Tunisie Télécom Ci-dessous, nous présentons quelques missions menées par TT : 1 – Développer et installer des réseaux téléphoniques et traiter la transmission des don- nées. 2 – Installer et récupérer des différents types d’équipements informatiques et de com- munication. 3 – Assurer l’homogénéité, la fiabilité, la sécurité et la confidentialité du système d’in- formation et de communication dans tout le pays. 4 – Concevoir, mettre en place et gérer les banques de données et les statistiques de plus 6 millions d’abonné dans son réseau. 5 – Donner des conseils et fournir de nouveaux services dans le domaine de télécom- munication à tout autre organisme public ou privé, national et même étranger, à caractère social et économique. la figure 1.2 présente la structure compléte d’organisation TT : 3
  • 17. Chapitre 1 1.3. Présentation du projet Figure 1.2 – Organigramme TT 1.3 Présentation du projet 1.3.1 Cadre de projet et problématique Ce travail s’inscrit dans le cadre d’un stage de fin d’études. Il a deux objectifs princi- paux. Le premier est de s’intégrer et d’explorer l’établissement d’accueil et ses différents métiers, et le second consiste à mettre en pratique les théories acquises au cours des an- nées d’études et à les développer afin de résoudre des problèmes pratiques. Et comme nous avons mentionné au départ, TT est le plus grand opérateur de télécommu- nications en Tunisie avec une large couverture dans tout le pays. Ses réseaux comprennent des milliers de kilomètres des câbles, des liaisons sans fil radio, des fibres optiques, des routeurs, des commutateurs et d’autres dispositifs de télécommunication. Et par conséquent, les grands réseaux de TT sont des cibles potentiels pour les cybercri- minels qui cherchent à y accéder afin de perturber leurs services. Il est donc essentiel de mettre en place des mesures de sécurité efficaces pour protéger et analyser les informations de sécurité provenant des différentes sources. 1.3.2 Etude de l’existant L’objectif de l’étude de l’existant est d’analyser la solution de supervision utilisée par Tunisie Télécom et de recommander des améliorations afin de renforcer la sécurité de l’entreprise. L’équipe de sécurité de Tunisie Télécom a mis en place une solution de supervision basée sur la plateforme ‘’QRadar” pour surveiller l’infrastructure informatique et détecter des menaces potentielles. QRadar [9] est une solution de supervision commerciale d’IBM conçu pour les différentes grandes entreprises. Elle offre des capacités d’analyse, de corrélation et de reporting des 4
  • 18. Chapitre 1 1.3. Présentation du projet logs de différents composants tels que les routeurs, les commutateurs, les serveurs et les applications. En cas de détection des anomalies QRadar génére des alertes. Figure 1.3 – Authentification du Logiciel QRadar. 1.3.3 Critique de l’existant QRadar permet la gestion des événements de sécurité SIEM et offre des capacités d’analyse de sécurité et de corrélation. Cependant, l’inconvénient majeur du système QRadar est son coût élevé. En effet, c’est un système SIEM haut de gamme coûteux en terme de mise en place et de maintenance. De plus, nous avons constaté d’après la figure 1.4 que le nombre d’alertes générées par le système QRadar est trop élevé. Il est difficile, aux analystes de sécurité d’identifier les alertes qui nécessitent une attention immédiate. À cela s’ajoute que Qradar génére des fausses alertes qui pourraient impacter la pertinence de l’analyse. Figure 1.4 – Onglet d’Infraction dans QRadar Console. 5
  • 19. Chapitre 1 1.4. Conclusion De plus, les systèmes SIEM comme QRadar sont complexes et peuvent nécessiter une expertise technique pour les configurer et les utiliser correctement. De même, nous avons remarqué que le système QRadar fonctionne en silos : pas des intégrations et des coopérations avec d’autres outils de sécurité, comme les systèmes de détection d’intrusion ou les outils de gestion de vulnérabilités ce qu’il intacte leur fonctionnement et démarche pour la détection des menaces. Aussi, nous avons aperçu que l’infrastructure QRadar nécessite une maintenance régulière et permanente pour assurer une performance optimale et garantir les dernières mises à jour de sécurité et de corriger les erreurs qui peuvent affecter sur la qualité de la surveillance surtout qu’il est difficile à être extensible ; et tous systèmes non évolutifs ne peuvent pas prendre en charge une croissance des données et des événements de sécurité. Figure 1.5 – Onglet d’Activité du Réseau dans QRadar Console 1.3.4 Solution proposée Dans ce projet, le choix de l’outil SIEM sa charnière autour de trois conditions fonda- mentales : • Budget • Efficacité contre les menaces et les attaques • Flexibilité Nous citons tout d’abord que le choix de la solution est basé sur les critères principaux mentionnées au-dessus et sur les problèmes détectés au cours du critique de l’existant, et pour remédier aux inconvénients majeurs du logiciel utilisé QRadar, la solution adéquate consiste à utiliser un système de monitoring SIEM : ELK Stack. 1.4 Conclusion A travers ce chapitre nous avons présenté l’organisme d’accueil, le cadre de projet et la problématique ainsi que l’étude de l’existant et le critique, puis nous avons déposé la solution fixée par l’entreprise. Dans le chapitre suivant, nous allons définir quelques notions de bases liées au domaine de la sécurité informatique. 6
  • 20. Chapitre 2 Les Notions de Bases de la Sécurité Informatique 2.1 Introduction Dans ce chapitre, et avant de passer à la présentation des solutions disponibles de la supervision, nous allons définir quelques notions de bases comme la cyberattaque, la cybersécurité, la supervision. . . et nous allons citer leurs propres fonctionnements. 2.2 Cyberattaque Dans cette partie, nous focaliserons à définir la cyberattaque, ses types en mentionnant quelques exemples d’attaques les plus connus. 2.2.1 Définition En se basant sur la définition d’IBM et CISCO [10], on peut définir la Cyberattaque comme une tentative malveillante indésirable de voler, de désactiver, de modifier, d’expo- ser ou de détruire des informations via un accès non autorisé aux systèmes informatiques dont le cachet est d’entraîner une cybercrise au niveau de la technologie d’information, financier ou de réputation. 2.2.2 Types d’attaques Généralement, nous pouvons citer des différents types d’attaques : • Une attaque passive : elle est basée essentiellement sur l’écoute, la collection et l’analyse du trafic. • Une attaque active : c’est toute modification de contenu qui touche le fonction- nement d’un service de sécurité. • Logiciels malveillants : ce sont les attaques basées sur des vulnérabilités des systèmes ou des réseaux ‘’Malware”. • Forgées : ce sont les attaques basées sur la manipulation des éléments des commu- nications afin d’en tirer profit ou de les nuire. 7
  • 21. Chapitre 2 2.2. Cyberattaque 2.2.3 Différents exemples de cyberattaques Nous citons dans les tableaux 2.1 et 2.2 les différents types d’attaques les plus connus Table 2.1 – Types d’attaques malveillantes Nom de l’attaque Définition Les Logiciels Malveillants Backdoor (Porte débordée) C’est une méthode malveillante secrète permet- tant d’accéder à un système informatique ou un réseau sans avoir à passer par les canaux d’au- thentification normaux. Les Logiciels Malveillants Trojan (Cheval de Troie) C’est un type de malware qui est conçu pour tromper les utilisateurs en se faisant passer pour un programme légitime, tout en ayant une fonc- tionnalité cachée qui permet à un pirate d’ac- céder et de contrôler à distance l’ordinateur in- fecté, ou d’effectuer des attaques sur celui-ci. Les Logiciels Malveillants Bombe logique C’est un type de programme malveillant qui est conçu pour se déclencher à une date ou à un événement précis, comme la suppression de certains fichiers, l’exécution de certaines com- mandes, causant ainsi des dommages à l’ordi- nateur ou au réseau cible. Les Logiciels Malveillants Un virus C’est un programme malveillant qui infecte d’autres fichiers ou se réplique sur des systèmes informatiques sans autorisation. Les virus infor- matiques sont conçus pour endommager, de per- turber un ordinateur ou au réseau. Ils peuvent se transmettre via des fichiers ou des docu- ments infectés, des e-mails, des sites web mal- veillants ou des périphériques de stockage amo- vibles compromis. Les Logiciels Malveillants Worm (Vers) C’est un type de code malveillant qui se pro- page automatiquement à travers un réseau in- formatique sans avoir besoin d’une intervention humaine pour se transmettre. Les Logiciels Malveillants Hoax (Canular) C’est une fausse information ou une alerte trom- peuse qui est intentionnellement diffusée pour tromper les gens. Les canulars peuvent se pro- pager par divers moyens, tels que les réseaux sociaux, les e-mails, les SMS ou les sites Web. 8
  • 22. Chapitre 2 2.2. Cyberattaque Table 2.2 – Types d’attaques forgées Nom de l’attaque Définition Manipulation d’Attaques Forgées Phishing (Hameçonnage) C’est une technique de fraude en ligne qui trompe les utilisateurs en leur faisant croire qu’ils communiquent avec une entité de confiance, telle qu’une banque ou un service en ligne, afin d’obtenir leurs informations confiden- tielles. Manipulation d’Attaques Forgées Cracking (Craquage) C’est une activité malveillante qui implique une entrée non autorisée dans un système informa- tique en utilisant des techniques de piratage in- formatique. Manipulation d’Attaques Forgées Sniffing (Renfilage) C’est un type d’attaque sur les réseaux infor- matique qui analyse le traffic afin de récupérer des informations confidentielles. Manipulation d’Attaques Forgées Spoofing (Mascarade) C’est une technique qui consiste à falsifier des informations d’identification, telles qu’une adresse IP, une adresse e-mail, un numéro de téléphone ou une adresse de site Web, afin de dissimuler la véritable identité pour commettre des cybercrimes. Manipulation d’Attaques Forgées Smurfing C’est un type de Distributed Denial of Ser- vice (DDoS) qui utilise un grand nombre d’or- dinateurs zombies ou des botnets pour envoyer un grand nombre de requêtes avec des fausses adresses IP. Cette attaque vise à submerger un serveur cible ou un réseau avec un trafic exces- sif, ce qui entraîne une saturation des ressources du système et une interruption de service. Manipulation d’Attaques Forgées Denial of Service (DoS) C’est une attaque informatique qui perturbe le fonctionnement normal d’un système informa- tique en surchargeant les requêtes, de sorte qu’il ne répond plus aux requêtes légitimes. 9
  • 23. Chapitre 2 2.3. Cybersécurité 2.3 Cybersécurité Nous consacrons la deuxième partie à présenter la cybersécurité, ses types et ses ser- vices. 2.3.1 Définition En s’appuyant aussi sur la définition d’IBM [11] et CISCO [12], La cybersécurité est la pratique qui consiste à protéger les systèmes critiques et les informations sensibles contre les attaques malveillantes. Elle est également appelée sécurité des technologies de l’information ou bien « Information Technology (IT) ». 2.3.2 Types de sécurité Nous pouvons répartir la sécurité en plusieurs catégories : • La sécurité des informations : garantit les services de sécurité. • La sécurité des applications : protection des appareils contre les menaces et les attaques. • La sécurité réseaux : protection du réseau informatique contre les intrus. • La sécurité opérationnelle : mécanisme de défense dont le but est le contrôle d’accès et le stockage des données. 2.3.3 Services de sécurité La politique de cybersécurité exige ces cinq piliers de services : • Confidentialité : C’est un service qui consiste à rendre l’information incompréhen- sible à travers des mécanismes de cryptographie. • Intégrité des données : C’est un service qui protège les données contre toutes modifications malveillantes. • Disponibilité : C’est un service qui garantit par la redondance des équipements. • Authentification : C’est un service qui offre une protection contre l’usurpation d’identité. • Non-répudiation : Une entité réseau ne peut pas nier un message qu’elle a émis. 2.4 Supervision Commençons par définir la supervision 2.4.1 Définition La supervision [13] ou le monitoring [8] en informatique est la surveillance, le pilo- tage, le suivi et le contrôle de tout système informatique en temps réel, afin de pallier les problèmes potentiels, les goulots d’étranglement et les moindres anomalies qui peuvent ralentir la progression et la disponibilité continue du système. 10
  • 24. Chapitre 2 2.4. Supervision La supervision désigne généralement la mise en place à l’aide d’outils logiciels conçus pour la collecte des données de performance des différents composants du système tels que ; les serveurs, les réseaux, les bases de données, les applications, etc. . . Ces données sont pré- sentées sous forme de graphiques, de tableaux de bord et d’alertes (en cas de dépassement de seuils critiques ou d’événements inhabituels). L’intérêt principal de la supervision des systèmes informatiques des réseaux ou des appli- cations est principalement la gestion optimale de l’infrastructure informatique. En effet, elle permet aux administrateurs systèmes la détection rapide des problèmes en temps réel et relatives au diagnostic des causes, aux réseaux, aux services en ligne, aux débits, aux contrôle les flux, aux composants matériels, aux systèmes d’exploitations, au système de stockage des données. Elle permet aussi la prise des mesures correctives avant qu’ils n’affectent l’expérience d’utilisateur ou entraînent une interruption de service. Elle peut également aider à identifier les tendances et les modèles de comportement du système, à planifier la capacité et à améliorer l’efficacité opérationnelle. 2.4.2 Security Operation Center Définition SOC signifie Centre d’Opérations de Sécurité [14] est une fonction centralisée au sein d’une entreprise qui surveille et améliore l’ensemble de l’infrastructure informatique de l’organisation. L’intérêt du SOC est de détecter, analyser et prévenir les événements effi- cacement en temps réel. Le SOC est chargé de superviser 24h/24h les systèmes d’information au sein des en- treprises afin de le sécuriser des cyberattaques. Il est considéré essentiellement comme un point de corrélation pour chaque événement détecter et sauvegarder au sein de l’entreprise qui est surveillée. 2.4.3 Fonctions du SOC 1. Surveillance proactive continue : Les outils utilisés par le SOC analysent le réseau 24h/24h afin de signaler toute anomalie ou activité suspecte. 2. Classement et gestion des alertes : Le SOC examine précautionneusement les alertes, il élimine tout faux positif et résolut l’agressivité des menaces réelles et les cibles possibles. 3. Réponse aux menaces : Le SOC agit comme un intervenant principal, il exerce des opérations défensives telles que l’arrêt des processus nuisibles et l’isolement des points de terminaison. 4. Récupération et correction : Le SOC règle les systèmes et récupère toutes les informations perdues qui peut engendrer la suppression ou le redémarrage des ter- minaux. 5. Gestion de la conformité : Le SOC est responsable de la vérification régulière de ses systèmes afin d’assurer la conformité à ces règlements, qui peuvent être émis 11
  • 25. Chapitre 2 2.4. Supervision par leur organisation, industrie ou organes directeurs. 6. Gestion des journaux : Le SOC utilise le SIEM pour agréger et corréler les flux de données des applications, des systèmes d’exploitation, des terminaux et des pare-feu qui produisent tous leurs propres journaux internes. La figure 2.1 décrit le principe de fonctionnement du SOC. Figure 2.1 – Fonctionnement du SOC [1]. 2.4.4 Types du SOC Les SOC peuvent être classés en plusieurs types [15] en fonction de leur taille, de leur portée et de leur niveau de sophistication. Voici quelques-uns des types de SOC les plus courants : — SOC interne : un SOC interne est géré et exploité par l’entreprise elle-même. Il est généralement situé dans les locaux de l’entreprise et peut être géré par le personnel interne. — SOC externalisé : un SOC externalisé est géré par un prestataire de services tiers. Les entreprises peuvent externaliser leur SOC pour bénéficier d’une expertise sup- plémentaire et d’une surveillance constante de la sécurité. — SOC hybride : un SOC hybride combine les aspects d’un SOC interne et externa- lisé. Il peut être géré par le personnel interne de l’entreprise en collaboration avec un prestataire de services tiers. 12
  • 26. Chapitre 2 2.4. Supervision — SOC virtuel : un SOC virtuel est un SOC qui utilise des technologies de com- munication à distance pour surveiller la sécurité des réseaux et des systèmes. Il est souvent utilisé par les petites entreprises qui n’ont pas les ressources nécessaires pour installer un SOC interne. — SOC centralisé : un SOC centralisé est un SOC qui surveille et gère la sécurité de plusieurs entités organisationnelles à partir d’un emplacement centralisé. Il est souvent utilisé par les grandes entreprises ayant plusieurs sites ou filiales. — SOC décentralisé : un SOC décentralisé est un SOC qui est réparti sur plusieurs sites géographiques. Il peut être utilisé par les entreprises ayant des bureaux dans plusieurs régions ou pays. Il existe d’autres types de SOC qui peuvent être adaptés aux besoins et aux exi- gences spécifiques de chaque entreprise. 2.4.5 Security Information and Event Management Définition La gestion de l’information et des événements de sécurité « SIEM » [16] est une tech- nologie spécifique qui aide les organisations à reconnaître les menaces de sécurité et les vulnérabilités potentielles. Elle met en évidence les anomalies de comportement des utilisateurs et emploie l’intelli- gence artificielle pour robotiser plusieurs mécanismes manuels associés à la détection des menaces et à la réponse aux incidents : C’est la combinaison de deux briques : Gestion des informations de sécurité « Security Information Management (SIM) » et Gestion des événements de sécurité « Security Event Management (SEM) ». • Gestion des informations de sécurité « Security Information Management SIM » : SIM [17] est un logiciel de rétention des informations qui collecte les logs à partir de dispositifs de sécurité (logiciels antivirus, pare-feu, Intrusion Detection System (IDS), équipements réseaux, des serveurs proxy. . .) afin d’analyser et traduire les données sauve- gardées d’une façon corrélées, proportionnelles et rationalisées. • Gestion des événements de sécurité « Security Event Management SEM » : SEM est un processus de supervision en temps réel ou quasi temps réel qui permet d’identifier, de surveiller et d’évaluer des événements liés à la sécurité. Le but est d’aider les administrateurs systèmes à analyser, ajuster et gérer l’architecture, les stratégies, les politiques et les procédures de sécurité de l’information. Et la figure 2.2 présente l’architecture d’un système SIEM. 13
  • 27. Chapitre 2 2.4. Supervision Figure 2.2 – Architecture du SIEM [2]. 2.4.6 Principe de fonctionnement du SIEM • Collecte de données : Les SIEM [18] collectent des données de sécurité à partir de diverses sources, notamment les journaux d’événements, les alertes de sécurité, les informations sur les menaces et les vulnérabilités, les flux de données réseau et les données d’utilisateurs. • Agrégation : Les SIEM agrègent les données de sécurité en temps réel pour fournir une vue globale des activités de sécurité de l’ensemble du système d’information. • Corrélation : Les SIEM corrélaient les données de sécurité pour identifier les mo- dèles et les relations entre les événements de sécurité apparemment non liés. Cela permet de détecter les menaces avancées et les attaques sophistiquées qui peuvent échapper aux systèmes de sécurité traditionnels. • Analyse : Les SIEM analysent les données de sécurité pour identifier les événements et les activités suspects, ainsi que pour évaluer la gravité des menaces. Les SIEM utilisent des algorithmes d’apprentissage automatique et des règles de détection pour détecter les anomalies et les indicateurs de compromission. • Alertes et rapports : Les SIEM génèrent des alertes en temps réel pour signa- ler les menaces potentielles, ainsi que des rapports détaillés pour aider les équipes de sécurité à comprendre les tendances et les modèles de sécurité. Les rapports peuvent également être utilisés pour démontrer la conformité réglementaire et les performances opérationnelles. La figure 2.3 illustre le principe de fonctionnement du SIEM. 14
  • 28. Chapitre 2 2.4. Supervision Figure 2.3 – Fonctionnement du SIEM [3]. 2.4.7 Relation entre SOC et SIEM SOC et SIEM sont deux notions associées à la sécurité informatique . En effet, le SOC peut utiliser le SIEM pour collecter et analyser les événements de sécurité. Le SIEM permet au SOC d’avoir une vue d’ensemble sur la sécurité du système, il permet aussi de détecter rapidement les menaces de sécurité, de générer des alertes en temps réel pour permettre une réponse rapide. Le SIEM est un outil utilisé par le SOC pour surveiller et analyser les événements de sécurité dans les environnements informatique, et par la suite, le SOC utilise les infor- mations fournies par le SIEM pour surveiller activement les activités suspectes et réagir rapidement aux menaces de sécurité. En guise de conclusion, le SOC et le SIEM sont deux éléments importants pour la sécurité informatique d’une entreprise et travaillent ensemble pour renforcer la sécurité informa- tique de l’entreprise, surveiller les systèmes, détecter les incidents de sécurité et y répondre rapidement. À travers la figure 2.4, nous présentons la relation entre SOC et SIEM. 15
  • 29. Chapitre 2 2.4. Supervision Figure 2.4 – Relation entre SOC et SIEM [4]. 2.4.8 Journalisations : Logs En informatique, les fichiers logs (appelés aussi des fichiers journaux) sont des fichiers qui permet le stockage et l’enregistrement d’un antécédent des évènements et des actions attachées à un processus intervenant sur une application, un serveur ou un dispositif in- formatique. Et généralement, les logs sont stockés dans des fichiers texte ou dans des bases de données logs afin d’exploiter pour identifier les erreurs, diagnostiquer les problèmes, détecter les in- trusions en identifiant les événements anormaux, constater les lieux des attaques, effectuer des analyses de données dont le but visualiser les actions du Système Informatique (SI) et retracer l’historique et les actions d’un attaquant pour améliorer les performances et la sécurité des systèmes. Le schéma 2.5 montre l’interconnexion entre les fichiers journaux et les systèmes SIEM. Figure 2.5 – Interconnexion entres les fichiers logs et les systèmes SIEM [5]. 16
  • 30. Chapitre 2 2.5. Solutions disponibles 2.5 Solutions disponibles Commençons par définir quelques logiciels de supervision 2.5.1 Définition de chaque logiciel de supervision Voici une liste de logiciels couramment utilisés pour la gestion de l’information et des événements de sécurité : • ELK Stack : cette suite open source est composée de 4 principaux éléments : Elas- ticsearch, Kibana, Beats et Logstash. Elle permet de collecter les journaux de tous les dispositifs et applications, de les traiter, d’analyser et de créer des visualisations pour surveiller les applications et les équipements. Figure 2.6 – Logo ELK Stack • QRadar : il s’agit d’une solution commerciale proposée par IBM qui fournit une plateforme centralisée pour la gestion de la sécurité et l’analyse des événements. Figure 2.7 – Logo QRadar • Splunk : cette plateforme de gestion de journaux offre des analyses en temps réel des données machines provenant de toutes les sources, notamment les journaux, les événements, et les métriques. Figure 2.8 – Logo Splunk 17
  • 31. Chapitre 2 2.5. Solutions disponibles • SolarWinds Log and Event Manager : c’est une solution pour la gestion de journaux et l’analyse d’événements qui fournit une vue centralisée de la sécurité et une réponse rapide aux incidents. Figure 2.9 – Logo SolarWinds and Event Manager • McAfee Enterprise Security Manager : c’est une solution qui fournit une plate- forme centralisée pour la collecte, la visualisation, et l’analyse de données de sécurité. Figure 2.10 – Logo McAfee Enterprise Security Manager • ArcSight : c’est une solution commerciale d’HP qui fournit une analyse en temps réel des événements et une protection contre les menaces pour les entreprises. Figure 2.11 – Logo ArcSight 18
  • 32. Chapitre 2 2.6. Conclusion 2.5.2 Les Avantages et les inconvénients des logiciels de la su- pervision Le tableau 2.3 présente les différents critères de chaque SIEM définis dans la section ci-dessus : Table 2.3 – Avantages et inconvénients des logiciels de la supervision SIEM proposées Avantages Inconvénients ELK Stack Flexibilité Open-source Analyse en temps réel Complexité Coût de licence QRadar Facile à utiliser Analyse en temps réel Coût élevé Configuration compliquée Splunk Large écosystème d’intégra- tion Interface personnalisée Nécessite une expertise en programmation Coût élevé ArcSight Fonctionnalités de sécurité avancées Configuration compliquée Coût élevé McAfee Enterprise Security Manager Intégration avec une variété de technologies de sécurité McAfee Fonctionnalités de sécurité limitées Coût élevé SolarWinds Log Coût abordable par rapport à d’autres systèmes SIEM Fonctionnalités de sécurité limitées Il est important de mentionner que ces avantages et inconvénients sont généraux et peuvent être fluctués en fonction des spécifications et de l’emploi de chaque système. 2.6 Conclusion Nous avons consacré ce chapitre à définir quelques notions telles que la cybersécurité, la cyberattaque, le principe de la supervision et principalement le centre d’opérations de sécurité SOC et la gestion de l’information et des événements de sécurité SIEM, indiquer leurs caractéristiques, leurs types et de déterminer leurs fonctionnements. Et par la suite, nous avons bien décrit les différents types de logiciels de supervisions, ses avantages et ses inconvénients. Dans le chapitre suivant, nous déposerons la solution adéquate et nous présenterons ses propres composantes et leur fonctionnement puis nous focalisons sur l’installation de l’en- vironnement du travail, la réalisation et le développement de la solution. 19
  • 33. Chapitre 3 Réalisation et tests 3.1 Introduction Dans ce dernier chapitre, nous présenterons la solution, l’environnement du travail matériel, logiciel et l’architecture du travail. Ainsi que, nous focaliserons sur la partie pratique de la réalisation de la solution optée et les tests. 3.2 Choix de la solution et justification Commençons par une comparaison entre ELK stack et Qradar 3.2.1 Avantages du ELK Stack par rapport à la solution adoptée par TT En premier lieu, il existe plusieurs raisons pour lesquelles nous avons opté l’utilisation ELK Stack au lieu de QRadar (utilisé par TT) pour la gestion de l’information et des événements de sécurité SIEM. En effet, la Suite ELK est une solution open-source qui est gratuite à utiliser et qui peut être personnalisée en fonction de vos besoins spécifiques. Outre, Elastic Stack est un logiciel flexible puisqu’il est composé de quatre outils (Elas- ticsearch, Logstash, Kibana et Beats) qui peuvent être déployés et utilisés de manière indépendante ou en tant que solution complète. N’oublions pas la performance qu’ELK peut nous garantir vu qu’il traite et analyse des données volumineuses et massives en temps réel ce qui peut être crucial pour la détection des incidents de sécurité et la prise des mesures rapides pour les corriger. D’ailleurs, ELK a une grande communauté de développeurs et d’utilisateurs qui contri- buent constamment de nouvelles fonctionnalités et intégrations et cela peut aider à ré- soudre les problèmes et à trouver des solutions plus rapidement. En guise de conclusion, ELK Stack est le choix le plus populaire et la solution la plus idéale pour les entreprises qui cherchent une solution flexible, personnalisable et peu coû- teuse afin de répondre à leurs besoins. 20
  • 34. Chapitre 3.2. Choix de la solution et justification 3.2.2 Composants du ELK Comme nous citons au niveau de la définition de la suite ELK, ELK Stack [19] est un acronyme pour Elasticsearch, Logstash, Kibana et Beats. Ces composants principaux forment la plateforme ELK. • Elasticsearch : Elasticsearch est un moteur de recherche distribué qui permet le stockage, la recherche et l’analyser des données massives. Il est conçu pour être évo- lutif, rapide et convivial. • Logstash : Logstash est un collecteur des logs qui offre la possibilité de collecter, de traiter et de normaliser les données. • Kibana : Kibana est un outil employé essentiellement pour la visualisation, l’ana- lyse des données et la création des tableaux de bord personnalisés. • Beats : Beat est une plate-forme gratuite et libre s’occuper de la transmission et la transite les données vers Wazuh et Elasticsearch. • Wazuh : Wazuh est une plateforme open source du projet Open Source Security Event Correlator (OSSEC) qui appartient à la famille des Host-based Intrusion De- tection System (HIDS) utilisée pour la prévention, la détection, la surveillance des logs applicatifs et des appels système dont le but de répondre aux menaces trouvées. La figure 3.1 représente l’architecture du serveur Wazuh. Figure 3.1 – Architecture du Serveur Wazuh [6] 21
  • 35. Chapitre 3.3. Environnement du travail Ensemble, ces composants d’Elastic Stack constituent une plate-forme complète pour le traitement, l’analyse de données de sécurité et la collecte des logs de système. 3.2.3 Fonctionnement d’ELK Stack Le fonctionnement de la plate-forme ELK Stack se déroule en trois étapes principales : ➢ La collecte des données : Wazuh est utilisé afin de collecter les données à partir de diverses sources et systèmes. Ces derniers seront par la suite filtrés, standardisées et traitées avant d’être stocker à la base de données Elasticsearch. ➢ Le stockage des données : Les données collectées par les agents Wazuh sont stockées dans le module Elasticsearch. ➢ L’analyse et la visualisation des données : Les données stockées dans Elastic- search peuvent être visualisées et analysées à l’aide de Kibana et/ou Wazuh. Kibana et Wazuh offrent une interface graphique conviviale pour explorer les données et créer des tableaux de bord personnalisés. En résumé, la plate-forme ELK assure la collection, le stockage et l’analyse des don- nées de différentes sources et les visualiser sous différentes formes dont le but est d’obtenir des informations utiles et des insights. 3.3 Environnement du travail Passons maintenant à l’environnement matériel 3.3.1 Environnement matériel Table 3.1 – Caractéristiques de l’environnement matériel Constructeur ASUS Système d’exploitation Windows 10 Professional x 64 bit Mémoire vivante : Random Access Memory (RAM) 12 GB Disque dur : Read-Only Memory (ROM) 1 TO Processeur Intel Core I7-4750HQ Carte graphique GPU Intel HD Graphics Sur l’ordinateur portable mentionné dans le tableau 3.1, nous installons 5 machines virtuelles ayant les caractéristiques décrites dans le tableau 3.2 22
  • 36. Chapitre 3.3. Environnement du travail Table 3.2 – Caractéristique des différentes machines virtuelles créées Machine virtuelle 1 : Serveur Machine virtuelle 2 : Client 1 Machine virtuelle 3 : Client 2 Machine virtuelle 4 : Client 3 : Machine vunèrable Typhoon 1.02 Machine virtuelle 5 : Pirate Système d’exploitation Cent OS 7 Ubuntu 22.04.2 Windows 10 Ubuntu 14.04 LTS Kali Mémoire vivante : RAM 3 GB 1.5 GB 1.5 2 GB 3 GB Disque dur : ROM 25 GB 22 GB 22 GB 20 GB 20 GB Nombre de cœurs de processeur alloués 2 Processors 1 Processors 1 Processors 2 Processors 2 Processors Réseau adapté Network Address Translation (NAT) NAT NAT NAT NAT 3.3.2 Environnement logiciel Pour la réalisation de ce projet, nous avons choisi les logiciels suivants : • VMware Workstation 17 Player VMware Workstation [20] est un outil de visualisation utilisé pour exécuter plusieurs systèmes d’exploitation sur un seul ordinateur hôte physique. Chaque machine vir- tuelle peut exécuter simultanément sur n’importe quel système d’exploitation Linux, Microsoft, Oracle, MacOs, etc. . . afin de développer des nouveaux logiciels ou de tes- ter une architecture complexe d’un système d’exploitation. Figure 3.2 – Logo VMware-Workstation-player • Elastic Stack version 7.17.6 Elastic Stack [21], également connu sous le nom d’ELK Stack, est une plateforme 23
  • 37. Chapitre 3.3. Environnement du travail open source complète de gestion de données créée par la société Elastic. Cette pla- teforme permet la collecte, le traitement, le stockage, la recherche et la visualisation de données en temps réel. Figure 3.3 – Logo Elastic Stack • Wazuh version 4.3.10 Wazuh est un système de gestion de sécurité open source conçu pour aider les organisations à surveiller et à gérer la sécurité de leur infrastructure informatique. Le module Wazuh permet également aux utilisateurs de configurer des politiques de sécurité personnalisées pour détecter les menaces et les vulnérabilités spécifiques à leur environnement. [13] Figure 3.4 – Logo Wazuh • Kali version 2022.1 Kali [22] est une solution multiplateforme gratuite et open-source basée sur le sys- tème d’exploitation ‘’Debian Linux” conçue pour les tests d’intrusions avancés et à l’audit de sécurité afin de détecter des vulnérabilités potentielles. Kali fournit des outils, des configurations qui facilitent le repérage des vulnérabilités. Figure 3.5 – Logo Kali 24
  • 38. Chapitre 3.3. Environnement du travail • Metasploit Metasploit [23] est un Framework inventé pour le développement et l’exécution d’ex- ploits contre toute machine distante dans le but est de créer, personnaliser, fournir des informations sur les vulnérabilités et de faciliter la pénétration des systèmes informatiques. Il est très vigoureux et permet de déclencher des performances sur la machine cible dans le but de la nuire et d’acquérir un accès non autorisé. Figure 3.6 – Logo Metasploit 3.3.3 Architecture d’environnement du travail En se basant sur la figure 3.7, nous pouvons constater que cette architecture est celle d’un système SIEM. Elle est composée d’une machine physique et d’un environnement virtualisé VMware. Sous VMware, il y a une machine CentOS 7 qui contient ELK et Wazuh, et qui est connec- tée à une machine Windows 10 et une machine Ubuntu 22.04. On trouve également une machine Kali qui est utilisée pour tester le niveau de la sécurité du réseau en tentant de pénétrer les machines Ubuntu et Windows. Il y a également une machine Ubuntu 14.04 LTS vulnérable (Typhoon 1.02) qui sera testée avec Kali pour obtenir un accès root, puis elle sera ajoutée au réseau pour évaluer son niveau de vulnérabilité. Enfin, les résultats de cette intrusion sont visualisés via ELK pour analyser le comporte- ment du système. 25
  • 39. Chapitre 3.4. Installation d’Elastic Stack Figure 3.7 – Architecture d’environemment du travail 3.4 Installation d’Elastic Stack Dans cette partie, nous allons focaliser sur les différentes étapes de l’installation d’Elas- tic Stack. 3.4.1 Installation de prérequis Tout d’abord, nous devons déterminer le nom du Local host. Figure 3.8 – Commande pour déterminer le nom de localhost Dés quand on a déterminé le nom du local host, nous pouvons créer les fichiers sudoers qui nous permettent d’accéder comme un root à l’aide de la commande sudo nano /etc/sudoers. 26
  • 40. Chapitre 3.4. Installation d’Elastic Stack Figure 3.9 – Commande pour créer des fichiers Sudoers Figure 3.10 – Ajouter l’utilisateur comme un root Ensuite, nous installons java et open jdk à travers la commande de figure 3.11. Figure 3.11 – Commande pour installer java et open jdk Pour vérifier la version de java installée, nous tapons la commande java –version.illustrée dans la figure 3.12. Figure 3.12 – Commande pour verifier la version du java Et pour terminer cette première partie, nous installons les différents packages curl et unzip nécessaire pour l’installation comme la montre la figure 3.13. 27
  • 41. Chapitre 3.4. Installation d’Elastic Stack Figure 3.13 – Commande pour installer les fichiers prérequis 3.4.2 Installation d’Elasticsearch Après la préparation d’environnement d’installation, nous pouvons installer les com- posants d’Elastic Stack. Et pour commencer, le premier service qu’on va installer est la base de données Elastic- search qu’elle joue le rôle d’un moteur de recherche pour les alertes et les données. C’est pour cela, nous devons importer la clé GPG d’Elasticsearch qui nous permet de signer, crypter et décrypter les données nécessaires. Figure 3.14 – Commande pour importer la clé GPG à Elasticsearch Puis, nous ajoutons le dépôt comme le montre la figure 3.15 Figure 3.15 – Commande pour ajouter le dépôt d’Elastic Stack La prochaine étape consiste à installer le package Elasticsearch comme l’illustre la figure 3.16 28
  • 42. Chapitre 3.4. Installation d’Elastic Stack Figure 3.16 – Commande pour installer le package Elasticsearch Finalement, nous devons installer le fichier de configuration d’Elasticsearch pour as- surer la bonne démarche d’installation d’Elasticsearch. Figure 3.17 – Commande pour télécharger le fichier de configuration d’Elasticsearch 3.4.3 Création et déploiement de certificats En premier lieu, nous installons le fichier de configuration. Puis, nous créons des cer- tificats et par suit nous extrairons les fichiers installés. Figure 3.18 – Commande pour télécharger le fichier de configuration des Certificats. Figure 3.19 – Commande pour créer les certificats. 29
  • 43. Chapitre 3.4. Installation d’Elastic Stack Figure 3.20 – Commande pour extraire les fichiers Zip téléchargés du Certificats. Du moment que l’installation des certificats se fait sans erreurs, nous créons un réper- toire nommé /etc/elasticsearch/certs pour copier le fichier CA, le certificat et la clé. Figure 3.21 – Commandes pour créer le répertoire et configurer les fichiers des certifi- cats. Ainsi, les commandes de figure 3.22 permet d’activer et de démarrer le service Elas- ticsearch. Figure 3.22 – Commandes pour activer et démarrer le service Elasticsearch. Pour tester le bon fonctionnement de notre service nous tapons la commande sys- temctl status elasticsearch. Figure 3.23 – Commande pour vérifier l’activation d’Elasticsearch. 30
  • 44. Chapitre 3.4. Installation d’Elastic Stack Comme le serveur Elasticsearch fonctionne convenablement, nous pouvons générer les informations d’identification de la Suite Elastic. Figure 3.24 – Commande pour exécuter les nouveaux mots de passe. La commande de figure 3.25 affiche tous les mots de passe du système. Figure 3.25 – Affichage des nouveaux mots de passe. Finalement, pour vérifier que l’installation s’est bien déroulée nous tapons la com- mande de la figure 3.26. Elle affiche toutes les informations concernant l’installation d’Elasticsearch. 31
  • 45. Chapitre 3.4. Installation d’Elastic Stack Figure 3.26 – Commande pour vérifier le bon fonctionnement de l’installation d’Elas- ticsearch. 3.4.4 Installation du module Wazuh Avant l’installation du Wazuh, nous ajouterons des référentiels compatibles à la version installée d’Elasticsearch pour assurer le bon fonctionnement du serveur Wazuh. Figure 3.27 – Commande pour importer la clé GPG à Wazuh. Figure 3.28 – Commande pour ajouter le dépôt du Wazuh. En outre, nous installons le package du gestionnaire de serveur Wazuh à l’aide de la commande de la figure 3.29. 32
  • 46. Chapitre 3.4. Installation d’Elastic Stack Figure 3.29 – Commande pour installer le package du gestionnaire Wazuh. Finalement, nous activons et démarrons Wazuh comme la montre la figure 3.30. Figure 3.30 – Commande pour activer et démarrer le service de gestionnaire Wazuh. Nous assurons le fonctionnement du service de gestionnaire Wazuh à travers la com- mande de la figure 3.31. Figure 3.31 – Commande pour vérifier l’activation du Wazuh. 3.4.5 Installation de Filebeat L’installation d’outil Filebeat garanti la transmission sécurisée des alertes et des évè- nements entre le serveur Wazuh et la base de données Elasticsearch. Et pour installer le package Filebeat, nous tapons la commande suivante : yum install 33
  • 47. Chapitre 3.4. Installation d’Elastic Stack filebeat-7 .17 .6. Figure 3.32 – Commande pour installer les Filebeat. Puis, nous téléchargeons le fichier de configuration Filebeat ainsi que le modèle d’alertes pour la base de données Elasticsearch et le module Wazuh pour Filebeat à travers les com- mandes mentionnées dans la figure 3.33. Figure 3.33 – Commandes pour télécharger le fichier de configuration Filebeat, le modèle d’alertes pour Elasticsearch et module de Wazuh pour les Filebeat. Ensuite, nous ajoutons le mot de passe d’elastic dans le fichier /etc/filebeat/filebeat.yml. Figure 3.34 – Commande pour modifier le fichier Filebeat. 34
  • 48. Chapitre 3.4. Installation d’Elastic Stack Figure 3.35 – Ajout de mot de passe d’Elastic dans le fichier Filebeat. De même, nous copions les certificats dans le fichier /etc/filebeat/certs. Figure 3.36 – Commandes pour copier les certificats dans le fichier Filebeat. En dernier lieu, nous activons et démarrons le service Filebeat comme illustrée dans la figure 3.37. Figure 3.37 – Commandes pour activer et démarrer le service Filebeat. Pour assurer l’activation du service Filebeat, nous tapons la commande de figure 3.38. 35
  • 49. Chapitre 3.4. Installation d’Elastic Stack Figure 3.38 – Commande pour vérifier le bon fonctionnement de service Filebeat. La commande filebeat test output illustrée dans la figure 3.39 affirme le succès d’installation du Filebeat. Figure 3.39 – Commande pour tester le succès d’installation de Filebeat. 3.4.6 Installation de Kibana Pour terminer l’installation d’Elastic Stack, nous installerons l’interface web Kibana qui nous permet la visualisation des événements et des alertes stockés dans la base de données Elasticsearch. Pour cela, nous installons initialement le package Kibana comme la montre la figure 3.40. Figure 3.40 – Commande pour installer le package Kibana. 36
  • 50. Chapitre 3.4. Installation d’Elastic Stack Dès que l’installation du Kibana s’effectue, nous copions les certificats Elasticsearch dans le dossier de configuration de Kibana. Figure 3.41 – Commandes pour copier les certificats d’Elasticsearch dans le dossier de configuration de Kibana. Aussi, nous téléchargeons le fichier de configuration de Kibana. Figure 3.42 – Commande pour télécharger le fichier de configuration Kibana. A l’aide de la commande vim /etc/kibana/kibana.yml, nous remplaçons le mot de passe par défaut trouvé par le mot de passe d’Elastic. Figure 3.43 – Commande pour modifier le fichier Kibana. 37
  • 51. Chapitre 3.4. Installation d’Elastic Stack Figure 3.44 – Ajout du mot de passe Elastic au fichier de Kibana. Ensuite, nous créons le répertoire /user/share/kibana/data et nous installons le plugin Wazuh Kibana. Figure 3.45 – Commandes pour créer le répertoire Kibana et installer le plugin Wazuh Kibana. En dernier lieu, nous relions le socket de Kibana au port 443. Figure 3.46 – Commande pour relier le socket Kibana au port 443. L’activation et le démarrage du service Kibana se fait à l’aide des commandes de la figure 3.47. 38
  • 52. Chapitre 3.4. Installation d’Elastic Stack Figure 3.47 – Commandes pour activer et démarrer le service Kibana. Finalement, la commande systemctl status kibana vérifie l’activation du service Kibana. Figure 3.48 – Commande pour vérifier le fonctionnement de Kibana. 3.4.7 Désactivation des Référentiels Pour assurer la compatibilité entre la version de Wazuh, Elastic Stack et les paquets, nous désactivons toute mise à jour involontaire du système comme illustré à la figure 3.49. Figure 3.49 – Commandes pour désactiver les références des nouvelles versions. Pour accéder à l’interface Web nous devons savoir l’adresse IP du serveur wazuh. La commande ip add affiche les différents types d’adresses. 39
  • 53. Chapitre 3.4. Installation d’Elastic Stack Figure 3.50 – Commande pour déterminer l’adresse IP du serveur. Voici une capture qui montre l’authentification au logiciel Elastic Stack. Figure 3.51 – Authentifier au Elastic Stack. 40
  • 54. Chapitre 3.5. Installation des agents 3.5 Installation des agents Dès que l’installation du serveur Elastic Stack s’effectue, nous passons à l’étape sui- vante qui consiste d’installer les agents de wazuh sur nos différents client Ubuntu 22.04.2 et Windows 10. Et avant tout, nous devons arrêter le fonctionnement du Firewall du système CentOS 7. Figure 3.52 – Arrêt du fonctionnement du Firewall du CentOS. 3.5.1 Installation des agents sur Ubuntu 22.04 Pour installer l’agent wazuh, nous devons tout d’abord accéder en tant qu’un admi- nistrateur. Figure 3.53 – Mettre l’utilisateur comme un root. Figure 3.54 – La mise à jour du système Ubuntu. 41
  • 55. Chapitre 3.5. Installation des agents Après la préparation d’environnement de travail, nous pouvons maintenant installer convenablement les agents du wazuh à travers les commandes de la figure 3.55. Figure 3.55 – Installation des agents sur Ubuntu. 3.5.2 Installation des agents sur Windows 10 L’installations des agents du wazuh sur Windows 10 s’effectue à l’aide des deux com- mandes de la figure 3.56. Figure 3.56 – Installation des agents sur Windows. Et finalement, nous vérifions le succés d’installation à travers les tableaux de bords du wazuh qui affiche l’interconnexion entre le serveur et les clients Ubuntu et Windows et l’activation des agents. 42
  • 56. Chapitre 3.6. Visualisation du système : Figure 3.57 – Activation des Agents sur Ubuntu et Windows. 3.6 Visualisation du système : Dans cette partie, nous allons présenter les différents composants de l’interface gra- phique du système. Wazuh est constitué de quatre modules principaux, comme l’indique la figure 3.58 : • Security information management • Threat detection and response • Auditing and Policy Monitoring • Regulatory Compliance Figure 3.58 – Capture des composants du module wazuh. 43
  • 57. Chapitre 3.6. Visualisation du système : • Security information management : Ce module est formé de deux outils essentiels « Security Events » et « Integrity Monito- ring ». Il est responsable de la collecte, la corrélation et la gestion des journaux de sécurité. La figure 3.59 illustre comment Wazuh détecte les alertes et les traduit dans un gra- phique. Figure 3.59 – Capture du tableau du bord Wazuh. La figure 3.60 affiche le traitement des fichiers logs. Elle est composée de quatre parties : — Le premier champ détecte la date et l’heure des évènements. — Le second affiche les noms des évènements et les décrit. — La troisième colonne montre le niveau d’alerte de chaque évènement termes de menace pour la sécurité. Le niveau peut varier de 1 à 15, le tableau 3.3 décrit chaque alerte et son taux de gravité : Table 3.3 – Niveau d’alerte de chaque événement. Niveau d’alerte Signification 1 Ignoré 2 Notification système de faible priorité 3 Evénements réussis/autorisés 4 Erreur de priorité basse du système 5 Erreur générée par l’utilisateur 6 Attaque de faible pertinence 7 Critique 8 Première fois vu 9 Erreur provenant d’une source non valide 10 Plusieur erreurs générées par l’utilisateur 11 Avertissement de contrôle d’intégrité 12 Evénement de grande importance 13 Erreur inhabituelle (Haute importance) 14 Evénement de sécurité de grande importance 15 Attaque sévère 44
  • 58. Chapitre 3.7. Scénarios des attaques — La quatrième colonne montre l’Identifiant (ID) affecté par la MITRE ATT&CK de chaque évènement. Figure 3.60 – Capture analyse des évènements. • Threat detection and response : Il est aussi composé de deux outils nommés « Vulnerabilities » et « MITRE ATT&CK ». Ce module détecte les menaces potentielles telles que les activités suspectes, les attaques des logiciels malveillants et les tentatives de piratage. • Auditing and Policy Monitoring : Ce module est constitué de trois outils « Policy Monitoring », « System Auditing » et « Security Configuration Assessment ». Le module Auditing and Policy Monitoring de Wazuh permet la surveillance de la confor- mité des systèmes informatiques aux politiques de sécurité et aux réglementations en vigueur en temps réel. • Regulatory Compliance : Ce dernier module de Wazuh est composé des normes suivantes « Payment Card Industry Data Security Standard (PCI-DSS) », « General Data Protection Regulation (GDPR) », « Health Insurance Portability and Accountability Act (HIPAA) » et « National Institute of Standards and Technology 800-53 (NIST 800-53) ». Il permet aux organisations d’assurer la conformité de leurs systèmes informatiques aux réglementations en vigueur. Et dans ce projet, nous allons focaliser sur deux outils essentiels : ‘’Security informa- tion management” et ‘’Threat detection and response”. 3.7 Scénarios des attaques Ce volet sera consacré à une série de scénarios d’attaques qu’on peut réaliser sur notre système afin de tester le bon fonctionnement de notre SIEM en détectant ses différentes attaques et créant des réponses immédiates. Voici quelques exemples d’attaques qu’on va effectuer : • Surveillance de l’intégrité des fichiers. • Détection d’une attaque par injection SQL. 45
  • 59. Chapitre 3.7. Scénarios des attaques • Détection de vulnérabilité. • Attaque force brute par SSH. 3.7.1 Surveillance de l’intégrité des fichiers La surveillance d’intégrité des fichiers est un module disposé par Wazuh qui assiste à maintenir une longueur d’avance sur les failles de sécurité et à détecter les alertes qui pourraient exposer le réseau à des attaques de pillage. Et dans ce contexte, nous allons découvrir comment ELK Stack et plus précisément le module de surveillance Wazuh intègre lors d’une modification dans le système de fichiers pour détecter toutes créations, changement ou suppression des fichiers. Et par la suite, nous essayons de modifier un fichier dans le répertoire /root. Et pour cela, nous accédons au fichier /var/ossec/etc/ossec.conf de l’agent Wazuh installé sur la machine Ubuntu 22.04. Figure 3.61 – Commande pour modifier le fichier ossec.conf. Nous activons l’audit des données qui détecte toutes informations sur l’utilisateur et le processus modifiés. Figure 3.62 – Capture d’ajout de la ligne directories check-all pour vérifier l’intégrité du fichier. Puis, nous redémarrons l’agent Wazuh et nous testons leur fonctionnement. 46
  • 60. Chapitre 3.7. Scénarios des attaques Figure 3.63 – Commandes pour démarrer et vérifier le bon fonctionnement d’agent wazuh. Le module Wazuh a détecté les changements et les a affichés sous forme d’alertes de sécurité. Figure 3.64 – Première description d’alerte de Sécurité par ELK Stack. Les figures 3.65, 3.66 et 3.67 présentent en détails comment réagit Wazuh avec cette alerte en affichant toutes les données nécessaires. 47
  • 61. Chapitre 3.7. Scénarios des attaques Figure 3.65 – Première description d’alerte de Sécurité. Figure 3.66 – Deuxième description d’alerte de Sécurité. 48
  • 62. Chapitre 3.7. Scénarios des attaques Figure 3.67 – Troisième description d’alerte de Sécurité. 3.7.2 Détection d’une attaque par injection SQL SQL Injection est un type de vulnérabilité de sécurité web qui permet aux attaquants d’exploiter les failles des requêtes dynamiques qu’une application fait à la base de don- nées. Elle permet au pirate d’accéder, de modifier, de supprimer et de manipuler les données liées à la base de données ce qui engendre des problèmes liés au fonctionnement des ap- plications et même la destruction des bases de données. L’injection SQL est l’une des techniques de piratage web les plus courantes et poten- tielles car elle peut être employée dans le but de nuire les applications Web qui utilisent les requêtes SQL pour la création des bases de données. (La majorité des applications Web exploitent les bases de données SQL). Et le module Wazuh offre la possibilité de détecter ce genre des attaques persistantes et nocives en effectuant les étapes suivantes. Tout d’abord, nous allons mettre à jour les packages locaux sur la machine ubuntu. Figure 3.68 – Commande pour mettre à jour les packages locaux. Et par la suite, nous installons le serveur Web Apache afin de surveiller les journaux Apache. 49
  • 63. Chapitre 3.7. Scénarios des attaques Figure 3.69 – Commande pour installer serveur web Apache. Pour autoriser l’accés externes aux port Web, nous devons déasactiver les para-feu. Figure 3.70 – Commande pour installer serveur web Apache. La commande systemctl status apache2 vérifie l’activation du serveur Web. Figure 3.71 – Commande montre le bon fonctionnement du serveur Apache. 50
  • 64. Chapitre 3.7. Scénarios des attaques La commande de la figure 3.72 affiche l’installation de la page destination d’Apache. Figure 3.72 – Installation du Apache. Ensuite, nous essayons de modifier un fichier dans le répertoire /root. Et pour cette raison, nous accédons au fichier /var/ossec/etc/ossec.conf de l’agent Wazuh installé sur la machine Ubuntu 22.04. Figure 3.73 – Commande pour accéder au fichier ossec.conf. Nous ajoutons le code montionné dans la figure 3.74 pour surveiller Apache. Figure 3.74 – Ajout du code pour surveiller Apache. 51
  • 65. Chapitre 3.7. Scénarios des attaques Puis, nous redémarrons l’agent Wazuh et nous testons leur fonctionnement. Figure 3.75 – Commandes pour redémmarer et tester le bon fonctionnement du wazuh- agent. Nous injectons l’attaque SQL Injection à la commande de la figure 3.76. Figure 3.76 – Injection de l’attaque. Voici la réaction instantanée du module Wazuh afin de détecter cette attaque mal- veillante. Figure 3.77 – Résultat du système. 52
  • 66. Chapitre 3.7. Scénarios des attaques Figure 3.78 – Résultat affiché par wazuh. Figure 3.79 – Description d’alerte 1. Figure 3.80 – Description d’alerte 2. Figure 3.81 – Description d’alerte 3. 3.7.3 Détection de vulnérabilité La vulnérabilité [24] [25] en informatique désigne toute faille accidentelle ou inten- tionnelle dans la configuration ou la conception du système permet au pirate d’accéder illégalement au réseau informatique dans le but d’ignorer ou de violer les politiques de sécurité d’une entreprise. Et le système ELK Stack utilise un ensemble des outils et des solutions pour détecter et 53
  • 67. Chapitre 3.7. Scénarios des attaques mentionner les vulnérabilités du système. Et dans ce contexte, nous essayons de visualiser comment wazuh détecte la vulnérabi- lité des systèmes informatiques. Pour cette raison, nous installons une machine vulnérable nommée Typhoon 1.02, [26] [27] son système d’exploitation est Ubuntu 14.04. Comme le montre la figure 3.82 pour accéder à la machine nous devons taper le nom de l’identifiant et le mot de passe. Figure 3.82 – Authentification de Typhoon 1.02 Donc, nous vérifions de l’adresse MAC de la machine Typhoon. Figure 3.83 – Vérification de l’adresse MAC de la machine vulnhub 54
  • 68. Chapitre 3.7. Scénarios des attaques Puis, et à l’aide de Kali, nous tapons la commande netdiscover pour découvrir les machines en ligne ou connectées et déterminer l’adresse IP de Typhoon en se basant à son adresse MAC. Figure 3.84 – Commande pour découvrir les machines connectées. L’étape suivante consiste à scanner les ports de la machine cible. Figure 3.85 – Commande pour scanner les ports de la machine cible. 55
  • 69. Chapitre 3.7. Scénarios des attaques Nous détectons un accès d’entré à mongoadmin dans http-rebots et une ouverture du port 8080 (Port HTTP) pour Apache Tomcat. Figure 3.86 – Détection d’une entrée mongoadmin dans robot. Figure 3.87 – Détection d’ouverture du port 8080 pour Apache Tomcat Coyote JSP Engine 1.1. La figure 3.88 montre le résultat affiché en tapant sur le navigateur : 56
  • 70. Chapitre 3.7. Scénarios des attaques http ://192.168.35.148/mongoadmin. Nous obtenons les justificatifs d’identité : nom d’utilisateur et mot de passe. Figure 3.88 – Les données nécessaires pour Login. Par la suite, nous scannons à travers la commande drib le site qui génère une grande sortie des répertoires intéressants. Figure 3.89 – Commande pour scanner le site. La figure 3.106 montre l’ouverture du répertoire drupal qui affiche la version utilisée. 57
  • 71. Chapitre 3.7. Scénarios des attaques Figure 3.90 – Ouverture du répertoire drupal. Figure 3.91 – Commande pour déterminer la version du Drupal . En se basant sur la figure 3.107 nous remarquons que la version drupal 8 utilisé par la machine est très ancienne et cela nous permet d’exploiter le module Metasploit pour fournir des informations sur les vulnérabilités de la cible. Donc la prochaine étape consiste d’installer et d’exécuter Metasploit. 58
  • 72. Chapitre 3.7. Scénarios des attaques Figure 3.92 – Lancement de Metasploit. La commande search drupal permet de rechercher le répertoire drupal dans Metas- ploit. Figure 3.93 – Commande pour rechercher drupal dans Metasploit. La figure 3.94 montre les modifications des paramètres du Metasploit. 59
  • 73. Chapitre 3.7. Scénarios des attaques Figure 3.94 – Modification des paramètres du Metasploit. Voici les changements effectués sur Metasploit. Figure 3.95 – Résultat de la modification efféctuée sur Metasploit. La commande run ré-exécute Metasploit. 60
  • 74. Chapitre 3.7. Scénarios des attaques Figure 3.96 – Commande pour redémarrer Metasploit. Ensuite, nous recherchons le sploit de la version 3.13.0 et nous l’envoyons vers la machine Typhoon. Figure 3.97 – Commandes pour chercher le Spoit 3.13.0 et l’envoyer vers Typhoon 1.02. Au bout d’un certain temps, nous avons eu une idée de profiter des résultats obtenus au-dessus et surtout de la figure 3.88 qui contient les justificatifs d’identité de la cible et de connecter par le protocole SSH. Pour cela, et sur une nouvelle fenêtre de terminale, nous devons connaitre l’adresse IP du serveur Kali. 61
  • 75. Chapitre 3.7. Scénarios des attaques Figure 3.98 – Commande pour déterminer l’adresse IP de Kali. Puis, nous tapons la commande suivante : ssh typhoon@192.168.35.148. Figure 3.99 – Commande pour connecter avec SSH. La figure 3.100 montre la réception du fichier qui contient le sploit. 62
  • 76. Chapitre 3.7. Scénarios des attaques Figure 3.100 – Commande pour récupérer le sploit. Nous exécutons le fichier qui contient le sploit. Figure 3.101 – Commandes pour exécuter fichier contenant le sploit. La figure 3.102 montre le succès d’exécution du fichier. Figure 3.102 – Succés d’exécution du fichier. A ce niveau-là, nous pouvons directement installer l’agent-wazuh à travers Kali puisque le type du clavier utilisé par Typhoon est QWERTY et cela engendre des lacunes lors de l’écriture des commandes. La figure 3.103 montre l’installation d’agent-wazuh. 63
  • 77. Chapitre 3.7. Scénarios des attaques Figure 3.103 – Commandes pour installer agent-wazuh. Voici le résultat affiché par le module Wazuh et le succès d’interconnexion de l’agent par le système. Figure 3.104 – Résultat d’interconnexion de l’agent affiché par Wazuh. La dernière étape consiste à détecter la vulnérabilité de la machine, donc nous accé- dons au fichier root ossec.conf. Figure 3.105 – Commande pour accéder au fichier ossec.conf. Nous vérifions les paramètres liés à la détection des vulnérabilités. 64
  • 78. Chapitre 3.7. Scénarios des attaques Figure 3.106 – Configuration de la vulnérabilité 1. Figure 3.107 – Configuration de la vulnérabilité 2. 65
  • 79. Chapitre 3.7. Scénarios des attaques Figure 3.108 – Configuration de la vulnérabilité 3. Figure 3.109 – Configuration de la vulnérabilité 4. Finalement, nous redémarrons le serveur wazuh-manager. Figure 3.110 – Commande pour redémarrer agent-wazuh. 66
  • 80. Chapitre 3.7. Scénarios des attaques Le système détecte immédiatement la vulnérabilité de la cible et affiche les résultats suivants. Figure 3.111 – Résultat affiché par Wazuh 1. Figure 3.112 – Résultat affiché par Wazuh 2. 3.7.4 Attaque force brute par protocole SSH Les attaques force brute SSH dans les systèmes informatiques sont des tentatives de connexions SSH utilisées dans le but d’accéder illégalement à des systèmes protégés par mot de passe, tels que les comptes de messagerie électronique, les comptes bancaires en ligne ou les réseaux privés. . . en effectuant une suite des tests pour découvrir le nom d’uti- lisateur et le mot de passe. Et pour effectuer cette attaque, nous allons tout d’abord activer le protocole SSH sur la machine cible Ubuntu 22.04. Figure 3.113 – Commande pour activer le protocole SSH sur machine Ubuntu. 67
  • 81. Chapitre 3.7. Scénarios des attaques Pour assurer l’activation du protocole SSH, nous tapons la commande de figure 3.114. Figure 3.114 – Commande pour vérifier le fonctionnement de SSH sur Ubuntu. Ensuite nous accédons convenablement en tapant les identifiants corrects. La capture 3.115 montre le succès d’interconnexion lorsqu’on tape le nom d’utilisateur et le mot de passe correctement. Figure 3.115 – Capture Login SSH. Puis, nous essayons de taper des mots de passe inexacts afin de visualiser la réponse du système. Le protocole SSH offre par défaut trois essais seulement à l’utilisateur et par la suite la permission sera refusée mais sans bloquer l’utilisateur. 68
  • 82. Chapitre 3.7. Scénarios des attaques Figure 3.116 – Capture 3 essais d’attaque SSH. Donc nous essayons d’insérer une règle qui bloque l’utilisateur après deux essais in- correcte seulement pendant 180 secondes. Figure 3.117 – Commande pour accéder aux règles. Figure 3.118 – Capture de la règle SSH ajouté. Nous redémarrons le serveur Wazuh et nous testons la réaction du système après l’ajout de la règle 5760. 69
  • 83. Chapitre 3.8. Conclusion Figure 3.119 – Capture du blocage d’attaque SSH. Le serveur Wazuh affiche les différentes alertes détéctées immédiatemment. Il réagit à cette tentative trouvée en bloquant l’utilisateur après deux essais comme le montre la figure 7.120. Figure 3.120 – Capture qui affiche la réponse du Wazuh : échec d’authentification SSH. En résumé, le serveur Wazuh n’a pas détecté l’alerte seulement mais en ajoutant et modifiant des règles il réagit rapidement afin d’éviter toutes tentatives malveillantes indésirables. 3.8 Conclusion Dans ce dernier chapitre, nous avons justifié notre choix de solution en décrivant les avantages d’ELK stack. Nous avons ensuite présenté les composants et le fonctionnement de cette solution, ainsi que les environnements logiciels et matériels nécessaires à sa mise en place. Nous avons également détaillé l’architecture de notre environnement du travail, puis pro- cédé à l’installation de la solution et à la configuration des agents. Aussi, nous avons réalisé la visualisation du système et à la configuration des agents. Et finalement, nous avons créé des scénarios d’attaques pour tester le fonctionnemnt du systéme et voir le résulats du Wazuh. 70
  • 84. Conclusion Générale Grâce à cette expérience professionnelle réalisée au sein de Tunisie Télécom, nous avons eu l’opportunité de mettre en pratique nos compétences théoriques et professionnelles ac- quises lors de nos études à l’institut. Pendant la période de stage, nous avons d’abord découvert le réseau de Tunisie Té- lécom, ainsi que les outils de sécurité utilisés par l’entreprise, notamment le système de supervision QRadar. Après avoir examiné les lacunes de ce système, nous avons proposé une alternative plus évolutive : le système de supervision ELK Stack. Dans la deuxième partie du projet, nous avons étudié Elastic Stack. Son fonctionnement consiste à collecter stocker et corréler les informations du réseau en vue d’identifier rapidement les incidents de sécurité. Il permet aussi de suivre les activités et diagnostiquer les problèmes de performance. Nous avons consacré la partie pratique à la préparation de l’environnement de travail, l’installation des machines virtuelles CentOS 7, Ubuntu 22.04.2, Windows 10, Typhoo 1.02 et Kali, ainsi que l’installation du système de supervision ELK Stack et ses com- posants : tels que la base de données Elasticsearch, l’interface graphique de visualisation Kibana, les FileBeats, le module Wazuh et ses agents wazuh. Nous avons également présenté les différents composants du système, tels que l’audit la surveillance des politiques, la conformité réglementaire, la détection et la réponse aux menaces et surtout la gestion des informations de sécurité. Enfin, nous avons mis en œuvre divers tests de détection de vulnérabilités afin de démontrer l’aptitude de notre solution à analyser le niveau de vulnérabilité. Nous avons aussi réalisé des scénarios d’attaques, tels que l’attaque par injection SQL, l’attaque par force brute. Nous avons constaté que l’avantage majeur d’incorporer le module Wazuh dans ELK Stack est de détecter les menaces et les attaques potentielles en temps réel. Par conséquent la sécurité de l’entreprise sera considérablement améliorée. En conclusion, ce projet nous a permis d’acquérir une expertise en matière d’audit de sécurité des réseaux et des systèmes, de nous familiariser avec l’environnement Linux, d’explorer Metasploit et de réaliser des attaques à l’aide de Kali. Cette expérience nous a également ouvert de nouvelles perspectives sur les systèmes SIEM et l’intelligence artificielle qui jouent un rôle primordial dans la protection des entreprises contre les cyberattaques. 71
  • 85. Netographie [1] SOC. In : tales from security professional (consulté le 19-05-2023). https://tales-from-a-security-professional.com/which-services-can- you-expect-from-a-security-operation-center-ce5e97aa6a31 [2] Architecure d’un SIEM. In : tutorial and example (consulté le 19-05-2023). https: //www.tutorialandexample.com/siem-tools [3] SIEM. In : orange business (consulté le 19-05-2023). https://www.orange- business.com/fr/blogs/securite/lois-reglementations-standards-et- certifications/gestion-des-informations-et-evenements-de-securite- siem [4] SIEM. In : openclassrooms (consulté le 19-05-2023). https://openclassrooms.com/ fr/courses/1750566-optimisez-la-securite-informatique-grace-au- monitoring/7144162-identifiez-les-objectifs-du-monitoring [5] SIEM. In : spiceworks (consulté le 19-05-2023). https://www.spiceworks.com/it- security/vulnerability-management/articles/what-is-siem/ [6] Wazuh Architecture. In : Wazuh (consulté le 19-05-2023). https: //documentation.wazuh.com/current/deployment-options/elastic-stack/ index.html [7] Tunisie Télécom. In : Tunisie telecom (consulté le 19-05-2023). https:// www.tunisietelecom.tn/Fr/Particulier/A-Propos/Entreprise [8] Supervision informatique. In : informatique-securite (consulté le 19-05- 2023). https://www.informatique-securite.net/quest-cest-reellement- supervision-informatique/ [9] Qradar. In : IBM (consulté le 19-05-2023). https://www.ibm.com/docs/fr/SSKMKU/ com.ibm.qradar.doc/b_qradar_users_guide.pdf [10] Cyberattaque. In : Oracle (consulté le 19-05-2023). https://www.oracle.com/fr/ cloud/cyberattaque-securite-reseau-informatique.html [11] Cybersécurité. In : IBM (consulté le 19-05-2023). https://www.ibm.com/fr-fr/ topics/cybersecurity [12] Cybersécurité. In : CISCO (consulté le 19-05-2023). https://www.cisco.com/c/ fr_fr/products/security/what-is-cybersecurity.html [13] Supervision. In : appvizer (consulté le 19-05-2023). https://www.appvizer.fr/ magazine/services-informatiques/supervision-info/supervision- informatique [14] SOC. In : varnois (consulté le 19-05-2023). https://www.varonis.com/blog/ security-operations-center-soc 72