Siem 180906233759

Etude et Mise en
Place d’une Solution

SIEM Superviseur :
Mr Massamba
Lo
Sommair
e
I-Introduction
Definition
II-
Fonctionnem
ent
III-Information
IV-Architecture
V-Exemple de
SIEM
Sommair
e
I.nstallation et configuration de AlienVault open source Security information
event management (OSSIM)
1 Installation
2Configuration serveur
3-Configuration client
VII-Conclusion
I-Introduction:
Définition:
Le principe d’un SIEM consiste à examiner depuis un guichet unique les données
relatives à la sécurité de l'entreprise qui sont générées en de nombreux points. Cette
approche facilite l'identification d'éventuelles tendances et de schémas inhabituels.
Une solution SIEM combine des fonctions de gestion des informations (SIM, Security
Information Management) et des événements (SEM, Security Event Management) au
sein d'un système unique de gestion de la sécurité.
II-Fonctionnement
SIEM combine Security Information Management (SIM) et Security
Event Manager (SEM).
• La partie gestion de la sécurité qui traite de la surveillance en temps réel,
la corrélation des événements, les notifications et les vues de la console
est communément connu sous le nom de Security évent manager (SEM).
• La deuxième partie gère le stockage long terme, l’analyse et le reporting
est connu sous le nom de Security Information Management (SIM).
Principaux
Objectifs
• Identifier les menaces et les éventuelles brèches
Collecter les journaux d'audit de la sécurité et de

la conformité
Mener des enquêtes et fournir des preuves

III-Information
Le terme Security Information Event Management (SIEM) a été introduit
par Mark Nicolett et AmritWilliams en 2005.
Décrit les capacités d’un produit à collecter, analyser et présenter des
informations à partir de dispositifs de réseau et de sécurité; d’applications de
gestion des identités et des accès; d’outils de gestion de la vulnérabilité et de
la conformité du SI; des systèmes d'exploitation, des journaux des bases de
données et des applications; et des données des menaces externes
Pourquoi un SIEM est
nécessaire ?
• Hausse des vols de données dues à des menaces internes et externes
• Les attaquants sont intelligents et des outils de sécurité
traditionnelle ne suffisent pas
• Atténuer les cyber-attaques sophistiquées
• Gérer l'augmentation des volumes de log provenant de sources
multiples
• Répondre aux exigences de conformité strictes
Workflow d’un
SIEM
Présenter
Extraction sous forme
Collecte de Ajouter de
efficace des de tableau
données la valeur
données de bord &
de rapports
IV-Architecture SIEM
V-Exemple de
SIEM
Open Source Solutions Payantes
Alien Vault OSSIM • Alcatel-Lucent OA Safeguard
OSSEC • Cisco Cisco Security Manager

• IBM Qradar
Prelude
• Logpoint
ELK
• NitroSecurity McAfee Enterprise
Security Manager
VI-Installation
et Configuration
de Vault
Alien : Open Source Security
information Event management
(OSSIM)
Télécharger l’iso sur le
site
• Le lien de téléchargement
https://www.alienvault.com/products/ossim
1- 1
Installation
• Ressources Allouées à la
Machine
Installation 2
• Adressage donner une adresse ip le masque la passerelle puis le

DNS
Installation 3
• Donner un Mot de passe a noter que le mot de passe du serveur n’est

pas forcement le même que celui de l’interface graphique
2-Configuration 1
Serveur
• Activer l’agent ossim comme
suit:
Configuration 2
Serveur
• Nous allons ensuite modifier le system comme
suit:
Configuration 3
Serveur
• Après le redémarrage rendez-vous sur la machine client sur un navigateur
de préférence Google chrome ou Firefox
Et taper l’URL https://@ip_de_votre_serveur
Dans notre cas https://192.168.10.10
Configuration 4
Serveur
Loggez
vous
Renseigner vos
information
Configuration 5
Serveur
Configuration 6
Serveur
Configuration 7
Serveur
Configuration 8
Serveur
Voici à quoi ressemble le tableau de bord le
Dashboard
Configuration 9
Serveur
• Nous allons ajouter un agent
• ossim :
Environnement a
agent add agent et
detection
l’@ip de votre agent dans notre cas sélectionner
192.168.10.11
1-Configuration 1
Client
• Télécharger l’agent ossec en cliquant sur Dowland préconfigure
agent
Configuration 2
Client
• Ensuite installer l’agent sur la machine cliente et faites les
configuration suivantes sur votre parfeu:
• Autoriser l’agent ossim
• Et Configurer votre trafic entrant et sortant dans le paramètre avancé
Configuration 3
Client
Configuration Client
4
•Faites la même opération pour le trafic sortant

Ensuite cliquez sur Windows ossec
management
Configuration 5
Client
• Les logs générés sont
là
•Donc en cas d’attaque
ou de dysfonctionnement
Nous serons informés
À travers les logs
VI-
Conclusion
Les SIEM constituent de bonnes alternatives pour la sécurisation des
systèmes d’information d’une entreprise car:
L’analyse des données des logs de l’entreprise peut aider à détecter les cyber-menaces
avancées. Ces logs fournissent des données sur tout ce qui se passe dans un réseau :
sur les postes de travail, les serveurs et les applications, sur site et dans le cloud. En
corrélant vos données de logs internes avec les sources des applications fournissant
des renseignements sur les menaces, vous êtes averti s’il existe une correspondance
entre les indications connues sur les cyber-menaces et les données de log de votre
entreprise. De cette façon, vous êtes capable de vous protéger contre d’éventuelles
attaques.
Webographie
https://en.wikipedia.org/wiki/OSSIM
https://fr.wikipedia.org/wiki/Security_information_management_system
https://www.alienvault.com/products/ossim
https://connect.ed-diamond.com/MISC/MISC-062/Open-Source-Security-
Information-Management-OSSIM-Partie-1
Exposants
Yaya N’tyeni SANOGO Email: yayantyenisanogo@gmail.com
Mathos GOUMOU Email: mathosgoumou@gmail.com
N’Deye Aicha SOW Email :
sowndeyeaicha1992@gmail.com
MERCI DE VOTRE ATTENTION

Siem 180906233759

Transféré par

Droits d'auteur :

Formats disponibles

Siem 180906233759

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Siem 180906233759

Transféré par

Droits d'auteur :

Formats disponibles

Etude et Mise en

Place d’une Solution

Collecter les journaux d'audit de la sécurité et de

Mener des enquêtes et fournir des preuves

OSSEC • Cisco Cisco Security Manager

• Adressage donner une adresse ip le masque la passerelle puis le

• Donner un Mot de passe a noter que le mot de passe du serveur n’est

•Faites la même opération pour le trafic sortant

Vous aimerez peut-être aussi