![Page 1: Réflexion sur la mise en oeuvre d'un projet de corrélation](https://reader033.vdocuments.mx/reader033/viewer/2022052901/55719cabd8b42ab21e8b519c/html5/thumbnails/1.jpg)
e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com4
Réflexion sur la mise en oeuvre d’un projet de corrélation
Séminaire du 9 mai 2006
Sylvain Maret
![Page 2: Réflexion sur la mise en oeuvre d'un projet de corrélation](https://reader033.vdocuments.mx/reader033/viewer/2022052901/55719cabd8b42ab21e8b519c/html5/thumbnails/2.jpg)
4
4 Solutions à la clef
Réflexion sur la mise en oeuvre d’un projet de corrélation
Comment aborder un projet de corrélation?
Quelles sont les sources à collecter?
Faut il donner des priorités aux informations?
Que faire des informations du périmètre de sécurité?
![Page 3: Réflexion sur la mise en oeuvre d'un projet de corrélation](https://reader033.vdocuments.mx/reader033/viewer/2022052901/55719cabd8b42ab21e8b519c/html5/thumbnails/3.jpg)
4
4 Solutions à la clef
Fonctions principales d’une solution de corrélation
Collecter les informations Collecter les informations là ou elles sont (A)là ou elles sont (A)
Corréler ces informations hétérogènesCorréler ces informations hétérogènes
Présenter en temps réel les Présenter en temps réel les alertes fiabilisées (B)alertes fiabilisées (B)
Donne les moyens de Donne les moyens de réagir aux alertes (C)réagir aux alertes (C)
Générer des tableaux de bordGénérer des tableaux de bord
Archiver les Archiver les logslogs
![Page 4: Réflexion sur la mise en oeuvre d'un projet de corrélation](https://reader033.vdocuments.mx/reader033/viewer/2022052901/55719cabd8b42ab21e8b519c/html5/thumbnails/4.jpg)
4
4 Solutions à la clef
L’approche d’un projet SIM
là ou elles sontlà ou elles sont
alertes fiabiliséesalertes fiabilisées
réagir aux alertesréagir aux alertes
solution de corrélation
(A)
(B)
(C)
![Page 5: Réflexion sur la mise en oeuvre d'un projet de corrélation](https://reader033.vdocuments.mx/reader033/viewer/2022052901/55719cabd8b42ab21e8b519c/html5/thumbnails/5.jpg)
4
4 Solutions à la clef
Inventaire du système d’information (SI)
Classification des biens du SI
Confidentialité (C)
Intégrité (I)
Disponibilité (D)
Niveau A (Elevé)
Niveau B (Moyen)
Niveau C (Bas)
Exemple
C
B
A
DIC
![Page 6: Réflexion sur la mise en oeuvre d'un projet de corrélation](https://reader033.vdocuments.mx/reader033/viewer/2022052901/55719cabd8b42ab21e8b519c/html5/thumbnails/6.jpg)
4
4 Solutions à la clef
Exemple avec la société « Acme.com »
Etc.
Connectra (Système pour la vente)
Messagerie (App. Lotus Notes)
Prod4 (App. de production robotisé)
E-Connect (Extranet Web)
COCKPIT (ERP)
GESTIA (Application GED)
DIC
![Page 7: Réflexion sur la mise en oeuvre d'un projet de corrélation](https://reader033.vdocuments.mx/reader033/viewer/2022052901/55719cabd8b42ab21e8b519c/html5/thumbnails/7.jpg)
4
4 Solutions à la clef
Une approche pragmatique
Voir le projet SIM comme un processus à long terme.
Définition des prioritésSurveillance des points chauds
Biens niveau A
![Page 8: Réflexion sur la mise en oeuvre d'un projet de corrélation](https://reader033.vdocuments.mx/reader033/viewer/2022052901/55719cabd8b42ab21e8b519c/html5/thumbnails/8.jpg)
4
4 Solutions à la clef
L’approche d’un projet SIM
la ou elles sontla ou elles sont
(A)
![Page 9: Réflexion sur la mise en oeuvre d'un projet de corrélation](https://reader033.vdocuments.mx/reader033/viewer/2022052901/55719cabd8b42ab21e8b519c/html5/thumbnails/9.jpg)
4
4 Solutions à la clef
Décomposition d’un bien informatique
End Point Network System Application
Internal
Security
External
Security
Evénements avoisinants Evénements éloignés
Evénements directs
ERP « COCKPIT »
![Page 10: Réflexion sur la mise en oeuvre d'un projet de corrélation](https://reader033.vdocuments.mx/reader033/viewer/2022052901/55719cabd8b42ab21e8b519c/html5/thumbnails/10.jpg)
4
4 Solutions à la clef
Collecte d’événements pour « Cockpit »
DescriptionZone
Tomcat, Apache 2.x, OracleAPP
Firewall, IDSExternalSecurity
Nagios, Sonde IDS, firewall, Ace ServerInternalSecurity
Solaris 2.8, SSH, PAM, Tripwire (FIA)System
Linux Red Hat, SSH, PAMSystem
Collecte
Poids
10
8
8
5
2
![Page 11: Réflexion sur la mise en oeuvre d'un projet de corrélation](https://reader033.vdocuments.mx/reader033/viewer/2022052901/55719cabd8b42ab21e8b519c/html5/thumbnails/11.jpg)
4
4 Solutions à la clef
L’approche d’un projet SIM
alertes fiabiliséesalertes fiabilisées
solution de corrélation
(B)
![Page 12: Réflexion sur la mise en oeuvre d'un projet de corrélation](https://reader033.vdocuments.mx/reader033/viewer/2022052901/55719cabd8b42ab21e8b519c/html5/thumbnails/12.jpg)
4
4 Solutions à la clef
Réflexion sur les alertes ?
Pour les biens que l’on désire surveiller!
Définir les événements à « Remonter »Utilisateurs inexistants
Brute force attaque
Brusque changement de trafique
Changement d’intégrité (FIA)
Nouvelle MAC adresse sur le réseau
Attaque sur une zone interne
Etc.
![Page 13: Réflexion sur la mise en oeuvre d'un projet de corrélation](https://reader033.vdocuments.mx/reader033/viewer/2022052901/55719cabd8b42ab21e8b519c/html5/thumbnails/13.jpg)
4
4 Solutions à la clef
L’approche d’un projet SIM
réagir aux alertesréagir aux alertes
(C)
![Page 14: Réflexion sur la mise en oeuvre d'un projet de corrélation](https://reader033.vdocuments.mx/reader033/viewer/2022052901/55719cabd8b42ab21e8b519c/html5/thumbnails/14.jpg)
4
4 Solutions à la clef
Des informations par rôle
Opérationnel
Management
SecuritéResponsable sécurité
Gestion global de la sécurité (gestion des risques)
Intégration et exploitation
Gestion des systèmes et infrastructure
Responsable de l’entreprise
Gestion des risques
![Page 15: Réflexion sur la mise en oeuvre d'un projet de corrélation](https://reader033.vdocuments.mx/reader033/viewer/2022052901/55719cabd8b42ab21e8b519c/html5/thumbnails/15.jpg)
4
4 Solutions à la clef
Conclusion
Un projet SIM est un processus à long terme
L’analyse des biens est très importanteQue surveiller?
Donner la priorité aux événements proches des biens (Cœur du métier)
Ne pas négliger la partie organisationnelle