réflexion sur la mise en oeuvre d'un projet de corrélation
DESCRIPTION
Une présentation sur la mise en œuvre d'un projet SIM Par Sylvain MaretTRANSCRIPT
e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com4
Réflexion sur la mise en oeuvre d’un projet de corrélation
Séminaire du 9 mai 2006
Sylvain Maret
4
4 Solutions à la clef
Réflexion sur la mise en oeuvre d’un projet de corrélation
Comment aborder un projet de corrélation?
Quelles sont les sources à collecter?
Faut il donner des priorités aux informations?
Que faire des informations du périmètre de sécurité?
4
4 Solutions à la clef
Fonctions principales d’une solution de corrélation
Collecter les informations Collecter les informations là ou elles sont (A)là ou elles sont (A)
Corréler ces informations hétérogènesCorréler ces informations hétérogènes
Présenter en temps réel les Présenter en temps réel les alertes fiabilisées (B)alertes fiabilisées (B)
Donne les moyens de Donne les moyens de réagir aux alertes (C)réagir aux alertes (C)
Générer des tableaux de bordGénérer des tableaux de bord
Archiver les Archiver les logslogs
4
4 Solutions à la clef
L’approche d’un projet SIM
là ou elles sontlà ou elles sont
alertes fiabiliséesalertes fiabilisées
réagir aux alertesréagir aux alertes
solution de corrélation
(A)
(B)
(C)
4
4 Solutions à la clef
Inventaire du système d’information (SI)
Classification des biens du SI
Confidentialité (C)
Intégrité (I)
Disponibilité (D)
Niveau A (Elevé)
Niveau B (Moyen)
Niveau C (Bas)
Exemple
C
B
A
DIC
4
4 Solutions à la clef
Exemple avec la société « Acme.com »
Etc.
Connectra (Système pour la vente)
Messagerie (App. Lotus Notes)
Prod4 (App. de production robotisé)
E-Connect (Extranet Web)
COCKPIT (ERP)
GESTIA (Application GED)
DIC
4
4 Solutions à la clef
Une approche pragmatique
Voir le projet SIM comme un processus à long terme.
Définition des prioritésSurveillance des points chauds
Biens niveau A
4
4 Solutions à la clef
L’approche d’un projet SIM
la ou elles sontla ou elles sont
(A)
4
4 Solutions à la clef
Décomposition d’un bien informatique
End Point Network System Application
Internal
Security
External
Security
Evénements avoisinants Evénements éloignés
Evénements directs
ERP « COCKPIT »
4
4 Solutions à la clef
Collecte d’événements pour « Cockpit »
DescriptionZone
Tomcat, Apache 2.x, OracleAPP
Firewall, IDSExternalSecurity
Nagios, Sonde IDS, firewall, Ace ServerInternalSecurity
Solaris 2.8, SSH, PAM, Tripwire (FIA)System
Linux Red Hat, SSH, PAMSystem
Collecte
Poids
10
8
8
5
2
4
4 Solutions à la clef
L’approche d’un projet SIM
alertes fiabiliséesalertes fiabilisées
solution de corrélation
(B)
4
4 Solutions à la clef
Réflexion sur les alertes ?
Pour les biens que l’on désire surveiller!
Définir les événements à « Remonter »Utilisateurs inexistants
Brute force attaque
Brusque changement de trafique
Changement d’intégrité (FIA)
Nouvelle MAC adresse sur le réseau
Attaque sur une zone interne
Etc.
4
4 Solutions à la clef
L’approche d’un projet SIM
réagir aux alertesréagir aux alertes
(C)
4
4 Solutions à la clef
Des informations par rôle
Opérationnel
Management
SecuritéResponsable sécurité
Gestion global de la sécurité (gestion des risques)
Intégration et exploitation
Gestion des systèmes et infrastructure
Responsable de l’entreprise
Gestion des risques
4
4 Solutions à la clef
Conclusion
Un projet SIM est un processus à long terme
L’analyse des biens est très importanteQue surveiller?
Donner la priorité aux événements proches des biens (Cœur du métier)
Ne pas négliger la partie organisationnelle