Embed Size (px)
DESCRIPTION
Séminaire du 9 mai 2006Comment aborder un projet de corrélation?Quelles sont les sources à collecter?Faut il donner des priorités aux informations?Que faire des informations du périmètre de sécurité?
Citation preview
e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Réflexion sur la mise en oeuvre d’un projet de corrélation
Séminaire du 9 mai 2006
Sylvain Maret
Solutions à la clef
Réflexion sur la mise en oeuvre d’un projet de corrélation
Comment aborder un projet de corrélation?
Quelles sont les sources à collecter?
Faut il donner des priorités aux informations?
Que faire des informations du périmètre de sécurité?
Solutions à la clef
Fonctions principales d’une solution de corrélation
Collecter les informations Collecter les informations là ou elles sont (A)là ou elles sont (A)
Corréler ces informations hétérogènesCorréler ces informations hétérogènes
Présenter en temps réel les Présenter en temps réel les alertes fiabilisées (B)alertes fiabilisées (B)
Donne les moyens de Donne les moyens de réagir aux alertes (C)réagir aux alertes (C)
Générer des tableaux de bordGénérer des tableaux de bord
Archiver les logsArchiver les logs
Solutions à la clef
L’approche d’un projet SIM
là ou elles sontlà ou elles sont
alertes fiabiliséesalertes fiabilisées
réagir aux alertesréagir aux alertes
solution de corrélation
(A)
(B)
(C)
Solutions à la clef
Inventaire du système d’information (SI)
Classification des biens du SI
Confidentialité (C) Intégrité (I) Disponibilité (D)
Niveau A (Elevé) Niveau B (Moyen) Niveau C (Bas)
Exemple
C I D
A
B
C
Solutions à la clef
Exemple avec la société « Acme.com »
C I D
GESTIA (Application GED)
COCKPIT (ERP)
E-Connect (Extranet Web)
Prod4 (App. de production robotisé)
Messagerie (App. Lotus Notes)
Connectra (Système pour la vente)
Etc.
Solutions à la clef
Une approche pragmatique
Voir le projet SIM comme un processus à long terme.
Définition des priorités Surveillance des points
chauds Biens niveau A
Solutions à la clef
L’approche d’un projet SIM
la ou elles sontla ou elles sont
(A)
Solutions à la clef
Décomposition d’un bien informatique
End Point Network System Application
InternalSecurity
ExternalSecurity
Evénements avoisinants Evénements éloignés
Evénements directs
ERP « COCKPIT »
Solutions à la clef
Collecte d’événements pour « Cockpit »
Zone Description
APP Tomcat, Apache 2.x, Oracle
System Linux Red Hat, SSH, PAM
System Solaris 2.8, SSH, PAM, Tripwire (FIA)
Internal Security
Nagios, Sonde IDS, firewall, Ace Server
External Security
Firewall, IDS
Collecte
Poids
10
8
8
5
2
Solutions à la clef
L’approche d’un projet SIM
alertes fiabiliséesalertes fiabilisées
solution de corrélation
(B)
Solutions à la clef
Réflexion sur les alertes ?
Pour les biens que l’on désire surveiller!
Définir les événements à « Remonter » Utilisateurs inexistants Brute force attaque Brusque changement de trafique Changement d’intégrité (FIA) Nouvelle MAC adresse sur le réseau Attaque sur une zone interne Etc.
Solutions à la clef
L’approche d’un projet SIM
réagir aux alertesréagir aux alertes(C)
Solutions à la clef
Des informations par rôle
Opérationnel
Management
SecuritéResponsable sécurité
Gestion global de la sécurité (gestion des risques)
Intégration et exploitationGestion des systèmes et infrastructure
Responsable de l’entrepriseGestion des risques
Solutions à la clef
Conclusion
Un projet SIM est un processus à long terme
L’analyse des biens est très importante Que surveiller?
Donner la priorité aux événements proches des biens (Cœur du métier)
Ne pas négliger la partie organisationnelle
