e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

Réflexion sur la mise en oeuvre d’un projet de corrélation Séminaire du 9 mai 2006

Sylvain Maret

4 info@e-xpertsolutions.com | www.e-xpertsolutions.com

4

Réflexion sur la mise en oeuvre d’un projet de corrélation

Comment aborder un projet de corrélation? Quelles sont les sources à collecter? Faut il donner des priorités aux informations? Que faire des informations du périmètre de sécurité?
4
Solutions à la clef

4

Fonctions principales d’une solution de corrélation

Collecter les informations là ou elles sont (A) Corréler ces informations hétérogènes Présenter en temps réel les alertes fiabilisées (B) Donne les moyens de réagir aux alertes (C) Générer des tableaux de bord Archiver les logs
4
Solutions à la clef

4

L’approche d’un projet SIM

(B) (A) là ou elles sont alertes fiabilisées (C) réagir aux alertes

solution de corrélation

4

Solutions à la clef

4

Inventaire du système d’information (SI)

Classification des biens du SI
Confidentialité (C) Intégrité (I) Disponibilité (D) Niveau A (Elevé) Niveau B (Moyen) Niveau C (Bas)

Exemple C A B C I D

4

Solutions à la clef

4

Exemple avec la société « Acme.com »

C GESTIA (Application GED) COCKPIT (ERP) E-Connect (Extranet Web) Prod4 (App. de production robotisé) Messagerie (App. Lotus Notes) Connectra (Système pour la vente) Etc.

I

D

4

Solutions à la clef

4

Une approche pragmatique

Voir le projet SIM comme un processus à long terme. Définition des priorités
Surveillance des points chauds Biens niveau A

4

Solutions à la clef

4

L’approche d’un projet SIM

(A) la ou elles sont

4

Solutions à la clef

4

Décomposition d’un bien informatique
ERP « COCKPIT »

Evénements directs

End Point

Network

System

Application

Internal Security

External Security

Evénements avoisinants
4

Evénements éloignés
Solutions à la clef

4

Collecte d’événements pour « Cockpit »

Zone APP System System Internal Security External Security

Description Tomcat, Apache 2.x, Oracle Linux Red Hat, SSH, PAM Solaris 2.8, SSH, PAM, Tripwire (FIA) Nagios, Sonde IDS, firewall, Ace Server Firewall, IDS

Poids
10 8 8 5

Collecte

2

4

Solutions à la clef

4

L’approche d’un projet SIM

(B) alertes fiabilisées

solution de corrélation

4

Solutions à la clef

4

Réflexion sur les alertes ?

Pour les biens que l’on désire surveiller! Définir les événements à « Remonter »
Utilisateurs inexistants Brute force attaque Brusque changement de trafique Changement d’intégrité (FIA) Nouvelle MAC adresse sur le réseau Attaque sur une zone interne Etc.
4
Solutions à la clef

4

L’approche d’un projet SIM

(C) réagir aux alertes

4

Solutions à la clef

4

Des informations par rôle

Management Securité

Responsable de l’entreprise Gestion des risques

Responsable sécurité Gestion global de la sécurité (gestion des risques)

Opérationnel
Intégration et exploitation Gestion des systèmes et infrastructure

4

Solutions à la clef

4

Conclusion

Un projet SIM est un processus à long terme L’analyse des biens est très importante
Que surveiller?

Donner la priorité aux événements proches des biens (Cœur du métier) Ne pas négliger la partie organisationnelle
4
Solutions à la clef