Étude et Mise en place d'une solution SIEM Au sein de la société NAFTAL

Abstract

Cette étude propose un système de collecte et d'analyse d'événements SIEM (Security Information and Event Management), un outil d'aide à la gestion centralisée des fichiers journaux, ces fichiers sont les parties que les entreprises analysent. Car ces derniers facilitent le suivi de l'activité des utilisateurs dans le SI (système d’information), ce système est équipé de tableau de bord qui permet un suivi en temps réel des journaux analysés et génère des alertes de sécurité en cas de détection d'anomalies afin de suivre l'utilisation d'Ubuntu ou de Windows à l'aide de différents agents SIEM installés. Les journaux des systèmes d'exploitation Windows et Ubuntu sont collectés par un agent, et les données brutes sont ensuite envoyées à un serveur de traitement pour normalisation et analyse. Après traitement, les journaux sont indexés et enregistrés dans une base de données No-SQL afin que les outils de lecture puissent les afficher sous forme de graphiques et de tableaux intégrés dans des tableaux de bord. Après avoir examiné plusieurs journaux pertinents liés à la sécurité, une alerte est générée lorsqu'une tentative d'attaque (telle qu'une attaque par force brute ou par injection) est découverte. Mots clés : SIEM, fichiers journaux, SI, événements, tableau de bord, alertes, anomalies, No-SQL, attaque, analyse d'événements, indexation.