Résumé:
La sécurité informatique fait à face à plusieurs défis ; Les exploits gagnent en agressivité avec une vitesse incroyable, et il est devenu plus crucial que jamais de sécuriser nos infrastructures, mais cela risque d'être plus compliqué qu'on l'imagine.
Puisque les attaques modernes utilisent des méthodes complexes, moyennant plusieurs vecteurs d'attaque pour atteindre leur but, le seul moyen pour espérer contrer cela, est d'avoir une vue globale sur le système, et de savoir traduire et corréler les informations contenues dans les évènements détectés par les dispositifs de sécurité, en des indications de menace potentielle.
Pour cette fin, il existe une source d'information rarement exploitée, pourtant facilement accessible : les logs.
En effet, on peut utiliser les logs pour extraire des informations concernant le lancement des services, l'activité des utilisateurs, les erreurs d'exécutions...etc. mais aussi les évènements de
sécurité.
Si on peut automatiser la tâche de collection, d'analyse, et d'extraction d'information depuis les logs puis les corréler avec d'autres données depuis d'autres sources, on pourrait détecter, ou même prévenir une attaque beaucoup plus facilement.
Dans ce document, on va présenter une solution de surveillance et de détection d'incidents à base de fichiers journaux en utilisant des outils open source.
On va montrer les difficultés liées à la gestion des logs, les contraintes de conservation d'information, ainsi que la complexité de la corrélation des évènements.
On va aussi détailler la démarche d'implémentation, à savoir le concept, la logique, et les outils utilisé pendant celle-ci.
Enfin, on va conclure avec la présentation de quelques perspectives pour l'amélioration du projet dans des versions futures.
Mots clés : SIEM, Logs, Sécurité, Détection