Centralisation et gestion des fichiers logs (SIEM).

Abstract

Ce travail propose de fournir un système de collecte et d'analyse d'évènements pour surveiller la sécurité des actifs informatiques dotés de systèmes d'exploitation Ubuntu ou Windows à l'aide d'un SIEM: un outil d'aide à la gestion centralisée des journaux avec des tableaux de bord pour surveiller les logs analysés en temps réel et générer des alertes de sécurité en cas d'anomalie. Le système implique des agents pour collecter les logs des systèmes d'exploitation Windows et Ubuntu et envoyer ces données dans un format brut au serveur de traitement pour la normalisation et le parsing. Une fois parsés, les logs sont indexés et stockés dans une base de données No-SQL qui permettra leur exploitation par un outil de visualisation en format lisible et sous forme de graphes et de tableaux assemblés dans des tableaux de bord (Dashboard). Après la visualisation de divers logs de sécurité d'intérêt, des alertes sont créées lors de l'identification d'une tentative d'attaque tel que les attaques par force brute et par injection. Les tests ont été effectués en générant les logs de sécurité souhaités depuis des machines virtuelles Windows 10 et Ubuntu 18 afin d'être capturés par le système conçu et mis en oeuvre. Mots clés : SIEM, centralisation, gestion de logs, évènement de sécurité, log, surveillance, alerte, incident, tableau de bord, attaque.