Résumé:
Cette étude propose un système de collecte et d'analyse d'événements SIEM
(Security Information and Event Management), un outil d'aide à la gestion centralisée des
fichiers journaux, ces fichiers sont les parties que les entreprises analysent. Car ces
derniers facilitent le suivi de l'activité des utilisateurs dans le SI (système d’information),
ce système est équipé de tableau de bord qui permet un suivi en temps réel des journaux
analysés et génère des alertes de sécurité en cas de détection d'anomalies afin de suivre
l'utilisation d'Ubuntu ou de Windows à l'aide de différents agents SIEM installés.
Les journaux des systèmes d'exploitation Windows et Ubuntu sont collectés par
un agent, et les données brutes sont ensuite envoyées à un serveur de traitement pour
normalisation et analyse. Après traitement, les journaux sont indexés et enregistrés dans
une base de données No-SQL afin que les outils de lecture puissent les afficher sous forme
de graphiques et de tableaux intégrés dans des tableaux de bord. Après avoir examiné
plusieurs journaux pertinents liés à la sécurité, une alerte est générée lorsqu'une
tentative d'attaque (telle qu'une attaque par force brute ou par injection) est découverte.
Mots clés : SIEM, fichiers journaux, SI, événements, tableau de bord, alertes, anomalies, No-SQL, attaque, analyse d'événements, indexation.
