Télécharger, installer et configurer un serveur SIEM pour recueillir et stocker les logs pour le monitoring et alertes de votre entreprise

Dans cet article, je parle d’un serveur de monitoring open source, il est capable de gérer les informations et événements de sécurité, recueillir, stocker des logs et faire des alertes en temps réel dans votre réseau.

Que signifie SIEM ou OSSIM, comment l’installer, le configurer et faire votre monitoring ? C’est ce que nous allons voir sur Gandalsmart.

Nous vivons dans un monde de réseautage et les cyberattaques font rage ! Les entreprises ne font pas exceptions. Pour leur bon fonctionnement, ils ont besoin d’un réseau informatique sécurisé. C’est indispensable !

Cependant, la présence de ces réseaux comporte un risque, à cause des données qui transitent entre les terminaux. L’intrusion des virus, le risque de piratage et la perte de données sont des dangers perpétuels.

La sécurité des systèmes d’information doit être de rigueur. C’est pour cela que les entreprises ont besoin de se défendre, combler leurs besoins de sécurité. Elles sont en quête de solutions, de méthodologie pour prévenir les attaques, les intrusions et les pertes de données. Comment ?

Quelles sont les solutions de sécurité envisageables ?

J’avoue, c’est un projet que j’avais reçu pendant un stage dans une boîte informatique. Ce projet propose une solution de gestion des événements et des informations de sécurité pour les entreprises.

Certes, il y en a plusieurs qui feront l’affaire : PRTG, NAGIOS, EYES OF NETWORK etc… selon les critères d’efficacité. Pour notre cas, parlons de cet OS Open Source développé par cette grosse société AT&T Cybersecurity.

Comme vous le voyez, elle est spécialisée dans la prévention des menaces informatiques, les cyberattaques. Le projet OSSIM qui est un système Open Source intégrant des outils de sécurité a commencé en 2003 et a été lancé par Dominique Karg, Julio Casal, Ignacio Cabrera et Alberto Román.

Il est devenu la base d’AlienVault, fondé en 2007, en Espagne. 

Quand on parle de cyberattaque, presque tout le monde est concerné, les entreprises en particuliers. Ce sont des cibles avec des failles potentielles : les mal intentionnés scannent nos réseaux, infiltrent et vols des données ou simplement paralysent les systèmes d’informations.

C’est dire combien de fois une perte de données pour une entreprise n’est vraiment pas souhaitable. Ça y va de sa crédibilité.

Il faut les limiter les attaques. Comme on le dit souvent vaut mieux prévenir que guérir.

Comment empêcher un tel scénario ? comment prévenir les attaques éventuelles ? Localiser les événements suspects et si possible éradiquer le mal ?

C’est quoi un Server SIEM et quel est son mode de fonctionnement ?

SIEM = SIM + SEM : (Gestion des informations de sécurité et gestion des événements de sécurité).

Un système SIEM assure la détection des menaces, la gestion de la conformité et des incidents de sécurité grâce à la collecte et à l’analyse (à la fois en temps quasi réel et historique) des événements de sécurité, ainsi qu’à une grande variété d’autres collecte et gestion d’événements.

Voyons les bénéfices de cet outil formidable qu’est OSSIM développé par AT&T Cybersécurité.

  1. Un SIEM est utile pour toute entreprise qui a besoin de prévenir à l’avance les cybermenaces actuelles et future ;
  2. Un SIEM identifie les éventuelles menaces et évènements suspects ;
  3. Détecter les comportements suspects et détecter les problèmes avant qu’ils ne deviennent des violations ;
  4. Rassembler toutes les infos sur un seul endroit afin délimiter les angles morts ;
  5. Surveiller et appliquer les politiques d’entreprise
  • Récupérer les logs de différents équipements : switch, firewall, routeurs, des OS linux et Windows…

Un résumé de son fonctionnement SIEM

Alors, le serveur SIEM permet prévenir les menaces de sécurité de l’entreprise. Réagir plus rapidement afin de pallier aux menaces.

Il a deux principaux rôles : surveiller, détecter les attaques et analyser ce qui se passe en temps réel sur les équipements de l’entreprise (serveurs, routeurs, switch, firewall…). Et tout est centralisé.

Il existe un tableau de bord où vous pouvez visualiser tous les résultats et en tirez une conclusion claire. Vous pouvez recevoir des notifications par email sur la situation.

D’un autre côté, avec l’avancée technologique et l’utilisation des IA, les SIEMS ne garantissent pas tout de même 100% de sécurité même s’ils préviennent les attaques, donnent des alertes en limitant les dangers.

La réaction en temps réel en est un des avantages. Il facilite la tâche aux ingénieurs informatiques en gérant tout ce qui se passe ou en limitant le personnel.

Différentes menaces pour l’entreprise 

Un utilisateur peut essayer de se connecter sur le réseau via une application en faisant plusieurs tentatives : vous êtes informé de cela et vous avez la possibilité de d’agir plus rapidement.

Comment déployer notre serveur SIEM ?

OSSIM est une plateforme open source unifiée qui fournit une capacité de sécurité essentielles pour les professionnels de sécurité. Avec l’intégration de nombreux logiciels de sécurité (Apache, IIS, Syslog, Nmap, Nagios), il fournit une visibilité sur les problèmes de sécurité.

Nous allons installer notre serveur open source sur un VM ESXI.

Voici les prérequis d’installation :

  • RAM 4Go minimum (8Go souhaité)
  • Disque dur 50 Go
  • Processeur 2 CPU
  • IP: 10.0.11.92   

On peut l’installer chez VMware ou VirtualBox. Pour notre cas, renseignons les spécifications techniques lors de la création de la machine virtuelle.

création de la machine virtuelle esxi SIEM

Maintenant, choisissons le système et sa version : Linux & Debian 64 bits.

VM AlienVault ossim

On va renseigner les spécifications techniques pour son déploiement.

paramètres de la VM OSSIM

Démarrons notre VM.

Démarrer ma VM ossim

Validez Entrée pour lancer le processus d’installation. Choisissez la langue, le clavier et les paramètres réseaux.

Choix de la langue serveur ossim

La configuration du réseau

  • Choix des interfaces : eth0 & eth1
  • IP : 10.0.11.92
  • Mask : 255.255.255.0
  • Passerelle : 10.0.11.1
IP Adress VM
configuration réseau de la vm ossim

La configuration du compte root

Configurer mot de passe de la VM ossim

Nous allons terminer l’installation.

Finaliser la configuration du serveur siem

Configuration du serveur OSSIM

Dès que l’installation se termine. Nous pouvons passer à la configuration de notre serveur OSSIM.

On va se connecter via un login et un mot de passe. Lorsque vous vous connectez, plusieurs paramètres sont disponibles.

  • Activons l’agent OSSIM

L’Agent OSSIM récupère simplement les informations des fichiers de logs des plugins et les envoie directement au serveur OSSIM permettant ainsi le traitement en temps réel de celles-ci.

Pour l’activer, il faut aller dans les paramètres.

…………………….

Maintenant utilisons l’adresse IP du serveur 10.0.11.92 pour nous connecter via l’interface web. Utilisons Google chrome de préférence.

accès web serveur siem ossim linux pour la supervision réseau

Dès la validation, on va accepter le certificat et remplir les détails sur le compte d’administration du serveur. Renseignez les bonnes informations pour pouvoir vous connecter.

login et mot de passe sur la VM

Connectez-vous par login et mot de passe. Nous allons voir l’assistant de configuration avec trois options qui définissent le rôle de supervision.

  • Surveiller le réseau (configurer le réseau surveillé par le serveur OSSIM) ;
  •  Découverte des actifs (découverte automatique des périphériques réseau dans l’organisation) ;
  • Collecte de journaux et surveillance des nœuds du réseau

A ce stade, on peut démarrer notre configuration. Vous pouvez spécifier le choix des interfaces pour pouvoir assurer la surveillance et collecter les journaux.

Détection des actifs

Il est essentiel d’activer cette détection automatique des actifs. Ceci permet de découvrir les équipements sur le réseau de façon automatique ou manuelle selon votre configuration. Trois types d’actifs sont pris en charge par OSSIM : Windows, Linux et les périphériques réseau.

Déploiement du HIDS

Pour mieux collecter les journaux d’événements, faire de la surveillance, il est essentiel de déployer un HIDS sur chaque actif du réseau. Pour cela, connectez-vous via un login et un mot de passe sur la machine en question.

Ah, j’oubliais, vous pouvez rejoindre OTX (c’est un programme d’échange de menaces d’AlienVault). Il suffit de créer un compte et intégrer OTX API pour validation sur votre serveur SIEM.

Qu’est-ce que OTX ?

AlienVault Open Threat Exchange (OTX ™) est la première communauté de renseignement sur les menaces véritablement ouverte au monde. OTX vous permet de renforcer les défenses de sécurité de votre réseau grâce à des informations sur les menaces, précises et pertinentes alimentées par la communauté. 

Comment ça marche ?

L’activation d’OTX dans votre installation OSSIM vous permettra d’intégrer des impulsions OTX contenant les dernières informations sur les menaces, y compris les indicateurs de compromission (IoC) dans votre installation. 

Pour revenir à nos mots, vous allez vous rendre dans le Tableau de bord une fois cette étape terminée. Vous allez découvrir des onglets intéressants : Analyse, Environnement, Rapports et les Configuration.

Tableau de bord serveur siem
Configuration client

Nous allons intégrer une machine cliente à surveiller. Pour cela, nous allons installer l’agent ossim et configurer le pare-feu de telle sorte que le serveur puisse obtenir les évènements de logs et les informations de sécurité.

On va ajouter un client Windows.

Rendez-vous dans Environnement, puis Assets & Groupes. On peut ajouter un client Windows ou plusieurs autres machines, puis les grouper.

Pour ce faire :

Cliquez sur cette icone de l’hôte Windows en question sous la colonne Actions. Cette action va générer et télécharger le programme d’installation de l’agent préconfiguré. Il est sous forme : ossec_installer_7.exe (7 est la version de l’utilitaire).

installation OSSEC  HIDS

Donc vous pouvez l’installer tranquillement sur votre machine cliente. Vous pouvez le lancer sur la machine cliente ou directement sur le serveur. Également l’hôte peut être un système Linux.

ip address

Voilà que notre agent est déployé on peut aller sur notre Tableau de bord, voir les analyses, les évènements, les activités de notre machine sur le réseau.

Conclusion

La cybersécurité est une véritable préoccupation mondiale. En ingénieur des réseaux informatiques, il faut se concentrer sur les techniques de sécurisation des systèmes.

Il faut s’y atteler car les menaces sont quasi omniprésentes. Nous avons parler d’un système Open Source dans cet article, comment l’installer, le configurer et faire de la surveillance. Sachez qu’il en existe d’autres plus encore efficaces selon vos besoins, après tout, la technologie elle est évolutive.

N’hésitez à interagir avec moi en commentaire si vous avez ce genre de projet ou un autre projet similaire.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *