Déploiement d'un serveur SIEM - Améliorer la prévention et la détection face aux cybermenaces

Extraits

[...] Cette première phase de documentation est primordiale, car étant un outil OpenSource et le découvrant pour la première fois, il est impératif d'en prendre pleinement connaissance afin de réaliser une bonne configuration et de maximiser la bonne mise en service du logiciel en ayant compris les moindres paramètres de ce dernier. Wazuh est une plateforme de prévention, de détection et de réponse aux menaces, gratuite et open source. Elle protège les charges de travail sur site, dans des environnements virtualisés, conteneurisés et en cloud. Wazuh est utilisé par des centaines d'entreprises dans le monde entier, allant des petites entreprises aux grandes sociétés. Wazuh est un outil de collecte, d'agrégation, d'indexation et d'analyse des données de sécurité qui aide les entreprises à détecter les intrusions, les menaces et les comportements suspects. [...]

[...] Installation et configuration de Wazuh Voici les principales caractéristiques de Wazuh à configurer : Analyse de la sécurité ; Analyse d'intrusion ; Analyse des données du journal ; Surveillance de l'intégrité des fichiers ; Détection des vulnérabilités ; Évaluation de la configuration ; Réponse aux incidents ; Conformité réglementaire ; Sécurité du cloud ; 10- Sécurité des conteneurs. La solution est basée sur l'agent Wazuh, qui est déployé sur les points surveillés et sur trois composants centraux : le serveur, l'indexeur et le Dashboard. L'indexeur est un moteur de recherche et d'analyse. Ce composant central indexe et stocke les alertes générées par le serveur. Le serveur analyse les données reçues des agents. Il le traite par le biais de décodeurs et de règles en utilisant les renseignements sur les menaces pour rechercher des indicateurs de compromission connus. [...]

[...] La technologie SIEM existe depuis plus de dix ans et a considérablement évolué depuis que Gartner a inventé ce terme en 2005. Bien qu'elle n'ait pas le même engouement que les technologies d'IA, elle est devenue une solution essentielle pour la détection et la réponse aux menaces dans un paysage informatique et de sécurité de plus en plus complexe et en évolution rapide. Les sources de données comprennent : Les périphériques réseau : Routeurs, commutateurs, ponts, points d'accès sans fil, modems, pilotes de ligne, hubs ; Serveurs : Web, proxy, courrier, FTP ; Dispositifs de sécurité : IDP/IPS, pare-feu, logiciels antivirus, dispositifs de filtrage de contenu, appareils de détection des intrusions ; Applications : Tout logiciel utilisé sur l'un des dispositifs ci-dessus ; Solutions en nuage et SaaS : Logiciels et services non hébergés sur site ; Personnel à distance : Tous les appareils et activités liés au travail à distance. [...]

[...] Sysmon va m'aider à enregistrer et surveiller toutes les activités suspectes sur le parc informatique. Pour cela, il est nécessaire de créer un fichier XML. Voici une configuration XML qui fonctionne pour que Sysmon génère le bon journal lorsque Powershell est exécuté : < hashalgorithms >md5 < eventfiltering > powershell.exe Configuration de Syslog/Auditd sur Linux Le système Audit de Linux va me permettre de suivre ce qui se passe dans le système d'exploitation en suivant les événements basés sur des règles préconfigurées. [...]

[...] Recommandation pour le système opérant : Le serveur Wazuh doit être installé sur un système Linux 64bits, voici les systèmes compatibles : Amazon Linux 2 CentOS Red Hat Enterprise Linux Ubuntu Tableau2 : Recommandations pour le système opérant Équipement hardware nécessaire : Le serveur Wazuh peut être installé comme un nœud unique ou multi-noeuds. Composant Ram CPU (cœurs) Composant Ram CPU (cœur) Minimum 2 2 Recommandé 4 8 Tableau3 : Équipement hardware nécessaire La quantité de données dépend des alertes générées par seconde (APS). Voici l'espace disque nécessaire par agent pour stocker 90 jours d'alertes sur un serveur Wazuh en fonction du type de terminaux surveillés. [...]