Réflexion sur la mise en oeuvre d’un projet de corrélation  Séminaire du 9 mai 2006 Sylvain Maret
Réflexion sur la mise en oeuvre d’un projet de corrélation  <ul><li>Comment aborder un projet de corrélation? </li></ul><u...
Fonctions principales d’une solution de corrélation <ul><li>Collecter les informations  là ou elles sont (A) </li></ul><ul...
L’approche d’un projet SIM là ou elles sont alertes fiabilisées réagir aux alertes solution de corrélation (A) (B) (C)
Inventaire du système d’information (SI) <ul><li>Classification des biens du SI </li></ul><ul><ul><li>Confidentialité (C) ...
Exemple avec la société « Acme.com » Etc. Connectra (Système pour la vente) Messagerie (App. Lotus Notes) Prod4 (App. de p...
Une approche pragmatique <ul><li>Voir le projet SIM comme un processus à long terme. </li></ul><ul><li>Définition des prio...
L’approche d’un projet SIM la ou elles sont (A)
Décomposition d’un bien informatique End Point Network System Application Internal Security External Security Evénements a...
Collecte d’événements pour « Cockpit » Collecte Poids 10 8 8 5 2 Description Zone Tomcat, Apache 2.x, Oracle APP Firewall,...
L’approche d’un projet SIM alertes fiabilisées solution de corrélation (B)
Réflexion sur les alertes ? <ul><li>Pour les biens que l’on désire surveiller! </li></ul><ul><li>Définir les événements à ...
L’approche d’un projet SIM réagir aux alertes (C)
Des informations par rôle Opérationnel Management Securité Responsable sécurité Gestion global de la sécurité (gestion des...
Conclusion <ul><li>Un projet SIM est un processus à long terme </li></ul><ul><li>L’analyse des biens est très importante <...
Upcoming SlideShare
Loading in...5
×

Réflexion sur la mise en oeuvre d’un projet de corrélation

645

Published on

Séminaire du 9 mai 2006

Comment aborder un projet de corrélation?
Quelles sont les sources à collecter?
Faut il donner des priorités aux informations?
Que faire des informations du périmètre de sécurité?

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
645
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
10
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Réflexion sur la mise en oeuvre d’un projet de corrélation

  1. 1. Réflexion sur la mise en oeuvre d’un projet de corrélation Séminaire du 9 mai 2006 Sylvain Maret
  2. 2. Réflexion sur la mise en oeuvre d’un projet de corrélation <ul><li>Comment aborder un projet de corrélation? </li></ul><ul><li>Quelles sont les sources à collecter? </li></ul><ul><li>Faut il donner des priorités aux informations? </li></ul><ul><li>Que faire des informations du périmètre de sécurité? </li></ul>
  3. 3. Fonctions principales d’une solution de corrélation <ul><li>Collecter les informations là ou elles sont (A) </li></ul><ul><li>Corréler ces informations hétérogènes </li></ul><ul><li>Présenter en temps réel les alertes fiabilisées (B) </li></ul><ul><li>Donne les moyens de réagir aux alertes (C) </li></ul><ul><li>Générer des tableaux de bord </li></ul><ul><li>Archiver les logs </li></ul>
  4. 4. L’approche d’un projet SIM là ou elles sont alertes fiabilisées réagir aux alertes solution de corrélation (A) (B) (C)
  5. 5. Inventaire du système d’information (SI) <ul><li>Classification des biens du SI </li></ul><ul><ul><li>Confidentialité (C) </li></ul></ul><ul><ul><li>Intégrité (I) </li></ul></ul><ul><ul><li>Disponibilité (D) </li></ul></ul><ul><ul><li>Niveau A (Elevé) </li></ul></ul><ul><ul><li>Niveau B (Moyen) </li></ul></ul><ul><ul><li>Niveau C (Bas) </li></ul></ul><ul><li>Exemple </li></ul>C B A D I C
  6. 6. Exemple avec la société « Acme.com » Etc. Connectra (Système pour la vente) Messagerie (App. Lotus Notes) Prod4 (App. de production robotisé) E-Connect (Extranet Web) COCKPIT (ERP) GESTIA (Application GED) D I C
  7. 7. Une approche pragmatique <ul><li>Voir le projet SIM comme un processus à long terme. </li></ul><ul><li>Définition des priorités </li></ul><ul><ul><li>Surveillance des points chauds </li></ul></ul><ul><ul><li>Biens niveau A </li></ul></ul>
  8. 8. L’approche d’un projet SIM la ou elles sont (A)
  9. 9. Décomposition d’un bien informatique End Point Network System Application Internal Security External Security Evénements avoisinants Evénements éloignés Evénements directs ERP « COCKPIT »
  10. 10. Collecte d’événements pour « Cockpit » Collecte Poids 10 8 8 5 2 Description Zone Tomcat, Apache 2.x, Oracle APP Firewall, IDS External Security Nagios, Sonde IDS, firewall, Ace Server Internal Security Solaris 2.8, SSH, PAM, Tripwire (FIA) System Linux Red Hat, SSH, PAM System
  11. 11. L’approche d’un projet SIM alertes fiabilisées solution de corrélation (B)
  12. 12. Réflexion sur les alertes ? <ul><li>Pour les biens que l’on désire surveiller! </li></ul><ul><li>Définir les événements à « Remonter » </li></ul><ul><ul><li>Utilisateurs inexistants </li></ul></ul><ul><ul><li>Brute force attaque </li></ul></ul><ul><ul><li>Brusque changement de trafique </li></ul></ul><ul><ul><li>Changement d’intégrité (FIA) </li></ul></ul><ul><ul><li>Nouvelle MAC adresse sur le réseau </li></ul></ul><ul><ul><li>Attaque sur une zone interne </li></ul></ul><ul><ul><li>Etc. </li></ul></ul>
  13. 13. L’approche d’un projet SIM réagir aux alertes (C)
  14. 14. Des informations par rôle Opérationnel Management Securité Responsable sécurité Gestion global de la sécurité (gestion des risques) Intégration et exploitation Gestion des systèmes et infrastructure Responsable de l’entreprise Gestion des risques
  15. 15. Conclusion <ul><li>Un projet SIM est un processus à long terme </li></ul><ul><li>L’analyse des biens est très importante </li></ul><ul><ul><li>Que surveiller? </li></ul></ul><ul><li>Donner la priorité aux événements proches des biens (Cœur du métier) </li></ul><ul><li>Ne pas négliger la partie organisationnelle </li></ul>
  1. ¿Le ha llamado la atención una diapositiva en particular?

    Recortar diapositivas es una manera útil de recopilar información importante para consultarla más tarde.

×