Mise en place d'une solution de sécurité SIEM avec Splunk

Abstract

La supervision de la sécurité des systèmes d'information présente un grand défi pour les grandes entreprises, elle est considérée comme un pilier essentiel pour assurer la sécurité de tous les composants du système d'information afin de détecter les failles et les violations de sécurité et y remédier à eux. Parmi les parties analysées dans ces entreprises, on trouve ce qu'on appelle les fichiers Journaux, ces derniers sont construits et enregistrés avec un format spécial par de chaque équipement, système ou composant du SI en général. Ces fichiers aident à suivre les activités des utilisateurs dans le SI, ce qui permet de détecter et suivre les comportements suspects qui viole la politique de sécurité d'une façon ou d'une autre. Le suivi et l'analyse de ces événements est fait dans la plupart du temps par une équipe de sécurité. Cette tâche est une tâche difficile, du fait que le suivi des évènements doit être fait d'une manière enchainée sans négliger ou oublier aucun d'eux, surtout si cette surveillance concerne une activité critique. Dans ce projet, on va proposer une solution pour l'analyse des enregistrements data et sécurité en format de fichiers et logs en temps réel du SI " IFRI ", et ceci en les récupérant à partir du serveur Splunk, les enrichir en utilisant différentes méthodes, cela sera suivi par leur indexation et stockage, afin qu'ils soient analysés par le système et contrôlés d'une manière simplifiée par l'équipe de sécurité. Cette solution va permettre une analyse dynamique de ces événements selon des règles construites et stockées par cette équipe, ce qui va aider majoritairement dans la facilitation de la supervision de la sécurité du système en offrant la possibilité de la recherche rapide et la filtration de ces évènements. A la fin de chaque analyse, un ensemble des alertes peut être ajouté et affiché dans le tableau de bord de ce système. La solution est mise en couvre en la présentant à travers une interface d'une application web qui respecte les règles d'interface Homme Machine (IHM) et les critères de sécurité des application web .