WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Mise en place d'un système de gestion centralisé des logs et des évènements « SIEM »


par Joseph DEMBELE
Université Centrale - Master professionnel mention Cybersécurité 2021
  

précédent sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

Chapitre II : Réalisation

Puis l'extraire dans C:\Program Files\ et éditer le fichier Winlogbeat.

La configuration de Winlogbeat est presque le même que pour Filebeat nous indiquons l'adresse de la machine serveur dans la section Kibana qu'on décommette en enlevant le #.

Figure 25 : Configuration de Winlogbeat (Partie Kibana)

On commente la partie Elasticsearch pour pouvoir envoyer nos logs à Logstash et configurons l'envoi des logs à travers une vérification du certificat.

Figure 26 : Configuration de Winlogbeat (Partie Logstash)

Pour pouvoir lancer le service Winlogbeat nous allons exécuter PowerShell en mode administrateur et nous placer dans le répertoire de Winlogbeat puis lancer le service Winlogbeat. Comme l'exécution du script est désactivée sur notre système, nous devons définir la politique d'exécution de la session en cours pour autoriser l'exécution du script avec la commande :

Chapitre II : Réalisation

Figure 27 : Exécution du fichier d'installation des services Winlogbeat

Puis nous allons enfin lancer Winlogbeat avec la commande :

start-service winlogbeat

Après avoir fait toutes les configurations nécessaires et démarré tous les services sur les différentes machines, on peut accéder à l'interface de Kibana à travers l'url http://192.168.10.139 sur n'importe qu'elle machine du réseau. On doit s'authentifier avec le nom d'utilisateur et le mot de passe qu'on a mis lors de la configuration avec htpasswd pour y accéder.

Figure 28 : Interface de connexion web de Kibana

39

40

Chapitre II : Réalisation

Une fois loguer sur l'interface de Kibana la première des choses qu'on va faire est de vérifier le statut de Kibana, en accédant à l'URL 192.168.10.139/status. La page d'état affiche des informations sur l'utilisation des ressources du serveur et répertorie les plug-ins installés. Si la page indique que le statut de Kibana est « green », alors tous les plugins fonctionnent correctement.

Figure 29 : Interface des status de Kibana

3.7 Installation des outils d'aide à la détection des attaques

Cette partie sera consacrée à l'installation de deux outils d'aide à la détection d'attaque c'est-à-dire Suricata et Auditbeat.

Suricata est un IDS (Intrusion Detection System) /IPS (Intrusion Prevention Sytem) open source basé sur des signatures, il permet l'inspection des Paquets en Profondeur et une détection automatique de protocole (IPv4/6, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, DNS). Suricata analyse le trafic sur une ou plusieurs interfaces réseaux en fonction des règles activés. Il génère, par défaut, un fichier JSON. Celui-ci sera ensuite utilisé par notre Stack pour l'analyse et la détection d'attaque.

41

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy







© Memoire Online 2000-2023
Pour toute question contactez le webmaster

"L'ignorant affirme, le savant doute, le sage réfléchit"   Aristote