M211

LES SOLUTIONS SEIM

SEIM

• Le SIEM, de l'anglais Security Information and Event Management,

est une solution de gestion des évènements (logs) du système
d'information. Cet outil permet de collecter en temps réel les logs de
diverses sources (poste de travail, serveur, pare-feu, etc.), de les
analyser et de les corréler, dans l'objectif de détecter des incidents
de sécurité ou des anomalies.
• Fournir des rapports sur les incidents et événements liés à la
sécurité : les connexions réussies et échouées, l'activité des logiciels
malveillants et d'autres activités malveillantes possibles.
• Envoyer des alertes si l'analyse montre qu'une activité s'exécute
sur des ensembles de règles prédéterminées, comme par exemple
l'exécution d'un logiciel malveillant, et indique ainsi un problème de
sécurité potentiel.
UTILISATION DE SEIM
LES FONCTIONNALITES DE SEIM

La corrélation:
Des événements de plusieurs sources peuvent être combinés et
comparés afin d’identifier des patterns de comportement invisibles
avec une simple analyse.

La normalisation:

Les données collectées par le SIEM seront uniformisées dans un

format unique. Cette étape permet un traitement optimal pour les
phases d'agrégation et corrélation des évènements
Les avantages de SEIM

 visibilité étendue
Efficacité pour la détection et identification des incidents
Réduire l impact des brèches de sécurité
Génère des rapports bien détaillé ;analyse des logs …………….
SEIM SOLUTIONS

• SEIM SOLUTION collecté les informations et les évènements de différentes sources:

• Host sytstem/Web servers
• Les équipements de sécurité
• Routing Device
• Applications
• Tous les données seront indexé et représentés dans une plateforme centrale
SPLUNK
TO SEIM
TOP 10 SEIM SOLUTIONS
ELK

• La stack ELK est un acronyme utilisé pour décrire une pile qui
comprend trois projets open sources populaires : Elasticsearch,
Logstash et Kibana. Elle est la principale solution open source de
gestion des logs pour les entreprises qui souhaitent bénéficier
des avantages d'une solution de journalisation centralisée.
• Logstash : outil d'intégration de données open source qui vous
permet de collecter des données à partir d'une variété de sources,
de les filtrer, les transformer et de les envoyer à la destination
souhaitée (ex: Elasticsearch). Son but principal est de rassembler et
normaliser tous les types de données provenant de différentes
sources et de les rendre disponibles pour une utilisation ultérieure
• Elasticsearch: Il propose également des requêtes avancées pour
effectuer une analyse détaillée et stocke toutes les données de
manière centralisée. Il est également utilisé sur de nombreux projets
hors la suite ELK car il permet d'exécuter une recherche rapide des
documents.
• Kibana : outil de visualisation de données qui complète la pile ELK ,
c'est une couche de visualisation qui fonctionne au-dessus
d'Elasticsearch, offrant aux utilisateurs la possibilité d'analyser et de
visualiser les données récupérées Elasticsearch
SEIM OPN SOURCE : ELK stack

• ELK est une suite open source comprenant 3 composants

principaux : Elasticsearch, Logstash et Kibana.
• ELK permet l’indexation et l’analyse de données.
• Vous pourrez par exemple charger différents types de données,
comme vos logs, et les visualiser sous forme de diagrammes
Architecture de ELK

• Beats : peut être installé sur les machines à monitorer en agent

pour vous remonter les logs.
• Logstash : permet l'agrégation des données dans Elasticsearch.
• Elasticsearch : le composant principal, qui centralise les
informations et y accède
• Kibana : permet la création de dashboards et la visualisation des
données dans ElasticSearch.
Comment fonctionne logstash

• Il est capable d'extraire des données de presque n'importe quelle source de données à
l'aide des plugins d'entrée, et d'appliquer une grande variété de transformations et
d'améliorations de données à l'aide de plugins de filtre et enfin d'expédier ces données
vers un grand nombre de destinations à l'aide de plugins de sortie. Vous comprendrez
alors que Logstash joue un rôle très important dans la pile en récupérant, filtrant et
expédiant vos données afin de les utiliser plus facilement sur le reste des composants.
Configuration de logstash

• Le pipeline de traitement des événements Logstash comporte trois

étapes : entrées → filtres → sorties. Les entrées génèrent des
événements, les filtres les modifient et les sorties les expédient
ailleurs.
Imputs

• Vous utilisez des entrées pour obtenir des données dans

Logstash. Certaines des entrées les plus couramment utilisées sont :
• ==file
• =syslog:
==beats
Les filtres :

• Les filtres sont des dispositifs de traitement intermédiaires dans le

pipeline Logstash. Vous pouvez combiner des filtres avec des
conditions pour effectuer une action sur un événement s'il répond à
certains critères.
• grok : analyse et structure un texte arbitraire. Grok est actuellement
le meilleur moyen dans Logstash d'analyser les données de journal
non structurées en quelque chose de structuré et interrogeable.
output

• Les sorties sont la phase finale du pipeline Logstash. Un événement

peut passer par plusieurs sorties, mais une fois que tout le
traitement des sorties est terminé, l'événement a terminé son
exécution. Certaines sorties couramment utilisées incluent :
• elasticsearch : envoie des données d'événement à Elasticsearch
• L'investigation numérique, ou digital forensic, consiste à utiliser
des techniques spécialisées dans la recherche,
la collecte et l'analyse de données issues de supports
numériques.
• L’investigation numérique peut couvrir différents aspects :
• Investigation des systèmes de fichiers : analyse des systèmes
de fichiers des endpoints à la recherche de signes de compromission.
• Investigation de la mémoire : analyse de la mémoire à la
recherche d’indicateurs d’attaque qui ne sont pas forcément
présents dans le système de fichiers.
• Investigation du réseau : analyse de l’activité réseau, notamment
de la messagerie électronique, de la messagerie en ligne et de la
navigation sur Internet, afin d’identifier les attaques, de comprendre
les techniques d’attaque utilisées et de déterminer l’ampleur de
l’incident.
Étape 1 — Identifiez le contexte et récupérez les
informations

• L’identification du contexte est une phase très importante, car

elle permet d’obtenir des informations liées à l’incident de
sécurité. Lors de cette phase, vous devrez rencontrer diverses
personnes telles que les personnes de l’IT, les administrateurs,
les responsables des machines infectées ou encore le RSSI.
Ceci vous permettra d’orienter vos recherches pour ne pas faire
fausse rout
Étape 2 — Collectez les supports numériques à
analyser

• Vous avez précédemment identifié le contexte de l’attaque et

également des machines potentiellement compromises.
La phase de collecte va permettre de copier les données pour
pouvoir les analyser (copie de la mémoire vive, et copie du disque
dur). Vous réaliserez des hashs des informations collectées. Cela
permettra de réaliser l’analyse sur la copie sans altérer les données
originales.
Étape 3 — Analysez les données collectées

• Après avoir collecté les données, il faut maintenant les analyser.

C'est la phase la plus technique de l'investigation. Dans cette phase,
vous réaliserez la chronologie des évènements pour extraire la date
et le moment précis de l’incident, ainsi que l’analyse
des artefacts tels que les processus, le registre et le réseau. Une
phase de triage sera également réalisée.
Étape 4 — Corrélation et reporting

• Dans cette phase, vous présenterez dans un rapport le résultat de

vos analyses. Vous présenterez de manière factuelle les éléments
découverts. Vous indiquerez également les indicateurs de
compromission et les recommandations à mettre en place pour
améliorer la sécurité de l’entreprise.
Identifier les outils d’investigation du marché

• Pour réaliser une analyse forensic de support numérique, il existe sur

le marché des outils reconnus.
• La société Guidance Software propose une suite d’utilitaires appelée
Encase dédiée à l’analyse forensic, en passant de l’analyse du
disque et au tri des données jusqu’à l’analyse des fichiers et
le déchiffrement des volumes analysés. Les licences sont
payantes et restent relativement chères. Toutefois, ce genre d’outil
est largement utilisé par les experts judiciaires ou encore les
organismes de police
• Il existe également des outils hardware permettant la collecte
de supports numériques sans altération des données, tels que
des bloqueurs en écriture que nous avons évoqués plus haut.
Les bloqueurs d écrirute
La collecte des données

• Il existe également des utilitaires gratuits ou open source qui sont

très souvent utilisés lors d’analyses forensic:
1.Le framework The Sleuth Kit permet de réaliser une analyse forensic
en passant de la génération d’une timeline au triage des
données et à l’analyse des artefacts Windows (registre, email,
historique…), jusqu’à la génération d’un rapport. Il comporte une
interface graphique appelée Autopsy.
2.Les utilitaires Sysinternal de Microsoft sont également utilisés dans
l’analyse forensic
3. Pour l’analyse de la mémoire vive, il existe également des
frameworks tels que Volatility et Rekall.
4. Pour la copie des disques durs et de la RAM, il est possible
d’utiliser le freeware FTK Imager Lite.
Collectez les informations de base pour
l’investigation

• Les formats de collecte de données:

• La phase de collecte des données, ou encore « l’acquisition »,
est la phase qui doit permettre de copier les données volatiles et
non volatiles sur un support externe, dans le but de réaliser
une analyse approfondie par la suite.
Les formats de collecte de données

• Les images RAW

• Les images brutes, au format RAW, ne sont pas un format en soi,
mais un bloc de données brutes reproduites à partir d’une image.
Les images brutes ne contiennent aucune métadonnée
supplémentaire en dehors des informations sur le fichier image lui-
même (nom, taille, horodatage et autres informations).
• Les formats de forensic
• Les formats de forensic comportent des éléments supplémentaire
tels que l’horodatage, les hash des images et
d’autres métadonnées. Par ailleurs, il peut être nécessaire de
compresser ou chiffrer une image acquise. Les formats de forensic
facilitent la mise en œuvre de ces fonctionnalités. Vous retrouverez
entre autres :
Les Formats de données

• EnCase EWF, développé par Guidance Software, l’une des plus

anciennes entreprises de logiciels de forensic. Il utilise le
format EWF (Expert Witness Format) qui prend en charge les
métadonnées, la compression, le chiffrement, le hachage, etc. ;
• FTK Smart, par AccessData, est un concurrent direct d’EnCase EWF.
Ce format propriétaire inclut également les métadonnées, la
compression, le chiffrement, le hachage, etc.
• AFF, pour Advanced Forensic Formatl en tant que format ouvert. Il
comprend toutes les fonctionnalités attendues et inclut également
des fonctionnalités de chiffrement et de signature utilisant des
certificats X.509 standard.
Réalisez un dump mémoire

• Dans le processus de forensic, il faut dans un premier

temps collecter les données qui seront analysées par la suite.
Dans la réalité, il se peut que vous ayez accès à la machine en cours
de fonctionnement ; dans ce cas il faudra réaliser dans un premier
temps un dump de la RAM pour collecter un instantané des
processus en cours d'exécution. Cela vous permettra d'identifier un
processus malveillant, par exemple
Récupérez les informations de base du disque pour
l'analyse

• Comment sont stockées les données sur un système

Windows
• Pour fonctionner correctement, un système d’exploitation à
besoin d’un système de fichiers. Un système de fichiers est une
partie obligatoire du système d'exploitation, qui détermine la
manière dont les fichiers sont nommés, stockés et organisés
sur un volume.
• Pour stocker et organiser les données, Windows utilise le système
de fichier NTFS (New Technology File System) développé par
Microsof
MFT et métadonnées

• la Master File Table (MFT, table de fichiers principale) est l'un des
composants du système de fichiers de NTFS de Microsoft.
• Élément principal d'une partition NTFS, il s'agit du premier fichier présent sur
celle-ci (son nom exact est "$MFT"), il contient la liste de tous les fichiers
stockés dans la partition. Cette liste est stockée sous la forme d'une série d'
enregistrements.
• Le tableau suivant présente les fichiers système présents à la racine.
Identifiez les artefacts Windows d'intérêt pour
ur extraire les event logs, il est possible d’utiliser FTK Imager. Sous Windows 7, les logs se situent dans le répertoire %SystemRoot%\System32\Winevt\Logs.

l'investigation

• Winndows est un système complexe qui est composé de plusieurs

éléments permettant de comprendre les événements passés. Si
vous savez où chercher, vous pourrez retrouver toutes les
informations dont vous avez besoin pour réaliser votre
investigation.
• 1. Windows event logs:
• Les event logs Windows sont des journaux qui répertorient
chaque action de chaque application sur le système, tels que les
messages d’erreur, d’information et de warning. Il est possible d’y
accéder en utilisant l’outil natif Event Viewer
 Les services

Les services Windows sont des applications qui démarrent

généralement au démarrage de l'ordinateur et s'exécutent
silencieusement en arrière-plan jusqu'à son arrêt.
Les techniques de persistance permettent à un malware de se
réexécuter même après que le système ait rebooté. Les techniques
de persistance utilisées par les malwares sont nombreuses.
Les Prefetch

• Les Prefetch sont des fichiers créés par le système lorsqu’une

application s’exécute sur le système. Les fichiers Prefetch sont
d'excellents artefacts pour analyser les applications exécutées sur
un système.
• Le registre contient des informations auxquelles Windows fait
constamment référence pendant son fonctionnement, telles que
les profils de chaque utilisateur, les applications installées sur
l'ordinateur et les types de documents que chacun peut créer,
les propriétés des dossiers et des icônes d'application, le matériel
existant sur le système, et les ports utilisés.
• SAM (gestionnaire de compte de sécurité) : contient toutes les
informations de comptes utilisateurs et de droits d'accès ;
• Sécurité : le noyau y accédera pour lire et appliquer la politique de
sécurité applicable à l'utilisateur actuel et à toutes les applications
ou opérations exécutées par cet utilisateur ;
• Défaut : ruche utilisée par le compte système local. Utilisée par les
programmes et services exécutés en tant que système local ;
• Logiciel : contient le logiciel et les paramètres Windows,
principalement modifiés par les installateurs d'applications et de
systèmes ;
• Ntuser.dat : contient les paramètres spécifiques à chaque
utilisateur (les profils itinérants l'utilisent).
Répertoriez les indicateurs de compromission avec la matrice
ATT&CK

• Répertoriez les indicateurs de compromission avec la matrice ATT&CK

• Le rapport d’investigation doit comprendre les indicateurs de compromission, ou IoC. Il s’agit

des éléments découverts pendant l’analyse qui permettront de caractériser l’incident. Dans ce

chapitre, nous verrons un peu plus en détail ce qu'est un indicateur de compromission, et comment les

répertorier dans le rapport

Qu’est-ce qu’un indicateur de compromission (IoC) ?

• Ube fois que les analyses ont été effectuées, il est important de créer des indicateurs de compromission

permettant d’identifier des menaces similaires dans le futur. Ces indicateurs de compromission ont pour

but de capitaliser les analyses effectuées afin d’accélérer les futures réponses sur incidents. Ces

indicateurs peuvent également être partagés entre plusieurs entités.

 IoC réseaux

• Les IoC peuvent faire référence à une activité réseau malveillante, telle que la connexion à un serveur

de commande et de contrôle. La connaissance de ces indicateurs permettra très rapidement de bloquer

ces connexions pour contenir une menace sur tout un réseau. En analysant les trames réseau générées

par un logiciel malveillant, il sera également possible de créer des règles IDS pour détecter de manière

proactive une intrusion ou une connexion malveillante.

• Les noms de domaines et URL font également partie de ces IoC.

Les hash de fichiers :

• Les hash sont des empreintes uniques qui identifient des fichiers. Ces hash sont des IoC qui

permettront d’identifier les fichiers malveillants sur une machine. Il peut également être utile d’identifier

les répertoires d’écriture de ces fichiers sur le système.

Les adresses emails

• Les adresses emails délivrant du spam, du phishing ou autre sont également des indicateurs de

compromission qui pourront être bloqués sur les passerelles de messagerie.

• Les actions sur le système :

• Les actions menées sur le système par un logiciel malveillant peuvent également être des IoC. Par

exemple, si le malware crée un service Windows en particulier, ou une clé registre

Répertoriez vos IoC

• La matrice ATT&CK est une initiative du MITRE qui permet d’identifier les tactiques et les techniques

utilisées par un attaquant. Elle fournit un ensemble de classifications permettant d’identifier les

différentes phases d’une attaque, ainsi que les techniques utilisées pour chaque phase.
Rappel sur investigation windows

• L'investigation numérique Windows, également connue sous le nom

de forensique numérique Windows, consiste à recueillir, analyser et
interpréter des preuves numériques provenant de systèmes Windows
dans le but de découvrir et de documenter des activités suspectes
ou criminelles. Voici les étapes générales impliquées dans une
investigation numérique Windows :
• Identification de l'objectif de l'investigation : Déterminez les objectifs
spécifiques de l'investigation, qu'il s'agisse d'une violation de
sécurité, d'un incident de piratage, de la récupération de données
supprimées, etc.
• Préparation de l'environnement d'investigation : Configurez un
environnement d'investigation approprié, isolé du réseau et des
systèmes en production, pour éviter toute contamination ou
modification des preuves
• Analyse des données : Analysez les données collectées en utilisant
des outils forensiques numériques spécifiques pour extraire et
examiner les fichiers, les journaux d'événements, les
enregistrements de registre, les métadonnées, etc. Recherchez des
preuves d'activités suspectes, de violations de sécurité
• Reconstitution des événements : Utilisez les preuves recueillies pour
reconstituer les événements et établir une chronologie des activités.
Identifiez les actions effectuées, les connexions réseau, les
processus exécutés, les fichiers accédés, etc. Cela permet de
comprendre comment l'incident s'est produit et quelles sont les
implications.
• Documentation des résultats : Documentez soigneusement toutes
les étapes de l'investigation, les preuves recueillies, les analyses
effectuées et les conclusions tirées. Faites-en un rapport
d'investigation clair et détaillé, prêt à être présenté aux parties
Voici quelques étapes et techniques couramment utilisées
lors d'une enquête Windows :
1.Collecte des journaux d'événements : Les journaux d'événements
contiennent des enregistrements sur les activités système, les
erreurs, les avertissements et d'autres événements. L'examen des
journaux d'événements peut fournir des indices sur les activités
suspectes, les erreurs système et les problèmes de sécurité.
2.Analyse des fichiers de logs : Outre les journaux d'événements, il est
important de vérifier d'autres fichiers de logs, tels que les logs de
serveur Web, les logs de base de données, les logs de pare-feu, etc.
Ces fichiers peuvent contenir des informations utiles sur les activités
réseau, les tentatives d'accès non autorisées et les erreurs de
configuration.
3.Analyse des artefacts système : Les artefacts système, tels que les
fichiers de configuration, les fichiers de registre, les fichiers de
prefetch, les fichiers temporaires, etc., peuvent fournir des indices
sur les activités récentes et les modifications apportées au système.
• l existe plusieurs outils d'investigation numérique utilisés dans le
domaine de la sécurité informatique et de la forensique numérique.
Voici quelques-uns des outils les plus couramment utilisés :
1.EnCase Forensic: Un outil commercial puissant et largement utilisé
pour l'investigation numérique. Il permet de collecter, analyser et
examiner des preuves numériques provenant de diverses sources, y
compris les disques durs, les appareils mobiles, les fichiers de log,
etc.
2.Autopsy: Un outil open source basé sur Sleuth Kit, qui offre une
interface graphique conviviale pour l'investigation numérique. Il
permet d'examiner les fichiers, les images disque, les fichiers de log,
les journaux système, etc.
3.Volatility: Un framework open source spécialement conçu pour
l'analyse de la mémoire volatile. Il permet d'extraire des
informations à partir de la mémoire RAM d'un système, y compris les
1.FTK (Forensic Toolkit): Un autre outil commercial populaire pour
l'investigation numérique. Il offre une gamme complète de
fonctionnalités pour la collecte, l'examen et l'analyse des preuves
numériques.
2.RegRipper: Un outil open source pour l'analyse du registre Windows.
Il permet d'extraire des informations clés à partir du registre
Windows, telles que les programmes installés, les clés de
démarrage, les activités récentes, etc.
3.The Sleuth Kit: Un ensemble d'outils open source pour la forensique
numérique. Il permet d'examiner les images disque, les systèmes de
fichiers, les journaux d'événements, les métadonnées, etc.
4.OSForensics: Un outil commercial qui offre des fonctionnalités
avancées pour l'investigation numérique, y compris la recherche de
fichiers, l'analyse des fichiers de log, l'extraction des mots de passe,
la récupération des fichiers supprimés, etc.
Investigation des email

• L'investigation des e-mails, également connue sous le nom

d'investigation des courriers électroniques, est une partie essentielle
de la forensique numérique lorsqu'il s'agit de suivre les traces
numériques, de récupérer des preuves et d'analyser les
communications électroniques. Voici quelques étapes générales
impliquées dans l'investigation des e-mails :
• Microsoft Message Analyzer: Un outil de Microsoft qui peut être
utilisé pour capturer et analyser le trafic réseau, y compris les
communications liées aux e-mails. Il permet de suivre les connexions
SMTP, d'analyser les en-têtes d'e-mails, de détecter les problèmes
de messagerie, etc.
• L'investigation numérique sur macOS implique l'analyse des données
et des artefacts numériques présents sur un système Mac. Voici
quelques étapes générales pour mener une investigation numérique
sur macOS :
1.Acquisition des données :
1. Identifiez les sources de données pertinentes, telles que le disque dur
principal, les sauvegardes Time Machine, les fichiers DMG, etc.
2. Utilisez des outils appropriés pour effectuer une acquisition forensique
des données, en veillant à préserver leur intégrité.
2.Analyse des fichiers système :
1. Examinez les fichiers système importants, tels que les journaux
système, les fichiers de configuration, les préférences utilisateur, etc.
2. Recherchez des informations telles que les horodatages, les connexions
réseau, les processus en cours d'exécution, les comptes utilisateurs,
etc
Rapport d investigation numérique

• Un rapport d'investigation numérique est un document détaillé qui

présente les résultats et les conclusions d'une investigation
numérique. Il est utilisé pour documenter les étapes de
l'investigation, les méthodes utilisées, les preuves collectées, les
analyses effectuées et les conclusions tirées. Voici les éléments clés
généralement inclus dans un rapport d'investigation numérique
1.Introduction :
1. Une brève introduction expliquant l'objectif de l'investigation, les
parties impliquées et le contexte global.
2.Méthodologie :
1. Une description détaillée des méthodes, des outils et des techniques
utilisés lors de l'investigation.
2. Une explication de la façon dont les preuves ont été collectées,
préservées et analysées pour garantir leur intégrité.
3. Contexte et informations sur le sujet :
• Une description du scénario ou de l'incident qui a conduit à
l'investigation.
• Des informations sur les personnes concernées, les systèmes
informatiques impliqués, les dates et les heures pertinentes,
4. Analyse des preuves :
1. Une présentation détaillée des preuves numériques collectées et
analysées.
2. L'analyse des métadonnées, des journaux d'événements, des fichiers
système, des fichiers journaux, des captures réseau, etc.
5.Résultats :
3. Une compilation des faits, des découvertes et des résultats importants
de l'investigation.
4. Les informations pertinentes sur les activités suspectes, les violations
de sécurité, les modifications non autorisées, etc.
6.Conclusions :
5. Les conclusions générales de l'investigation, basées sur les preuves et
les analyses réalisées.
6. Une évaluation des impacts potentiels, des responsabilités éventuelles
et des recommandations.