Séminaire du 9 mai 2006
Comment aborder un projet de corrélation?
Quelles sont les sources à collecter?
Faut il donner des priorités aux informations?
Que faire des informations du périmètre de sécurité?
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Réflexion sur la mise en oeuvre d’un projet de corrélation
1. Réflexion sur la mise en oeuvre d’un projet de corrélation Séminaire du 9 mai 2006 Sylvain Maret
2.
3.
4. L’approche d’un projet SIM là ou elles sont alertes fiabilisées réagir aux alertes solution de corrélation (A) (B) (C)
5.
6. Exemple avec la société « Acme.com » Etc. Connectra (Système pour la vente) Messagerie (App. Lotus Notes) Prod4 (App. de production robotisé) E-Connect (Extranet Web) COCKPIT (ERP) GESTIA (Application GED) D I C
9. Décomposition d’un bien informatique End Point Network System Application Internal Security External Security Evénements avoisinants Evénements éloignés Evénements directs ERP « COCKPIT »
10. Collecte d’événements pour « Cockpit » Collecte Poids 10 8 8 5 2 Description Zone Tomcat, Apache 2.x, Oracle APP Firewall, IDS External Security Nagios, Sonde IDS, firewall, Ace Server Internal Security Solaris 2.8, SSH, PAM, Tripwire (FIA) System Linux Red Hat, SSH, PAM System
14. Des informations par rôle Opérationnel Management Securité Responsable sécurité Gestion global de la sécurité (gestion des risques) Intégration et exploitation Gestion des systèmes et infrastructure Responsable de l’entreprise Gestion des risques