Discussion :

[Reverse_]

Bonjour,

Je suis entrain d'étudier un peu les architectures pour la sécurité des réseaux et je souhaiterai connaître les bonnes pratiques / comment mettre en place un bon réseau avec SIEM et IDS.

L'idée que j'ai est d'utiliser syslog-ng sur les postes clients pour les envoyer à un serveur pour centraliser les logs.
J'ai aussi l'IDS suricata, je pense aussi à récupérer ses logs pour les envoyer au serveur qui les centralise.
Et par rapport à ce que j'ai lu il faudrait que je filtre les logs que j'ai centralisé pour les envoyer à mon SIEM.

- Est-ce que cette façon de faire semble bonne (le fait de centraliser tous les logs en un point, filtrer le tout pour l'envoyer à mon SIEM) ?
- Comment réussir à filtrer les logs de façon efficace? Parce que je vois une difficulté avec le fait de filtrer au maximum de logs pour ne pas surcharger le SIEM, mais aussi envoyer assez de logs pour avoir assez d'informations pour alerter les administrateurs ?

Enfin j'ai aussi du mal à choisir un SIEM.
Après mes recherches je suis tombé sur GrayLog qui est vendu comme un SIEM mais il est aussi définit (principelement) comme une sorte de filtre avant le SIEM (https://global-uploads.webflow.com/5...ylog-p-800.png)
J'ai vu Alienvault aussi mais lui embarque un IDS, est-ce utile ? Y a t il un interet si j'ai déjà suricata sur mon réseau ?

Je suis un peu perdu là, si vous avez des informations à me donner je suis preneur
En vous remerciant par avance
Cordialement,

[tabouret]

Alors la tu tombe bien ! Parce qu'il se trouve que j'ai déjà implémenté exactement ce genre de configuration.

- Est-ce que cette façon de faire semble bonne (le fait de centraliser tous les logs en un point, filtrer le tout pour l'envoyer à mon SIEM)

Oui c'est du tout bon

- Comment réussir à filtrer les logs de façon efficace? Parce que je vois une difficulté avec le fait de filtrer au maximum de logs pour ne pas surcharger le SIEM, mais aussi envoyer assez de logs pour avoir assez d'informations pour alerter les administrateurs ?

L'étape la plus difficile va être la corrélation de logs : Tout dépend comment tu configure Suricata mais si tu relève toutes les alertes, tu vas te retrouver avec une montagne d'erreur du type "headers error" ou "Checksum errors"..
Est ce vraiment Utile ce genre d'erreur? Si tu veux pousser la corrélation d'alertes oui mais dans un premier temps tu peux passer outre ce genre d'alertes et te concentrer sur des attaques applicatives et réseaux.

Conçernant l'IDS, il n' a que Suricata et Bro qui domine pleinement. (Mais Bro c'est plus pour des attaques comportementales).

Conçernant les SIEMs, la ça devient plus corsé, le choix est plus difficile.

Graylog n'est pas à proprement parler un SIEM mais plutôt un analyseur de logs mais il possède pas mal de fonctionnalité de SIEM alors as-tu véritablement besoin d'un pur SIEM? A voir.

En gros en analyseur de logs :

• Stack ELK : mais Graphana n'est pas sécurisé
• Graylog : Il peut faire du SIEM, gère LDAP, fait de la corrélation, la GUI n'est pas horrible et est éprouvée

Et en pur SIEM :

• OSSIM
• Aanval
• SPLUNK

Mais les SIEM open source ont l'air d'être un chouia limité mis a part peut être OSSIM.

Mais je te conseil d'utiliser uniquement Graylog en plus il n'est pas trop difficile à prendre en main.


Note conçernant syslog-ng :

Sur la version stable de Debian et CentOS, c'est la version 3.8 il me semble (la dernière étant la 3.15)
Suricata déposant ses logs au format JSON, je te conseil de les forwarder à Graylog au format GELF. (Ca t'évitera de les parser en Syslog puis reparser en JSON)
Or, Syslog-ng ne forwarde en GELF qu'à partir de la version 3.15.
Donc où tu bidouille syslog-ng pour rajouter les en-têtes du JSON propre à GELF et tu les envoie à Graylog, ou bien tu utilise syslog-ng > 3.15, ou bien tu utilise le Graylog-collector de Graylog qui prend du JSON en entrée et les envoie en GELF et ce de manière vraiment très simple.


Autre


C'est quoi le débit du réseau que tu dois sécurisé? Tu dois implémenter le clustering pour la redondance ou non?
Pense à bien sécurisé ton OS et SURTOUT à t'assurer que Suricata ne drop aucun paquets.

[Reverse_]

Tout d'abord merci beaucoup pour cette réponse très complète et intéressante !

Mais je te conseil d'utiliser uniquement Graylog en plus il n'est pas trop difficile à prendre en main.

J'ai installé rapidement Graylog pour le tester. Je n'ai pas encore eu l'occasion de lire sa doc, mais y a t il des scripts de la communauté pour avoir un system d'alert qui fonctionne rapidement ? Ou il faut tout mettre en place soit même ?

Merci aussi pour cette précision quant à syslog-ng et le format JSON !

C'est quoi le débit du réseau que tu dois sécurisé? Tu dois implémenter le clustering pour la redondance ou non?

Pour le débit je n'ai pas d'informations précises, mais c'est un petit réseau avec peu de débit dessus.
Et pour la clustering pour la redondance je n'y ai pas pensé.

[tabouret]

J'ai installé rapidement Graylog pour le tester. Je n'ai pas encore eu l'occasion de lire sa doc, mais y a t il des scripts de la communauté pour avoir un system d'alert qui fonctionne rapidement ? Ou il faut tout mettre en place soit même ?

Je te déconseille d'utiliser des scripts de la communauté : Chaque cas est unique et c'est mieux quand tu sais ce que tu fais.(D'ailleurs quels scripts? tout se fait en GUI sauf si tu développe une application avec REST API ce qui m'etonnerait).
D'autant que Graylog est plutôt assez simple.

Si c'est un petit réseau pas besoin d'optimiser ton OS et pas forcément besoin de clustering non plus.

[Reverse_]

J'appel ça script mais sans doute ce n'est pas ce nom.
Quand j'avais regardé AlienVault OSSIM j'étais tombé sur ça : https://otx.alienvault.com/
Qui permet d'échanger des informations sur les dangers pour que le siem soit un peu plus performant.
Parce que effectivement il faudrait que je gère toutes mes alerts à la main, mais est-ce que c'est vraiment possible de réussir à prévoir un assez grand nombre de cas pour que le system d'alerts soit performants ?

[tabouret]

Oui c'est possible (même si c'est chronophage) faut juste que tu corrèle tes alertes par IPs entrantes puis par actions menés (Une IP particulière fait un scan de port/service puis lance une attaque ou bien tu reçoit une DOS d'une IP) ou bien l'inverse (un scan de port menée par une IP X suivie par une attaque lancée par une IP Y).
De toute façon si c'est un petit réseau tu ne devrais pas avoir tant d'alertes que ça (sauf si beaucoup de personnes se connectent dessus)


Hors sujet


De toute façon pour être vraiment au top, un réseau doit aussi être sécurisé via une approche comportementale (Bro typiquement), ceci afin de pouvoir contrer les attaques 0 days :
Tu définis un trafic normal (exemple pas de trafic non sécurisé, le listing des ports autorisés, le pourcentage de telle donnée en fonction du temps...) puis tout trafic suspect qui s'écarte de cette règle relève une alerte. Bon ça fait appel au machine learning à l'heure actuelle et c'est assez compliqué à mettre en place (déjà bon courage pour Bro).

Pense à sécuriser ton OS avec SE Linux , à paramétrer ta machine pour qu'elle ne réponde pas au ping (ni a quoique ce soit d'autre que du SSH ou ce que tu veux de sécurisé) et plein d'autres tips de sécurité aussi

[Reverse_]

Merci beaucoup pour toutes tes explications ! J'y vois beaucoup plus claire maintenant et je sais déjà un peu mieux vers où je dois aller !

[tabouret]

J'allais oublier : pas de HTTPS de bout en bout sinon Suricata ne pourra pas checker la charge d'une trame.

Ce qui veut dire que tu dois gérer tes certificats "publiques" en dehors de tes serveurs