Bonjour,
Je suis entrain d'étudier un peu les architectures pour la sécurité des réseaux et je souhaiterai connaître les bonnes pratiques / comment mettre en place un bon réseau avec SIEM et IDS.
L'idée que j'ai est d'utiliser syslog-ng sur les postes clients pour les envoyer à un serveur pour centraliser les logs.
J'ai aussi l'IDS suricata, je pense aussi à récupérer ses logs pour les envoyer au serveur qui les centralise.
Et par rapport à ce que j'ai lu il faudrait que je filtre les logs que j'ai centralisé pour les envoyer à mon SIEM.
- Est-ce que cette façon de faire semble bonne (le fait de centraliser tous les logs en un point, filtrer le tout pour l'envoyer à mon SIEM) ?
- Comment réussir à filtrer les logs de façon efficace? Parce que je vois une difficulté avec le fait de filtrer au maximum de logs pour ne pas surcharger le SIEM, mais aussi envoyer assez de logs pour avoir assez d'informations pour alerter les administrateurs ?
Enfin j'ai aussi du mal à choisir un SIEM.
Après mes recherches je suis tombé sur GrayLog qui est vendu comme un SIEM mais il est aussi définit (principelement) comme une sorte de filtre avant le SIEM (https://global-uploads.webflow.com/5...ylog-p-800.png)
J'ai vu Alienvault aussi mais lui embarque un IDS, est-ce utile ? Y a t il un interet si j'ai déjà suricata sur mon réseau ?
Je suis un peu perdu là, si vous avez des informations à me donner je suis preneur
En vous remerciant par avance
Cordialement,
Partager