Séminaire du 9 mai 2006 Comment aborder un projet de corrélation? Quelles sont les sources à collecter? Faut il donner des priorités aux informations? Que faire des informations du périmètre de sécurité?

1. Réflexion sur la mise en oeuvre d’un projet de corrélation Séminaire du 9 mai 2006 Sylvain Maret

4. L’approche d’un projet SIM là ou elles sont alertes fiabilisées réagir aux alertes solution de corrélation (A) (B) (C)

6. Exemple avec la société « Acme.com » Etc. Connectra (Système pour la vente) Messagerie (App. Lotus Notes) Prod4 (App. de production robotisé) E-Connect (Extranet Web) COCKPIT (ERP) GESTIA (Application GED) D I C

8. L’approche d’un projet SIM la ou elles sont (A)

9. Décomposition d’un bien informatique End Point Network System Application Internal Security External Security Evénements avoisinants Evénements éloignés Evénements directs ERP « COCKPIT »

10. Collecte d’événements pour « Cockpit » Collecte Poids 10 8 8 5 2 Description Zone Tomcat, Apache 2.x, Oracle APP Firewall, IDS External Security Nagios, Sonde IDS, firewall, Ace Server Internal Security Solaris 2.8, SSH, PAM, Tripwire (FIA) System Linux Red Hat, SSH, PAM System

11. L’approche d’un projet SIM alertes fiabilisées solution de corrélation (B)

13. L’approche d’un projet SIM réagir aux alertes (C)

14. Des informations par rôle Opérationnel Management Securité Responsable sécurité Gestion global de la sécurité (gestion des risques) Intégration et exploitation Gestion des systèmes et infrastructure Responsable de l’entreprise Gestion des risques