Search

Solutions Open-Source pour un SOC



Introduction

De nombreuses organisations souhaitent disposer d'outils technologiques qui soutiendront la stratégie de visibilité et la réaction aux événements survenant dans leurs réseaux, tout en étant adaptés à leur budget. Pour assurer une couverture maximale de la sécurité de vos systèmes d'information, une combinaison complète d'outils est nécessaire. Tout SOC efficace comprend les principaux composants suivants : un système SIEM (Security information and event management), un système de suivi et de gestion des incidents, des systèmes de détection et de prévention des intrusions (IDS/IPS/IDPS), une plate-forme de renseignement sur les menaces (CTI), des outils de capture et d'analyse des paquets et des outils d'automatisation. C´est dans ce contexte que s´inscrit ce deuxième article portant sur les solutions Open-Source d´un SOC.

I) Liste de solutions Open-Source pour SOC

1) Open Source SIEM Tools

Le SOC, pour Security Operation Center, est comme son nom l’indique, le centre des opérations de sécurité. Plus précisément, un SOC se concentre sur la surveillance des menaces et la qualification des incidents. Pour y parvenir, les analystes utilisent un outil, le SIEM (Security Information Management System). Le SIEM intègre des logiciels utilisés pour surveiller les infrastructures des entreprises. Les analystes y configurent un ensemble de règles de corrélation selon la politique de sécurité préconisée afin de détecter d’éventuelles menaces. Comme exemples de SIEM Open-Source, nous avons : • OSSIM • Prelude OSS • ELK Stack • Security Onion • Apache Metron • Splunk Trial • Sagan • Mozdef

2) IDS/IPS

La détection d'intrusion est le processus qui consiste à surveiller les événements qui se produisent sur votre réseau et à les analyser pour détecter les signes d'éventuels incidents, violations ou menaces imminentes à vos stratégies de sécurité. La prévention d'intrusion consiste à détecter les intrusions puis à résoudre les incidents détectés. Ces mesures de sécurité sont disponibles sous la forme de systèmes de détection d'intrusion (IDS) et de systèmes de prévention d'intrusion (IPS). Ces systèmes sont intégrés à votre réseau afin de détecter les incidents potentiels et d'y mettre fin. Comme exemples de logciels Open-Source, nous avons : • SNORT • FireEye • Zscaler • Suricata • ZEEK • OpenWIPS-ng • Sguil • OSSEC

3) EDR

Un EDR est une solution de sécurité pour les endpoints (points terminaux) qui, dans un premier temps, est venue combler le fossé des technologies antivirus de nouvelle génération. Un tel agent doit être capable de détecter des attaques inconnues et de lancer des correctifs automatiques contre ces menaces, avec des fonctionnalités avancées pour effectuer des investigations à distance. Nous avons : • Velociraptor • Week • Squerry • OpenEDR • Comodo

4) Vulnerability Scanner

En sécurité informatique, un scanner de vulnérabilités est un programme conçu pour identifier des vulnérabilités dans une application, un système d'exploitation ou un réseau. Nous avons comme exemples d'outils:

  • OpenVas

  • Vega

  • OWASP-ZAP

  • Nikto

  • Tenable Community

5) Network Monitor

Le monitoring de réseau est un terme très utilisé dans le domaine de l'informatique pour designer la surveillance active d'un réseau d'ordinateurs et systèmes. Cet outil sert a détecter des failles ou des ralentissements des composantes qui font parti de ce réseau. Nous avons comme exemples d'outils: • Nagios • Cacti • Icinga2 • Zabbix • Prometheus

6) Log Management

La gestion de logs (LM pour Log Management) comprend une approche de la gestion de grands volumes des messages de log générés par l'ordinateur (aussi connu comme journaux d'évènements, journalisation, etc.). Nous avons comme exemples d'outils: • NXLog • Graylog • Elasticsearch and Logstash • Fluentd • Flume • Octopussy • Logalyze • Logstalgia

7) Threat Detection and File Monitor

La surveillance de l'intégrité des fichiers ou File Integrity Monitoring (FIM) est le processus d'examen des systèmes pour identifier les modifications de fichiers non autorisées qui pourraient indiquer une compromission malveillante. Les technologies FIM surveillent les modifications de fichiers sur les serveurs, les bases de données, les périphériques réseau, les serveurs d'annuaire, les applications et les environnements en nuage pour déterminer comment, pourquoi et par qui les fichiers ont été modifiés et, si nécessaire, aider à les restaurer à une version antérieure. Nous avons comme exemples d'outils: • Security Onion • Samhain • Wazuh

8) Firewall

Un firewall est un appareil de sécurité réseau qui surveille le trafic réseau entrant et sortant et autorise ou bloque les paquets de donnés en se basant sur un ensemble de règles de sécurité. Nous avons comme exemples d'outils: • Pfsense • Iptables • Ipfire • OPNSense • Smoothwall • NG Firewall

9) Threat Intelligence

La Threat Intelligence, ou Cyber Threat Intelligence est une discipline basée sur des techniques du renseignement, qui a pour but la collecte et l'organisation de toutes les informations liées aux menaces du cyber-espace, afin de dresser un portrait des attaquants ou de mettre en exergue des tendances. Nous avons comme exemples d'outils: • Maltego • MISSP • Virus Total • X-Force • Talos • VirusShare • Anyrun • Automated Indicator Sharing • Infragard • Mitre Att&ck

10) HoneyPOT

Un honeypot (pot de miel) est essentiellement un appât (mots de passe, vulnérabilités, fausses données sensibles) que l’on s’efforce de rendre très tentant et accessible. L’objectif est de tromper et d’attirer un hacker essayant d’accéder de manière non autorisée à votre réseau. Le honeypot est surveillé par l’équipe de sécurité informatique. Toute personne surprise la main dans le pot de miel est souvent supposée être un intrus. Nous avons : • Honeynet Project • T-POT

11) Ticket Services

Le mot «ticket» fait généralement référence à une requête adressée à une équipe de support informatique – résolution d’un bug ou tout autres tâches liées au monde informatique. Appliqué à la gestion de la relation client, chaque plainte, demande client génère la création d’un “ticket” qui sera géré par l’équipe support tout au long de sa résolution grâce à une solution de ticketing. Nous avons: • SpiceWorks • osTicket • SuiteCRM • Liberum • Jira

12) Incident Response

Un incident est un événement qui pourrait entraîner la perte ou la perturbation des opérations, des services ou des fonctions d'une organisation. La gestion des incidents est un terme décrivant les activités d'une organisation pour identifier, analyser et corriger les dangers afin de prévenir une réapparition future. Nous avons:

  • Cynet 360

  • GRR Rapid Response

  • AlienVault

  • Cyphon

  • Volatility

  • Autopsy

  • XSOAR

  • CyberCPRFTK Imager

  • Doorman

  • Mozdef

  • CimSweep

  • TheHive

  • SIFT

13) Malware Analysis

L'analyse des logiciels malveillants (« malware » en anglais) permet de déterminer leurs fonctionnements et leurs impacts potentiels. C'est une tâche essentielle dans la sécurité informatique, elle fournit la compréhension nécessaire pour concevoir des contre-mesures efficaces et des stratégies d'atténuation contre les différents logiciels malveillants. Nous avons :

  • Yara

  • GRR

  • Bro

  • Cuckoo Sandbox

  • Anyrun


14) WAF

Un Web Application Firewall est un type de pare-feu qui protège le serveur d'applications Web dans le backend contre diverses attaques. Le WAF garantit que la sécurité du serveur Web n'est pas compromise en examinant les paquets de requête HTTP / HTTPS et les modèles de trafic Web. Nous avons:

  • ModSecurity

  • Cloudflare

  • WebKnight


Conclusion

Un SOC Open-Source est réalisable avec les outils actuels disponibles par le biais de projets open-source et gérés par des entreprises de cybersécurité. L'utilisation de logiciels libres permet de réduire les coûts d'investissement et de former les employés à la sécurité, mais cette approche augmente également le coût du personnel du SOC et nécessite généralement un long délai pour le développement initial et l'intégration.

About us

Headquarter: 9 rue des colonnes 75002 Paris Phone: +33134908672 Email: contact@bluepinksecurity.com