Rapport GS16 Groupe 1 SIEM-1_2

download Rapport GS16 Groupe 1 SIEM-1_2

of 8

description

siem

Transcript of Rapport GS16 Groupe 1 SIEM-1_2

  • 1

    EtudeCe document de recherche se concentre sur la

    gestion centralise de la Scurit des Systmes d'Information, et plus particulirement sur les SIEM (Security Information and Event Management). Nous allons nous intresser l'utilit d'une telle gestion en comprenant pourquoi les entreprises en ont besoin de nos jours, puis tudier le fonctionnement thorique d'un tel systme, et enfin nous plonger dans quelques mises en pratique. Enfin, nous comparerons nos rsultats pour dterminer le meilleur moyen de protger le systme de scurit d'une entreprise.

    Mots Cls Gestion centralise de la scurit, LogLogic, Prelude, Security Information and Event Management, SIEM

    I. INTRODUCTION epuis plusieurs dcennies, l'information est devenue, pour lentreprise, une ressource essentielle quelle soit prive ou publique. Une

    guerre de linformation est donc apparue et est devenue presque plus intraitable que les guerres meurtrires. Beaucoup d'activits de l'entreprise se sont informatises. On peut citer un certain nombre de dclarations de taxes et impts et enfin les systmes industriels informatiss et/ou relis au systme d'information avec une gestion de la qualit des produits. Avec laugmentation du nombre de processus mtier transitant par voies informatiques, tout un panel de matriels, logiciels et personnes travaillent pour assurer les scurits des actifs de lentreprise. Mme les lments qui ne sont pas, a priori, des lments apportant des fonctions de scurit sont utiliss des fins dtournes pour apporter une scurit supplmentaire : les VLAN sur un switch.

    Le systme dinformation et la loi Quelles informations sont autorises tre collecter et

    traiter? Combien de temps l'entreprise peut-elle les garder ? Par quels moyens, sur quels supports ?

    C'est tout autant de rponses apportes par les textes lgislateurs franais et europens et auxquels les entreprises doivent se conformer sous peine de sanction.

    Depuis peu de temps, des donnes informatiques peuvent constituer des preuves recevables par un juge (en France) sous certaines conditions. Ainsi, pour pouvoir, aprs un prjudice, retrouver le malfaiteur (quil soit en interne mais aussi en externe) et que les informations recueillies puisse appuyer les accusations de lentreprise vis--vis du fautif ayant agi volontairement ou non.

    Changements et mergence dun nouveau besoin : la vue globale de la SSI.

    Une attaque ne se prpare pas du jour pour le lendemain, il y a quantit d'tapes pralables pour la mettre en place. Ces tapes peuvent reprsenter des mois, voire plusieurs annes de travail de la part des pirates. Le pirate a besoin d'avoir une vision trs prcise du rseau qu'il convoite. Certaines de ces tapes sont directement de la recherche d'information sur les SI, donc il est possible de les reprer. En soi, si une seule tape est effectue, elle n'est pas spcialement dangereuse (des scans de ports ont lieu tous les jours) mais associe une tentative d'intrusion ou l'installation d'un morceau de code (par exemple, une backdoor) sur un PC qui n'a pas t demand ou effectu par le personnel de la direction des systmes d'information alors on peut avoir de forte prsomption qu'une attaque est en train de se prparer. Ce scnario simple met en vidence le besoin d'avoir une vue globale de tout ce qui se passe sur le rseau pour non seulement identifier les incidents mais aussi les associer entre eux pour dceler des attaques bien plus complexes.

    Les SIEM (Security Information and Event Management) : Gestion de la scurit

    centralise N. Cherriere, G. Montassier, R. Picard et E. Thuiller, Sujet R1

    D

  • 2

    Complexification des Systmes dInformation

    Les systmes d'information se sont complexifis car en plus des lments permettant de faire fonctionner le rseau, des lments utiles pour permettre les processus mtier sont venus se greffer par-dessus. De plus en plus de technologies sont implantes dans le rseau, de nouveaux services, l'mergence des rseaux sociaux (pouvant amener des fuites d'information) prcde par l'avnement de la tlphonie mobile et des smartphones. Globalement, la mobilit des collaborateurs est problmatique (avec les tlphones, PDA, PC portables, netbook, Tablet PC dans des environnements non srs tels que les cybercafs et rseaux publiques, les rseaux d'entreprises clientes, les transports...).

    Complexification des attaques

    Les attaques informatiques se sont multiplies depuis plusieurs dizaines d'annes et sont devenues de plus en plus complexes. Le mythe du hacker agissant seul, simplement motiv par le fait d'tre le premier trouver une faille dans un systme a petit petit laiss place un cyber crime organis. Les commanditaires (les clans mafieux, des tats, des clans terroristes, des organisations professionnelles) disposent de moyens financiers pour acheter une attaque contre une cible. Plus les sommes d'argent en jeu sont leves (bnfice pour le commanditaire si l'attaque est russie ; paie des techniciens laborant l'attaque), plus les attaques peuvent tre sophistiques.

    La constante augmentation de la complexit des

    systmes d'information, base de l'entreprise, pose la scurit des SI au cur des problmatiques de l'entreprise. Les enjeux de scurit, de sret de fonctionnement et la gestion des incidents sur les SI sont normes et font l'objet d'attaques la hauteur de ces enjeux. Ainsi, les Security Information and Event Management (SIEM) sont la rponse ce besoin de vision globale de la scurit des SI.

    Les SIEM proposent de centraliser la gestion des

    alertes de scurit alors quon attend des systmes actuels quils ne sarrtent jamais, ainsi nallouer quune machine pour superviser la scurit du SI parait risqu. Pour pallier une interruption de service, il est par contre possible de crer une machine maitresse (master) et une machine secondaire (slave), comme il est possible de faire avec les serveurs DNS, DHCP, afin de garantir une continuit de fonctionnement par redondance.

    Dans un premier temps, nous tudierons les normes

    quutilisent les SIEM et les tapes cls de leurs fonctionnements. Fort de cette approche gnrale, nous

    nous attarderons sur deux propositions logicielles : Loglogic et Prelude. Enfin, nous montrerons les atouts que comportent les deux solutions, lune par rapport lautre pour ensuite les confronter la thorie des SIEM.

    II. THEORIE

    A. Prsentation Les SIEM sont des outils de supervision de la scurit,

    ils utilisent les informations en provenance de divers quipements et logiciels de scurit. Les SIEM combinent deux lments [1] :

    --Les SIM (Security Information Management) : Outils de supervision de la scurit qui se concentrent principalement sur lanalyse dinformations de scurit passes, en vue damliorer lefficacit pour la gestion long terme du systme dinformation [1].

    --Les SEM (Security Event Management) : Outils de supervision de la scurit sorientant sur la collecte de donnes dans le but de fournir une grande quantit dinformations pouvant tre traites immdiatement [1]. La fusion des SIM et des SEM dans un processus

    intgr de contrle de la scurit avec des informations pertinentes recueillies dans linfrastructure du systme dinformation est rsume sous le terme de SIEM [1].

    Les SIEM utilisent des tapes de rcupration, analyse

    et gestion de linformation, ce sont la collecte, la normalisation, lagrgation, la corrlation, le reporting et la rponse [2]. (figure 2)

    B. Collecte Les quipements et logiciels de scurit sont

    nombreux dans un systme dinformation, ils grent gnralement de faon indpendante des informations de scurit dites locales . Le principe de ltape de collecte est de fournir au SIEM des donnes traiter. Ces donnes peuvent tre de nature diverse en fonction de lquipement ou du logiciel, mais aussi tre envoyes de manires tout fait diffrentes. On distingue deux modes de fonctionnement [3]:

    --Mode actif : Le SIEM possde un ou plusieurs agents dploys sur les quipements superviser. Ces agents ont pour fonction de rcuprer les informations des quipements et logiciels de scurit et de les envoyer au SIEM. Un lment de scurit qui a t conu nativement pour tre un agent du SIEM est appel une sonde.

    --Mode passif : Le SIEM est en coute directe sur les quipements superviser. Pour cette mthode, cest lquipement ou le logiciel qui envoie des informations sans intermdiaire au SIEM.

  • 3

    C. Normalisation Les informations collectes viennent dquipements et

    logiciels htrognes ayant pour la plupart leurs propres moyens de formater les donnes. Cette tape permet duniformiser les informations selon un format unique pour faciliter le traitement par le SIEM. Des formats ont t mis au point par IETF pour structurer les informations de scurit et pouvoir les changer et les traiter plus facilement, ce sont :

    --IDMEF (Intrusion Detection Message Exchange

    Format) : Cest un standard, dfini dans la RFC 4765, permettant linteroprabilit entre les systmes commerciaux, open-source et de recherche. Il est bas sur le format XML et est un format conu pour dfinir les vnements et des alertes de scurit. Il est galement adapt pour le stockage en base de donnes, laffichage et la gestion des informations [4].

    Le format IDMEF permet de dcrire les vnements de scurit et Heartbeat. Selon un modle hirarchique, les vnements de scurit sont dcrits avec les sources et cibles des attaques mais aussi la sonde correspondante ainsi que les diffrents temps de cration et de dtection. (figure 1)

    fig 1 : Format du message IDMEF

    --IODEF (Incident Object Description and

    Exchange Format) : Cest un standard, dfini dans la RFC 5070, reprsentant les informations de scurit

    changes entre les quipes CSIRTs (Computer Security Incident Response Teams). Il est bas sur le format XML et est un format conu pour transmettre des incidents de scurit entre les domaines administratifs et les parties qui ont une responsabilit oprationnelle. Ce modle de donnes encode linformation des htes, des rseaux, des services [5]

    Le format IDMEF est utilis juste aprs la collecte, il

    permet ainsi aux informations normalises en vnements de scurit dtre agrges, corrles, stockes en base de donnes et affiches [4].

    Le format IODEF est plus complet que le format IDMEF, il est utilis aprs ltape de corrlation pour structurer les donnes en vue dun reporting et du traitement par un systme de rponse [5].

    D. Agrgation Lagrgation est le premier traitement des vnements

    de scurit. Il consiste en un regroupement dvnements de scurit selon certains critres. Ces critres sont gnralement dfinis via des rgles appeles rgles dagrgation et sappliquent des vnements ayant des similarits [6]. Le rle principal de lagrgation est de rduire le nombre dvnements en associant un poids ceux-ci. Ainsi un regroupement de trois vnements de scurit selon un critre dfini sera un seul vnement avec un poids de trois. Cela facilite notamment le traitement de ltape de corrlation, qui gre alors non plus des vnements individuels, mais des groupes dvnements [7].

    E. Corrlation La corrlation correspond lanalyse dvnements

    selon certains critres. Ces critres sont gnralement dfinis via des rgles appeles rgles de corrlation. Le but de cette tape est dtablir des relations entre vnements, pour ensuite pouvoir crer des alertes de corrlations, des incidents de scurits, des rapports dactivit La corrlation se diffrencie sur plusieurs points [8] :

    --Auto-apprentissage et connaissances rapportes: Pour pouvoir fonctionner, les moteurs de corrlation ont besoin dinformations sur les systmes et rseaux de linfrastructure. Ces informations peuvent tre collectes automatiquement et/ou saisies manuellement par un oprateur [8].

    --Temps rel et donnes retardes : Dans certains cas, les vnements bruts sont forgs et envoys directement pour tre corrls en temps rel. Dans dautres cas, les vnements sont dabord stocks, et envoys aprs un premier traitement (ex : agrgation), leur envoi peut tre alors conditionn [8].

  • 4

    --Corrlation active et passive : La corrlation active a la possibilit de complter les vnements reus en recueillant des informations supplmentaires pour prendre des dcisions. La corrlation passive est une corrlation qui ne peut pas interagir avec son environnement, elle reoit des vnements et prend des dcisions [8].

    La cross-correlation est une corrlation capable

    dassocier et de prioriser les vnements de scurit reus, mais aussi dautres informations (scanners de vulnrabilit, NMS). Cest une corrlation active largie de nombreux outils [9].

    fig 2 : schma du fonctionnement thorique d'un SIEM

    F. Gestion des alertes Il y a plusieurs faons pour un SIEM de grer des

    alertes, plusieurs dentre elles peuvent tre utiliss simultanment :

    --Le reporting : les rapports gnrs contiennent la fois une synthse des alertes et une vue densemble de la scurit du systme un instant T (statistiques, intrusions, vulnrabilits exploites, classification des attaques) [7].

    --Le stockage : les alertes, incidents et rapports peuvent tre stocks dans des bases de donnes pour pouvoir tre analyss ultrieurement par des moteurs de corrlation [8].

    --La rponse : les mcanismes de rponse aux alertes doivent permettre de stopper une attaque ou de limiter ses effets de faon automatique. La rponse une intrusion dpend de la politique de scurit [10].

    III. PRATIQUE 1 : PRELUDE

    A. Prsentation Prelude est un SIEM issu dun projet open source qui

    fut cr en 1998 par Yoann Vandoorselaere [11]. Ce projet est n de lide que le nombre de systmes de dtection dintrusion augmentait mais quil nexistait pas de systme pour les faire communiquer entre eux, ce qui diminuait leur efficacit [12]. (figure 3)

    B. Collecte Prelude fonctionne en mode actif, cest dire quil

    utilise des agents qui sont installs sur les systmes surveiller et qui vont soccuper de la phase de collecte.

    Dans un premier temps, lagent (appel Prelude-LML) doit tre configur, Il faut indiquer celui-ci les formats de logs des logiciels surveiller pour que celui-ci puisse les prendre en compte.

    Ensuite, lagent dmarr peut collecter les logs de deux faons diffrentes : soit il surveille les journaux systmes de lhte sur lequel il est install, soit il reoit les journaux venant de diffrentes machines places sur le rseau. Ces messages sont scuriss (en TLS) et possdent un mcanisme d'autorgulation pour ne pas surcharger le rseau. Lintrt de cette deuxime mthode est de permettre aux systmes ne supportant pas lagent Prelude de pouvoir tre surveills en envoyant leurs logs un agent distant.

    Une fois les informations rcupres, lagent les compare avec ses jeux de rgles (bass sur des expressions rgulires) et si une condition prcise est reconnue, un vnement de scurit est cr. [14].

    Lavantage de cette mthode de collecte est la

    flexibilit par rapport au rseau. Les mcanismes mis en place empchent la perte de paquet (autorgulation, rmission) et assurent leurs intgrits. Par contre, la confidentialit (chiffrement TLS) nest pas assure totalement car seuls les changes entre lagent et le manager sont scuriss, contrairement aux changes entre lagent et les systmes distants, qui lui envoient leurs logs.

  • 5

    Un autre avantage est le mode sonde : ce mode permet quun agent soit directement patch au code source dun logiciel de scurit (ils sont alors indissociables). [13], [14]

    C. Normalisation Prelude a particip au projet Intrusion Detection

    Message Exchange Format (IDMEF). Cest donc videment ce format qui fut choisit pour le SIEM. [12], [16]

    La normalisation est ralise par lagent Prelude-LML qui formate les vnements avant de les envoyer au manager.

    LIDMEF est un format de message pour les vnements de scurit et les alertes de corrlation. Il sert donc uniquement mettre en forme ceux-ci.

    Les vnements et alertes sont donc dcrits par ce format de manire tre trait plus facilement par le SIEM.

    Latout principal de faire normaliser les logs par lagent est dallger le traitement ralis par le manager. De plus, le choix dun format normalis permet une comprhension simplifie et une plus grande adaptabilit.

    D. Agrgation Prelude ne fait pas dagrgation car il ny a aucun

    traitement sur les vnements, cependant il possde un systme pour amliorer le traitement des informations par les utilisateurs.. [15]

    E. Corrlation Tous les vnements envoys au manager sont stocks

    puis transmis au moteur de corrlation appel Prelude-Correlator. Ce moteur se base sur des rgles (crites en langage python) pour analyser les vnements de scurit et ainsi crer des alertes de corrlation . Ces alertes sont alors renvoyes au manager qui les stocke.[17], [18]

    Le systme de corrlation est encore instable, on pourra mettre en avant que lcriture des rgles est complexe, car elle demande une bonne comprhension du langage python, de la norme IDMEF, du rseau surveill et des attaques surveilles.

    F. Gestion des alertes Prelude peut raliser le reporting de trois faons :

    --Lorsque que des vnements sont dtects, il affiche les alarmes via sa console graphique Prewikka.

    --Il peut aussi prendre la dcision de transmettre lalerte un autre manager Prelude (dans le cas dun fonctionnement hirarchique).

    --Il peut galement, grce un plugin , envoyer des mails dalerte contenant lalerte dtecte.

    Prelude possde des ajouts transmettant les alertes

    des moteurs de raction.

    Fig 3 : schma du fonctionnement du SIEM Prelude

    IV. PRATIQUE 2 : LOGLOGIC

    A. Prsentation Loglogic, anciennement Exaprotect a t cr en 2004 par la socit franaise Exaprotect. Celle-ci a t rachete en 2009 par lentreprise amricaine LogLogic et est donc devenu LogLogic par la mme occasion. De plus, LogLogic est une appliance , c'est--dire que le logiciel est indissociable du matriel. [19] (figure 4)

    B. Collecte Loglogic fonctionne en mode actif, il faut donc

    dployer des agents sur les quipements surveiller pour quils ralisent la collecte.

    Les agents nont presque pas de configuration, ils dterminent lors de linstallation le format des logs collecter et agissent ensuite en autonomie. Cest dire

  • 6

    quils collectent les logs, les normalisent, puis les envoient de faon scurise au SIEM.

    Si un agent nest pas nativement compatible avec un quipement, il faut alors configurer lagent pour quil puisse comprendre ceux-ci laide de rgles pour parser ceux-ci.

    Lavantage de Loglogic est sa simplicit de mise en

    uvre. Les agents sinstallent facilement et la configuration est simplifie. La configuration peut de surcroit tre ralise distance depuis le manager de Loglogic.

    Les changes entre les agents et le SIEM sont scuriss par TLS. [20]

    C. Normalisation Loglogic utilise le format normalis IDMEF. Les Logs sont normaliss par les agents avant quils

    envoient les alertes au manager. Le choix dun format normalis (IDMEF) permet que

    les logs soient comprhensibles par le SIEM et facilement trait par celui-ci. [21]

    D. Agrgation LogLogic possde un moteur dagrgation

    paramtrable laide de rgles. Cest une tape importante qui dtermine comment les vnements seront regroups avant dtre envoys au corrlateur. En plus dtre affichs dans la console graphique de LogLogic, les vnements agrgs sont regroups par critres dfinis au pralable, ce qui permet une meilleure corrlation car les vnements sont dj rassembls pour tre corrls, et peuvent mme tre fusionns ou redfinis. [21] [22] [23]

    E. Corrlation

    Toutes les alertes reues par LogLogic sont transmises au moteur dagrgation, puis au corrlateur et celui-ci les traite en fonction de ses rgles de corrlation. Quand une alerte de corrlation est cre, elle est stocke dans la base de donnes et est affiche dans la console graphique. LogLogic permet de dfinir des scnarios qui sont des regroupements dalertes de corrlation. Cela ajoute un traitement supplmentaire par le SIEM. [23]

    F. Gestion des alertes Loglogic peut raliser un reporting en fonction du

    type dalerte dtecte. On peut donc dcider que pour un type dattaque dtect on ralise une action particulire.

    Les actions ralisables par Loglogic sont nombreuses : on peut envoyer un mail, un SMS, envoyer lincident un autre serveur, ou mme crer un trap SNMP

    De plus Loglogic ralise automatiquement des rapports dynamiques, qui sont composs de graphiques et de rsumes des attaques rpertories. [21] [23]

    La rponse se fait par lenvoi dincidents IODEF ou Alertes de corrlation IDMEF un moteur de raction quelconque. Celui-ci agira en fonction des vnements reus.

    Fig 4 : schma de fonctionnement d'un SIEM dans LogLogic

    V. COMPARAISONS

    A. Prelude / LogLogic Collecte Les deux logiciels fonctionnent en mode actif : le

    manager reoit donc les informations de la part des agents. Les deux propositions logicielles permettent de superviser des machines o des agents ne peuvent pas tre installs. Donc, le dploiement peut se faire dans un rseau htrogne. Cependant, lagent Prelude a un net avantage sur son concurrent, car il est compatible avec beaucoup plus de logiciels et quipements de scurit grce la communaut open-source. Normalisation

    Dans les deux cas, les logs sont formats en IDMEF par lagent qui les reoit et celui-ci les envoie au manager. Les deux logiciels fonctionnent donc de la mme faon pour la normalisation

  • 7

    Agrgation Loglogic est le seul logiciel parmi les deux proposer

    un rel systme dagrgation. Cela vite une surcharge dvnements en utilisant un systme de regroupement, ce qui facilite le travail de corrlation. On conomise donc les ressources rseau et de calcul.

    Corrlation Les deux SIEM proposent une corrlation entre

    vnements et un stockage en base de donnes pour tre ensuite affich laide dune interface. Cependant, Loglogic ajoute la possibilit de crer des scenarios, ce qui augmente un niveau de traitement pour les alertes de corrlation.

    Reporting Le systme de reporting de Loglogic est plus

    complet que celui de Prelude. Les deux logiciels proposent laffichage dans une interface, ce qui parait tre le minimum mais le premier est capable denvoyer des mails ou de gnrer des trap SNMP et permet de crer des rapports plus complets (avec graphes), ce qui peut tre utile dans une dmarche continue danalyse de risques. Le second nest capable de faire que du reporting simpliste, moins que lon utilise la version payante, qui possde galement des graphes statistiques, et de la gnration de rapports en PDF.

    Pour aller plus loin LogLogic peut envoyer des messages au format

    IDMEF et IODEF un moteur de raction pour rpondre une attaque. Ce moteur nest pas inclus dans Loglogic mais lutilisation de messages dans un format normalis permet de sinterfacer avec un module charg des contre-mesures. Prelude est lui aussi capable denvoyer des informations un moteur de raction, mais seulement au format IDMEF.

    Puisque lide sous-jacente des SIEM est de centraliser les alertes de scurit, Loglogic et Prelude (en version professionnelle) donnent les moyens de configurer les agents directement partir du manager. Les deux SIEM permettent aussi la gestion de tickets dincidents.

    B. Thorie / Logiciels Les logiciels tudis sont une interprtation gnrale de

    la thorie, et des implmentations particulires qui leurs sont propres. Labsence dagrgation pour Prelude et la gestion de lIODEF par LogLogic en tmoignent. Le fonctionnement des deux produits repose tout de mme sur des formats de messages standardiss (IDMEF et IODEF) ce qui les rend facile traiter.

    Les logiciels respectent donc les standards, mais les constructeurs ont orient leurs produits vers des chemins divers

    VI. CONCLUSION Lobjectif de ce rapport tait dapporter des rponses

    quant au fonctionnement des SIEM dans le cadre dune gestion centralise. Pour cela, nous avons commenc par expliquer le contexte : lintrt de lutilisation de cette mthode centralis. Nous avons ensuite tudi le fonctionnement thorique de cette mthode, ainsi que deux implmentations concrtes.

    Notre tude nous a aussi permis dtudier les

    principaux avantages de la gestion centralise : - la simplicit de configuration du manager - la visibilit globale du rseau par le manager - la cohrence des alertes et des dcisions menes Cependant cette technique possde aussi des

    faiblesses. Par exemple la centralisation peut amener rapidement un problme de disponibilit du service si le manager est dfaillant.

    Nous pouvons conclure que les SIEM en gestion centralise permettent une relle scurisation du systme, mais que lon doit sassurer de leur disponibilit, et quil semble malvenu dutiliser les envois non scuriss de logs.

    Les deux SIEM tudis ont chacun leurs particularits. Prelude vient du monde open-source, ce qui lui permet une trs large compatibilit avec dautres logiciels et quipements. LogLogic est, quant lui, un produit issu de lindustrie et possde un systme de traitement des alertes trs performant. Le reporting est presque identique, puisque Prelude en version professionnelle a de nombreux ajouts. Les deux SIEM sont de plus trs volutifs car leurs auteurs permettent aux diverses entreprises de demander des amliorations et modifications sur-mesure, moyennant finance videmment.

    Une thorie des SIEM existe donc, ainsi que des

    standards. Les dveloppeurs de logiciels de SIEM ont un panel de caractristiques possibles exploiter et ceux-ci choisissent ce qui les intresse en fonction de leur politique technique, organisationnelle et commerciale. Nous pouvons donc trouver une multitude de SIEM sur le march avec aussi bien des ressemblances que des divergences qui font les faiblesses et forces de chacun.

  • 8

    Nous conclurons sur lintrt de lutilisation dun systme tel que le SIEM pour une entreprise. En effet, la possibilit de pouvoir rcuprer et agrger la totalit des logs du rseau permet davoir la fois une vision complte, mais aussi une comprhension affine des vnements qui se passent sur celui-ci. La combinaison de ces deux lments (vison + comprhension) fait des SIEM un lment ncessaire en terme de scurit informatique et est donc indispensable pour les entreprises.

    REFERENCES

    [1] Gabriel, R. et al. Analyzing Malware Log Data to Support Security Information and Event Management: Some Research Results. First International Conference on Advances in Databases, 2009.

    [2] Zoho Corp. Analyzing Logs For Security Information Event Management, 2007. Whitepaper. http://www.manageengine.com/products/eventlog/Analyzing-Logs-for-SIEM-Whitepaper.pdf

    [3] Stevens, M ; CERT. Security Information and Event Management, 2005, Nebraska www.certconf.org/presentations/2005/files/WC4.pdf

    [4] The IETF TRUST. RFC 4765, 2007. http://www.ietf.org/rfc/rfc4765.txt

    [5] The IETF TRUST. RFC 5070, 2007. http://www.ietf.org/rfc/rfc5070.txt

    [6] Cuppens, F. Managing Alerts in a Multi-Intrusion Detection Environment. www.acsac.org/2001/papers/70.pdf

    [7] Reddy, R. ; Reddy, S. Facilitating Alerts Analysis and Response Decision Making. Conference paper of csreaSAM, Security and Management, p448-455. 2006

    [8] Mullet, A. Masters Thesis Event Correlation Engine Computer, Engineering and Networks Laboratory, 2009. 0x7.ch/text/event-correlation-engine-slides.pdf

    [9] AlienVault. SIEM System Description AlienVault LLC, 2010. www.alienvault.com/docs/AV%20SIEM%20System%20Description-v4.pdf

    [10] Debar, H. Analyse et dtection dintrusions. Scurit des systmes d'information, Techniques de l'ingnieur, 2004.

    [11] Site officiel de Prelude. http://www.prelude-technologies.com/fr/menu/a-propos-de-prelude/index.html

    [12] Vandoorselaere, Y. Foreword. https://dev.prelude-technologies.com/wiki/prelude/PreludeForeword

    [13] Site officiel de Prelude. http://www.prelude-technologies.com/fr/solutions/les-briques-prelude-pro/index.html

    [14] Site officiel de Prelude. http://www.prelude-technologies.com/fr/developpement/documentation/compatibilite/index.html

    [15] Vandoorselaere, Y. IDMEF Criteria, Wiki on Prelude Technologies, 2006.

    [16] RFC 4765. http://www.ietf.org/rfc/rfc4765.txt [17] Vandoorselaere, Y. Prelude Correlator., Wiki on Prelude

    Technologies, 2006. [18] Chifflier, P. ; Tricaud, S. Intrusion Detection Systems

    Correlation: a Weapon of Mass Investigation, CanSecWest Vancouver 2008.

    [19] Site officiel de LogLogic. http://www.loglogic.com/ [20] Papiers blancs de LogLogic.

    http://www.loglogic.com/resources/white-papers/

    [21] Donnes techniques de LogLogic. http://www.loglogic.com/resources/datasheets

    [22] Kelly, D. Information Security mag. SIMs : More than just a pile of logs. pp. 13-19. http://media.techtarget.com/searchSecurity/downloads/0609_ISM.pdf

    [23] McGuire, M. ; Briguet, C. Introduction to Secure Event Manager, Visibility & Controlon IT Security, LogLogic, 2008.


Découverte du Vietnam et Siem Reap › images › Asie › vietnam › DP... · 2019-12-13 · Ce voyage vous emmène tout d'abord à des plus beaux endroits du Vietnam de la capitale

Découverte du Vietnam et Siem Reap › images › Asie › vietnam › DP... · 2019-12-13 · Ce voyage vous emmène tout d'abord à des plus beaux endroits du Vietnam de la capitale

BRVM 10 126,03 BRVM Composite BULLETIN OFFICIEL DE · ntlc nestle ci 355 345 345 -2,82 % 400 138€000 345 -12,66 % 31,50 12-août-11 semc crown siem ci 120 125 125 4,17 % 90 11€250

BRVM 10 126,03 BRVM Composite BULLETIN OFFICIEL DE · ntlc nestle ci 355 345 345 -2,82 % 400 138€000 345 -12,66 % 31,50 12-août-11 semc crown siem ci 120 125 125 4,17 % 90 11€250

mots verbales Groupe nominal GInf Groupe infinitif Groupe ...francaissecondaire.mongroupe.ca/files/2015/05/Groupes-de-mots.pdf · GAdv Groupe adverbial GPrép Groupe prépositionnel

mots verbales Groupe nominal GInf Groupe infinitif Groupe ...francaissecondaire.mongroupe.ca/files/2015/05/Groupes-de-mots.pdf · GAdv Groupe adverbial GPrép Groupe prépositionnel

La méthode « S. İ.É.M.didacte.hamon.monsite-orange.fr/lhistoiredubaccalaureattechnique/CH... · Si la méthode SIEM est parfaitement adaptée à l’étude de constatation des

La méthode « S. İ.É.M.didacte.hamon.monsite-orange.fr/lhistoiredubaccalaureattechnique/CH... · Si la méthode SIEM est parfaitement adaptée à l’étude de constatation des

Collaborative Exploration of Plant Genetic Resources in Northern Cambodia… · 2020. 3. 19. · - 164 - Oddar Meanchey Preah Vihear Laos Vietnam Thailand Samrong Chong Kal Siem Reap

Collaborative Exploration of Plant Genetic Resources in Northern Cambodia… · 2020. 3. 19. · - 164 - Oddar Meanchey Preah Vihear Laos Vietnam Thailand Samrong Chong Kal Siem Reap

€¦ · au tour de France ! À Siem Reap, l'accueil est plus mitigé, mais Manuela de I'ONG italienne CIAI (Centro Italiano Aiuti al'lnfanzia), nous présente des enfants nettement

€¦ · au tour de France ! À Siem Reap, l'accueil est plus mitigé, mais Manuela de I'ONG italienne CIAI (Centro Italiano Aiuti al'lnfanzia), nous présente des enfants nettement

Emotions du Cambodge au Sud du Vietnam · Jour 9 Mercredi 02 Dec 20 Siem Reap – Angkor Thom – Angkor Wat – Ta Promh Jour 10 Jeudi 03 Dec 20 Siem Reap – les temples cachés

Emotions du Cambodge au Sud du Vietnam · Jour 9 Mercredi 02 Dec 20 Siem Reap – Angkor Thom – Angkor Wat – Ta Promh Jour 10 Jeudi 03 Dec 20 Siem Reap – les temples cachés

En route vers l’économie circulairebase.socioeco.org/docs/enrouteversl_u2019... · 2017. 10. 2. · Siem Haffmans Les Startups qui font l’économie circulaire 80 Antoine Heideveld

En route vers l’économie circulairebase.socioeco.org/docs/enrouteversl_u2019... · 2017. 10. 2. · Siem Haffmans Les Startups qui font l’économie circulaire 80 Antoine Heideveld

iecm.cgem.ma › wp-content › uploads › 2018 › 02 › 1_2-Pr... · Initiative Entreprise Climat Maroc - CGEM2018-02-12 · Bref aperçu sur le projet Objectif stratégique •Contribuer

iecm.cgem.ma › wp-content › uploads › 2018 › 02 › 1_2-Pr... · Initiative Entreprise Climat Maroc - CGEM2018-02-12 · Bref aperçu sur le projet Objectif stratégique •Contribuer

Cambodia – Laos – Vietnam – Myanmarasiapacifictravel.fr/pdf/tours/cambodia-laos-vietnam...Cambodia – Laos – Vietnam – Myanmar Jour 2: Visite de Siem Reap (B, L) Petit déjeuner

Cambodia – Laos – Vietnam – Myanmarasiapacifictravel.fr/pdf/tours/cambodia-laos-vietnam...Cambodia – Laos – Vietnam – Myanmar Jour 2: Visite de Siem Reap (B, L) Petit déjeuner

KM C364e-20160902202014jesuisscout.ca/wp-content/uploads/2016/09/Veillee-darmes-1_2.pdf · combats futurs et de lui donner courage face à l'ennemi. ... Les hommes d'armes tout naturellement,

KM C364e-20160902202014jesuisscout.ca/wp-content/uploads/2016/09/Veillee-darmes-1_2.pdf · combats futurs et de lui donner courage face à l'ennemi. ... Les hommes d'armes tout naturellement,

Billets d’avion compris. à partir de 3999 p.p. en occ. double ......(PD/S) Déjeuner à l’hôtel, temps libre jusqu’au transfert à l’aéroport pour prendre le vol vers Siem

Billets d’avion compris. à partir de 3999 p.p. en occ. double ......(PD/S) Déjeuner à l’hôtel, temps libre jusqu’au transfert à l’aéroport pour prendre le vol vers Siem

D’Ho-Chi-Minh Ville à Siem Reap - ARAF · Visite du célèbre temple d'Angkor Wat, chef d'oeuvre de l'architecture khmère. C'est le plus célèbre et le plus imposant de tous

D’Ho-Chi-Minh Ville à Siem Reap - ARAF · Visite du célèbre temple d'Angkor Wat, chef d'oeuvre de l'architecture khmère. C'est le plus célèbre et le plus imposant de tous

NOTRE PROMOTION Basse Saison 2016: Valable du …...SOLEIL CAMBODGIEN – MIKE JULEN – SIEM REAP / PROMOTION BASSE SAISON 2016 PROMO 2016: Angkor, plages & îles-2015 – 15J-14N

NOTRE PROMOTION Basse Saison 2016: Valable du …...SOLEIL CAMBODGIEN – MIKE JULEN – SIEM REAP / PROMOTION BASSE SAISON 2016 PROMO 2016: Angkor, plages & îles-2015 – 15J-14N

Routes indochinoises - Club Med · Jour 10 : Hô Chi Minh-Ville Siem Reap Découverte de l'ancienne Saïgon : la cathédrale Notre-Dame, la poste centrale à la charpente métallique

Routes indochinoises - Club Med · Jour 10 : Hô Chi Minh-Ville Siem Reap Découverte de l'ancienne Saïgon : la cathédrale Notre-Dame, la poste centrale à la charpente métallique

ANGKOR ULTRA TRAIL JAN.2020 VIVEZ LA COURSE …€¦ · Siem Reap (3*) Standard Standard 588 euros 753 euros Siem Reap (4*) Supérieur De luxe 648 euros 879 euros Siem Reap (5*) De

ANGKOR ULTRA TRAIL JAN.2020 VIVEZ LA COURSE …€¦ · Siem Reap (3*) Standard Standard 588 euros 753 euros Siem Reap (4*) Supérieur De luxe 648 euros 879 euros Siem Reap (5*) De

THAÏLANDE & LAOS & CAMBODGE GRAND VOYAGE EN TERRE … · nuit au Sabaidee@Lao Hotel 3*sup. Jour 10 : Vientiane – Siem Reap Temps libre à Vientiane ou Siem Reap selon les horaires

THAÏLANDE & LAOS & CAMBODGE GRAND VOYAGE EN TERRE … · nuit au Sabaidee@Lao Hotel 3*sup. Jour 10 : Vientiane – Siem Reap Temps libre à Vientiane ou Siem Reap selon les horaires

LE MOT INTERDIT - Canoprof › eleve › Linum... · CHRONO MODALITÉS ÉCRAN ÉLÈVE ACTIVITÉS ET GUIDAGE OUTILS ET ONGLETS UTILISÉS ÉTAPE 1 1_1 ÉTAPE 2 1_2 Lecture autonome

LE MOT INTERDIT - Canoprof › eleve › Linum... · CHRONO MODALITÉS ÉCRAN ÉLÈVE ACTIVITÉS ET GUIDAGE OUTILS ET ONGLETS UTILISÉS ÉTAPE 1 1_1 ÉTAPE 2 1_2 Lecture autonome

Cheops Technology sécurise ses datacenters avec IBM QRadar SIEM

Cheops Technology sécurise ses datacenters avec IBM QRadar SIEM

Parfums d’Indochine - Club Med...Rencontre avec une famille dans une maison sur pilotis pour partager une tasse de thé. Retour à Siem Reap pour le déjeuner. Cérémonie de bénédiction

Parfums d’Indochine - Club Med...Rencontre avec une famille dans une maison sur pilotis pour partager une tasse de thé. Retour à Siem Reap pour le déjeuner. Cérémonie de bénédiction