D1 - 09/06/2014 Le présent document contient des informations qui sont la propriété de France Télécom. L'acceptation de ce document par son destinataire.

Présentation au sujet: "D1 - 09/06/2014 Le présent document contient des informations qui sont la propriété de France Télécom. L'acceptation de ce document par son destinataire."— Transcription de la présentation:

1 D1 - 09/06/2014 Le présent document contient des informations qui sont la propriété de France Télécom. L'acceptation de ce document par son destinataire implique, de la part de ce dernier, la reconnaissance du caractère confidentiel de son contenu et l'engagement de n'en faire aucune reproduction, aucune transmission à des tiers, aucune divulgation et aucune utilisation commerciale sans l'accord préalable écrit de France Télécom R&D Supervision de la sécurité Benjamin Morin benjamin.morin@francetelecom.com 3 mai 2004

2 France Télécom R&D La communication de ce document est soumise à autorisation de France Télécom R&D D2 - 09/06/2014 Objectif Equipements de sécurité produisent des événements/alertes Volume important Formats hétérogènes Nécessiter de développer une infrastructure permettant de Centraliser Federer Analyser les événements Infrastructure de supervision de la sécurité opérationnelle Déploiement dans les filiales de France Télécom

3 France Télécom R&D La communication de ce document est soumise à autorisation de France Télécom R&D D3 - 09/06/2014 Acquisition Corrélation Cartographie IDS Pare-feux VPN Présentation Schéma général Stockage

4 France Télécom R&D La communication de ce document est soumise à autorisation de France Télécom R&D D4 - 09/06/2014 Acquisition d'événements Modules d'acquisition Systèmes de détection d'intrusions réseau et applicatifs –Snort –Détection d'intrusion dans les réseaux haut-débit Acquisition de la cartographie de l'environnement surveillé –Approche passive Audits de vulnérabilité (Nessus) Logs systèmes, firewalls, concentrateurs VPN Manifestations virales Formatage des événements en IDMEF Implémentation Modules d'acquisitions écrits en Perl

5 France Télécom R&D La communication de ce document est soumise à autorisation de France Télécom R&D D5 - 09/06/2014 Stockage des événements Schéma relationnel permettant d'effectuer des requêtes de fédérer les informations produites par les sondes de structurer ces informations de manière cohérente de centraliser la configuration des sondes (ex. signatures IDS) Implémentations Postgresql (open-source) Oracle (performances) Versions futures de MySQL? Optimisations Requêtes Insertion de données ~ 4 M événements

6 France Télécom R&D La communication de ce document est soumise à autorisation de France Télécom R&D D6 - 09/06/2014 Corrélation d'alertes PEACE Peace is an Event and Alarm Correlation Engine Objectifs Réduction du volume dalertes (fausses alertes, regroupements) Améliorer la sémantique des alertes (contenu, sévérité) Approches Logico-temporelles (scénarios) Statistiques (aggrégation, clustering) Knowledge-based Informations utilisées Propriétés des attaques et des vulnérabilités Informations cartographiques

7 France Télécom R&D La communication de ce document est soumise à autorisation de France Télécom R&D D7 - 09/06/2014 Présentation des informations Faciliter l'appréhension des événements pour les opérateurs Contrôle d'accès pour les opérations sur les bases Consultation Modification Archivage Notions de rôles Visualisation des informations dans un navigateur Implémentation en PHP

8 France Télécom R&D La communication de ce document est soumise à autorisation de France Télécom R&D D8 - 09/06/2014 Future works Mise en open source du projet Techniques de corrélation d'alertes Techniques visualisation

9 France Télécom R&D La communication de ce document est soumise à autorisation de France Télécom R&D D9 - 09/06/2014 Questions?