Chapitre II : Réalisation

On lance la commande ci-dessous pour installer les dépendances :

sudo apt-get install rustc cargo make libpcre3 libpcre3-dbg libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g zlib1g-dev libcap-ng-dev libcap-ng0 libmagic-dev libjansson-dev libjansson4 pkg-config -y

Une fois les dépendances installés nous suivons les mêmes étapes d'installation comme sur le serveur Elastic Stack.

Installation d'Auditbeat sur le serveur Elastic Stack

L'importance d'Auditbeat est qu'il permet une surveillance attentive des listes de répertoires, afin de déceler toute anomalie sous Linux, MacOS et Windows. Si un de ces fichiers est modifié, il notifie à Elasticsearch en temps réel pour une analyse approfondie. Ces messages contiennent les métadonnées et les hachages cryptographiques associés aux contenus des fichiers concernés.

Pour installer Auditbeat nous aurons besoin de récupérer la dernière version d'Auditbeat disponible et compatible à notre système sur le site officiel d'Elastic avec la commande wget.

wget https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-7.11.2-x86_64.rpm

Une fois Auditbeat télécharger nous allons l'installer avec la commande `rpm -ivh auditbeat-7.11.2-x86_64.rpm'.

On va configurer le fichier de configuration de Auditbeat situé dans `/etc/auditbeat/auditbeat.yml'.

Par défaut, le module `file_integrity' est activé. Ce module surveille les modifications de fichiers telles que lorsqu'un fichier est créé, mis à jour ou supprimé. On peut ajouter dans cette section les autres fichiers qu'on veut monitorer différent de ceux disponibles par défaut.

Dans le fichier de configuration de Auditbeat on décommente le paramètre d'output vers Elasticsearch car nous voulons que nos données soient envoyées à Logstash d'abord.

44

Chapitre II : Réalisation

Figure 35 : Configuration du fichier de configuration de Auditbeat output Elasticsearch

Figure 36 : Configuration du fichier de configuration de Auditbeat output vers Logstash

Une fois toute les configurations nécessaires effectuées on peut démarrer Auditbeat et activer le démarrage automatique.

45

Chapitre II : Réalisation

Conclusion

Dans cette partie dédiée au déploiement et à la configuration de la pile Elastic, nous avons tout d'abord installer et configurer l'ensemble des programmes qui constitue notre pile ainsi que configurer le chiffrement SSL pour sécuriser la communication entre les éléments de notre stack. Ensuite nous avons installé les agents Beats sur nos machines clientes Windows et Ubuntu pour nous permettre de recevoir les logs et les évènements sur notre serveur. Enfin nous avons installé deux outils d'aide à la détection d'attaque à savoir l'IPS/IDS Suricata et Auditbeat, des outils qui vont aider notre SIEM à être plus efficace et efficient.

Notre solution SIEM permettra donc d'une part d'obtenir des informations liées à la sécurité et l'état de notre système d'information et d'autre part de gérer les incidents de sécurité informatique.

La prochaine étape consistera à expérimenter et tester notre solution afin de présenter de manière plus explicite ses fonctionnalités.

46

CHAPITRE III : TESTS ET

EVALUATIONS

Plan

47

48