Je m’interroge concernant la supervision axée sur la sécurité (je ne sais pas si cela s’appelle de la « supervision » d’ailleurs ?).
Monitorer la disponibilité d’un service, son temps de réponse, l’état des disques …etc. ça je sais plus ou moins faire.
Je veux aller plus loin et je souhaiterai que certaines informations relatives à la sécurité me soient remontées automatiquement.
Existe-t-il des logiciels permettant d’analyser et de remonter des patterns anormaux, des changements de droits sur des fichiers ou tout autre anomalies pouvant être suspecte en analysant les logs, les processus, les flux réseaux …etc. ?
Qu’utilisez-vous sur vos infrastructures ?
Cela passe-t-il par l’utilisation d’un système de détection d’intrusion comme Snort ou existe-t-il des outils plus simple ?
Bonne soirée à toutes et à tous et merci de m’avoir lu
Il existe des outils comme auditd et auditbeat qui permettent de détecter des anomalies ou des changements suspects.
Il existe aussi des plateformes complètes comme Wazuh.
Mais personnellement mon préféré reste Falco, il intègre nativement le support des containers, il sait ainsi différencier ce qui se passe sur l’hôte et ce qui se passe dans un container et il n’est pas trop difficile à intégrer aux outils de centralisation de logs.
Si je comprend bien, l’idéal serait d’avoir un HIDS (Host-based Intrusion Detection System) pour surveiller ce qui se passe sur l’hôte, un NIDS (Network Intrusion Detection System) pour surveiller le trafic réseau entrant sur la machine (à defaut de pouvoir le mettre en amont dans le cadre de la location d’un serveur) et pourquoi pas un IPS (Intrusion Prevention System) pour bloquer automatiquement certaines attaques ?
Difficile de te répondre de but en blanc au sujet de l’usage d’un IPS. Personnellement je me contente essentiellement d’un WAF et d’alertes sur les événements suspects.
Cela s’explique par le fait que nous exposons très peu de services sur internet, généralement du Web (HTTPS) et du DNS.
Pour le coup s’il faut un HIDS je ne peux que conseiller OSSEC. Le mieux est de le caler avec un firewall (genre chez scaleway, hetzner on peut définir des règles de firewall avant que ça arrive chez nous).
L’inconvénient est sa courbe d’apprentissage. Il est pas facile ce machin. Mais tu as un serveur, des clients, ils analyses tout ce qui se passe sur ta machine et peuvent prendre des décisions, te prévenir…
Je rebondit sur le sujet. Au taf aucun monitoring n’a été mis en place. Les équipes précèdent ont toujours manquée de temps pour le faire à force de gérer les problèmes à chaud. Je préfère prévenir que guérir et je commence mes recherches sur ce sujet.
@Nexus75 et les autres auriez vous des outils à mes conseiller pour monitorer un domaine windows ? A installer sur serveur windows ou sur un serveur dédié type debian.
Je suis également à la recherche d’un appareil permettant de prévenir par SMS pour les moments où la connexion est coupée pour transmettre des alertes urgente (onduleur, alerte coupure, alerte température) le tout avec liste contact prédéfini en fonction de l’alerte
Ou si vous avez une liste de lien en vrac où chercher ce qui correspond à mes besoins ça serait au top
Enough utilise aussi wazuh mais uniquement la partie dérivée de OSSEC qui est aussi utilisé dans SecureDrop. Le choix a été fait parce que la maintenance et le packaging de Wazuh étaient meilleurs que OSSEC, il y a environ 18 mois.
Je ne connaissais pas: ça a l’air bien et bon esprit et bien maintenu et parmi les contributeurs réguliers il n’y a pas que des gens de Security Onion et les instructions d’installation on l’air de permettre de prendre les choses en main sans faire appel aux auteurs. Ça donne envie d’essayer. Est-ce que tu l’as pratiqué ?
De mon côté je ne connais que très peut le monde de Microsoft mais des outils tels que Zabbix fonctionnent avec la plupart des OS (il y a un agent à installer sur l’hôte si tu veux obtenir des indicateurs détaillés).
L’idéal (enfin je pense que c’est même indispensable) est que ton système qui gère la supervision ne soit pas sur un de tes serveurs ou même sur ton réseau.
Tu peux par exemple louer un petit VPS chez un hébergeur tiers dédié à cela.
Concernant l’envoi de SMS tu peux utiliser l’API de chez OVH (il y en a sûrement d’autres mais je ne connais que lui) qui propose un service SMS, que tu peux coupler avec des scripts maisons qui s’exécuteraient périodiquement avec crontab par exemple, ou mieux encore, avec un outils de supervision intégrant cette possibilité.
Je remonte ce fil, et il se peut que j’en remonte d’autre par la suite car je les lis au fur et à mesure et apprend pas mal de chose.
Pour ce sujet quand vous parlez de support de container est-ce que c’est que pour les container type docker ou aussi les dérivés type lxc ou autre ?
Car je suis aussi à la recherche d’un outil global que je pourrais installer sur mon serveur « hote » et qui m’analyse mes différents container lxc également.
et bien maintenu et parmi les contributeurs réguliers il n’y a