Accueil / Module 25
Module 25 — Protocoles & Logs

Network Security Data

Maitriser les sources de donnees de securite reseau, les fichiers journaux, les outils d'analyse et les fonctions SIEM pour une surveillance efficace.

  • Comprendre Syslog et ses variantes (syslog-ng)
  • Maitriser les journaux Windows (Application, System, Setup, Security)
  • Connaitre NetFlow et Cisco AVC
  • Differencier les types de donnees de securite (session, statistique, alerte)
  • Utiliser les outils d'analyse (Sguil, Wireshark, Cisco Prime)
  • Comprendre NBA/NBAD et les fonctions SIEM

📋 25.1 — Syslog et journalisation centralisee

Syslog est la technologie standard utilisee pour la journalisation centralisee des evenements. Quand le personnel de nuit d'un datacenter doit examiner les logs des serveurs, c'est Syslog qui centralise et rend accessibles ces journaux.

Architecture Syslog

ComposantRoleExemple
Syslog ClientGenere et envoie les messages de logRouteur, serveur, firewall
Syslog ServerRecoit et stocke les messagesrsyslog, syslog-ng, Graylog
TransportProtocole de transmissionUDP 514 (classique), TCP 514 ou TCP 6514 (TLS)

Syslog-ng : protection contre les exploits

L'approche recommandee pour prevenir l'exploitation de Syslog est d'utiliser syslog-ng. Cette implementation amelioree offre :

  • Transport TCP fiable (au lieu d'UDP non fiable)
  • Chiffrement TLS des communications
  • Filtrage avance et classification des messages
  • Stockage structure (bases de donnees, fichiers)
  • Meilleure gestion de la charge et de la fiabilite

Horodatage Syslog et NTP

Dans un message Syslog, un point (.) ou asterisque (*) avant le timestamp dans le champ HEADER indique un probleme avec le protocole NTP. Cela signifie que l'horloge du systeme n'est pas synchronisee et que l'horodatage peut etre imprecis.

Impact sur le forensics
Des horodatages imprecis rendent la correlation des evenements entre differentes sources de logs quasiment impossible. La synchronisation NTP est critique pour toute infrastructure de monitoring.

🪟 25.2 — Journaux Windows (Event Logs)

Windows organise ses journaux en quatre categories principales, chacune contenant des types d'evenements specifiques :

JournalContenuExemples d'evenements
Application LogsEvenements generes par les applicationsCrash d'application, erreurs de base de donnees, avertissements Office
System LogsEvenements lies aux drivers, processus et materielsErreur de driver, service demarre/arrete, timeout materiel
Setup LogsInformations sur l'installation et les mises a jour de logicielsWindows Update, installation de programmes, patches
Security LogsEvenements lies aux tentatives de connexion et operations sur les fichiersLogin reussi (4624), echec login (4625), acces fichier, changement de privileges
Question d'examen frequente
"Quel journal Windows contient les informations d'installation de logiciels ?" → Reponse : Setup Logs.

Processus Windows et detection de malware

La connaissance de l'emplacement normal des processus Windows critiques est essentielle pour la detection de malwares :

ProcessusEmplacement normalSi trouve ailleurs
lsass.exeC:\Windows\System32\Probablement un malware — supprimer
svchost.exeC:\Windows\System32\Suspect si dans un autre repertoire
csrss.exeC:\Windows\System32\Malware si localisation non standard
explorer.exeC:\Windows\Malware si dans System32 ou autre
Exemple : lsass.exe
Si un administrateur decouvre lsass.exe dans le dossier Program Files au lieu de C:\Windows\System32\, il doit le supprimer car c'est probablement un malware. Le vrai lsass.exe (Local Security Authority Subsystem Service) ne se trouve JAMAIS dans Program Files.

📊 25.3 — NetFlow et Cisco AVC

Cisco NetFlow

Cisco NetFlow fournit des informations sur les heures de pointe et le routage du trafic reseau. Il collecte des metadonnees sur les flux (IP source/dest, ports, protocole, octets, duree) sans capturer le contenu des paquets.

Information fournieDescription
Peak hoursHeures de pointe du trafic reseau
Traffic routingChemins empruntes par le trafic
Top talkersHotes generant le plus de trafic
Protocol distributionRepartition par protocole (TCP, UDP, ICMP)

NetFlow dans Cisco AVC

Dans l'architecture Cisco AVC (Application Visibility and Control), NetFlow est deploye au niveau de la collecte de metriques (metrics collection). AVC se compose de :

Composant AVCRole
Application RecognitionIdentifier les applications (NBAR2)
Metrics CollectionNetFlow / IPFIX — collecter les metriques de flux
Control ModuleAppliquer les politiques QoS et filtrage
Administration & ReportingCisco Prime, dashboards de reporting

Lecture d'un output NetFlow

Lors de l'analyse d'un output NetFlow, il faut identifier :

  • Le protocole (TCP/UDP) selon le champ protocol
  • Le port source et destination pour identifier le service
  • La direction du flux (client → serveur ou reponse)
Exemple d'examen
Un flux NetFlow avec source port 53, protocole UDP, allant vers un client = reponse DNS UDP (le serveur DNS repond au client sur le port 53/UDP).

📦 25.4 — Types de donnees de securite reseau

Les donnees de securite reseau se classent en plusieurs types, chacun offrant une perspective differente :

Type de donneesDescriptionExemple
Session DataEnregistrement des conversations entre hotes du reseauFlux NetFlow : IP src/dst, ports, duree, octets
Statistical DataDonnees creees en analysant d'autres formes de donneesMoyennes, tendances, distributions, anomalies calculees
Alert DataNotifications generees par les systemes de detectionAlertes IDS/IPS, alertes SIEM, regles de correlation
Transaction DataDetails des echanges individuelsRequetes/reponses DNS, HTTP, SMTP individuelles
Full Packet CaptureCapture complete de tous les paquetsFichiers PCAP de Wireshark
Questions d'examen
Session data = "enregistrement des conversations entre hotes du reseau"
Statistical data = "creees en analysant d'autres formes de donnees"

🛠️ 25.5 — Outils d'analyse de securite reseau

Sguil

Sguil est une application qui fournit une interface pour rendre les alertes Snort lisibles et interrogeables (searchable). C'est une console SOC open source qui integre :

  • Affichage en temps reel des alertes Snort/Suricata
  • Correlation avec les captures de paquets (PCAP)
  • Capacite de recherche et de pivot dans les evenements
  • Interface de triage pour les analystes SOC

Outils de capture et d'analyse de paquets

Les deux outils GUI qui permettent d'afficher et d'analyser des captures de paquets completes sont :

OutilTypeDescription
WiresharkGUI open sourceAnalyseur de protocoles reseau — capture et decode les paquets en temps reel
Cisco Prime Network AnalysisGUI commercialePlateforme Cisco d'analyse reseau avec visualisation avancee des captures
Outils en ligne de commande (non GUI)
Tcpdump et Nfdump sont des outils en ligne de commande, pas des interfaces graphiques. Splunk est un SIEM, pas un outil de capture de paquets.

📈 25.6 — NBA, NBAD et telemetrie avancee

Deux methodes de surveillance de securite reseau utilisent l'analyse de telemetrie avancee :

MethodeNom completDescription
NBANetwork Behavior AnalysisAnalyse le comportement du reseau pour detecter les anomalies (trafic inhabituel, DDoS, worms)
NBADNetwork Behavior Anomaly DetectionDetection specifique des anomalies comportementales du reseau (deviations par rapport a la baseline)

Ces deux methodes vont au-dela de la simple detection basee sur les signatures en analysant les patterns de trafic, les flux et les comportements pour identifier les menaces inconnues (zero-day).

Ne pas confondre
NBA/NBAD utilisent la telemetrie avancee. Sguil et Snorby sont des consoles d'alertes (pas de telemetrie avancee). NetFlow et IPFIX fournissent les donnees de flux, pas l'analyse avancee.

🧩 25.7 — Fonctions SIEM essentielles

Un SIEM (Security Information and Event Management) effectue plusieurs fonctions cles sur les logs collectes :

Fonction SIEMDescriptionExemple
CorrelationLier les logs de systemes disparates pour identifier des patterns d'attaqueLier un echec de login (firewall) + scan de ports (IDS) + acces fichier (serveur) = attaque coordonnee
AggregationReduire les donnees en regroupant les doublons10 000 alertes identiques → 1 alerte avec count = 10 000
NormalizationMapper les logs vers un modele commun (champs uniformes)Unifier "src_ip" (Cisco) + "SourceAddress" (Windows) + "srcip" (Palo Alto) → champ unique "source_ip"
Rappel
Correlation = lier les logs de systemes differents.
Aggregation = reduire les doublons.
Normalization = mapper vers un modele commun.

📂 25.8 — Catégories de données NSM en profondeur

Le NSM (Network Security Monitoring) repose sur quatre catégories de données complémentaires. Comprendre leurs différences est essentiel pour choisir la bonne source selon la question d'analyse.

CatégorieDescriptionOutil typiqueVolumeQuand l'utiliser
Full-Content Data (PCAP)Capture intégrale de chaque paquet réseau (headers + payload)Wireshark, tcpdump, NetworkMinerTrès élevéInvestigation approfondie d'un incident spécifique — reconstituer exactement ce qui s'est passé
Session DataRésumé de chaque flux réseau (IP src/dst, ports, durée, octets)NetFlow, IPFIX, Zeek (conn.log)MoyenIdentifier les communications suspectes (qui a parlé à qui, quand, combien)
Statistical DataAgrégations et tendances du trafic réseauSIEM dashboards, NBAD, Cisco AVCFaibleDétecter les anomalies de volume, les tendances inhabituelles
Alert DataÉvénements générés par les IDS/IPS quand une règle matcheSnort, Suricata, SguilVariablePoint de départ d'une investigation — « quelque chose de potentiellement malveillant s'est passé »

Métadonnées et données de transaction

TypeDescriptionExemple
MetadataDonnées sur les données — contexte sans le contenuEn-têtes email (From, To, Date), en-têtes HTTP (User-Agent, Host), infos DNS (domaine, type, TTL)
Transaction DataÉchanges applicatifs individuels enregistrésRequêtes DNS complètes, transactions HTTP (URL, status code), logs de session
Pyramide de données NSM
Alert Data (volume faible, signal fort) → Session Data (contexte réseau) → Full-Content (preuve complète, volume énorme). Un analyste commence généralement par une alerte, pivote vers les sessions pour le contexte, puis examine le PCAP pour les détails.

📝 25.9 — Quiz de revision

Points cles du Module 25

  • Syslog est la technologie de journalisation centralisee ; syslog-ng previent les exploits syslog
  • Un point/asterisque avant le timestamp syslog indique un probleme NTP
  • Les journaux Windows : Application (apps), System (drivers/hardware), Setup (installations), Security (login/fichiers)
  • lsass.exe hors de System32 = probablement un malware
  • NetFlow fournit les heures de pointe et le routage du trafic ; deploye comme metrics collection dans Cisco AVC
  • Session data = conversations entre hotes ; Statistical data = creees en analysant d'autres donnees
  • Sguil rend les alertes Snort lisibles et interrogeables
  • Wireshark et Cisco Prime Network Analysis sont des outils GUI pour l'analyse de paquets complets
  • NBA et NBAD utilisent l'analyse de telemetrie avancee
  • Fonctions SIEM : Correlation (lier), Aggregation (reduire), Normalization (mapper)
  • Les 4 catégories NSM : Full-Content (PCAP), Session (NetFlow), Statistical, Alert (IDS)
  • Workflow d'investigation : AlertSessionFull-Content