OSSIM est un gestionnaire d'information de sécurité basé sur des technologies open source. Son objectif est de centraliser et d’analyser l'information de sécurité, venant de différentes sources d'outils open source, et de prendre les décisions adéquates tout en gardant un suivi.Il possède un ensemble d'outils intégrés permettant une multitude de possibilités de traitement de l'information. Il permet de fiabiliser les alertes et donc d'éviter un maximum de faux positifs grâce à la corrélation des événements. Sa gestion des événements permet une levée d'alarme très fine, et l'ouverture de ticket pour les suivis. Cette première partie présente OSSIM et le fonctionnement de l'agent. La seconde sera sur le serveur et le framework.
1. Présentation
OSSIM est très modulable et permet facilement de l'adapter à son réseau. Il est composé de différents éléments :
- Une partie agent pour récupérer l'information (LANGAGE PYTHON).
- Une partie Serveur pour gérer, analyser et stocker les informations venant des agents. Il intègre l'implémentation des corrélations et des politiques d'action (LANGAGE C).
- Une partie Framework pour gérer les tâches annexes et gourmandes en ressources (scan, commande, envoi de mail, ...) (LANGAGE PYTHON).
- Une interface web graphique : elle permet de contrôler l'outil et d'analyser les résultats (configuration, visualisation, rapport, suivi, ...) (LANGAGE PHP).
On peut distinguer trois types d’informations analysées :
- Prévention : elle permet d'analyser son réseau et d'en connaître les failles connues avant une attaque. Ce processus se fait en deux temps :
- Le premier est la prise de connaissance du réseau (serveur, élément réseau,...
