ObjectifCyber

Chapitre 1 — Journalisation & Surveillance de la Sécurité

La journalisation est le pilier de la non-répudiation, de la forensique et de la détection. Ce module couvre les types de journaux, le SIEM, les protocoles de surveillance et les technologies clés.

Mémorisez ! Les journaux doivent être protégés contre la modification (intégrité) et centralisés pour être utiles (SIEM). Tout journal doit être horodaté — la synchronisation NTP est donc critique pour la forensique.
Type de journalCe qu'il enregistreUtilité principale
Journaux systèmeDémarrages, arrêts, erreurs OSDisponibilité, forensique
Journaux d'applicationErreurs, transactions, connexions d'appDébogage, audit
Journaux de sécuritéAuthentifications réussies/échouées, accès fichiersDétection d'intrusion, conformité
Journaux réseauConnexions, flux TCP/UDP, requêtes DNSForensique réseau, IDS
Journaux pare-feuRègles acceptées/bloquées, adresses IPAnalyse des menaces
Journaux DNSRequêtes de résolution de nomDétecter C2 via DNS, exfiltration DNS
Journaux d'authentificationTentatives de connexion, MFA, tokensDétection brute force, credential stuffing
Journaux de métadonnéesQui a accédé à quoi et quand (pas le contenu)Analyse comportementale
NetFlowStatistiques de flux réseau (src/dst IP, port, volume)Détection d'anomalies, C2, exfiltration
PCAP (Packet Capture)Contenu complet des paquetsForensique approfondie

Syslog est le protocole standard Unix/Linux pour l'envoi de journaux vers un collecteur central. Port 514/UDP (non chiffré) ou 6514/TCP+TLS (chiffré).

Niveaux de sévérité Syslog (0–7)

NiveauNomDescription
0EmergencySystème inutilisable
1AlertAction immédiate requise
2CriticalConditions critiques
3ErrorConditions d'erreur
4WarningConditions d'avertissement
5NoticeConditions normales mais significatives
6InformationalMessages informatifs
7DebugMessages de débogage

Les serveurs SIEM filtrent souvent sur les niveaux 0–4 pour les alertes prioritaires.

Mémorisez ! SIEM = collecte + corrèle + alerte + rapports. Il ne bloque pas (sauf si couplé à SOAR). Les deux composantes sont SIM (gestion de l'information) + SEM (gestion des événements).

Fonctions clés du SIEM

SOAR — Security Orchestration, Automation and Response

Étend le SIEM avec l'automatisation de la réponse. Un playbook peut automatiquement bloquer une IP, isoler un endpoint ou créer un ticket ITSM — sans intervention humaine.

Pour que les journaux aient une valeur forensique, tous les systèmes doivent être synchronisés sur la même source de temps. NTP (Network Time Protocol, port 123/UDP) garantit cette synchronisation.

Scénario Examen : Lors d'une investigation, les journaux du firewall montrent une connexion sortante à 14:23:01 mais les journaux du serveur web montrent la même connexion à 14:25:47. Quelle est la cause probable ?

Réponse : Désynchornisation NTP. Les deux systèmes ne partagent pas la même référence de temps. Recommandation : forcer tous les hôtes à utiliser un serveur NTP interne de référence (stratum 2) lui-même synchronisé sur une source externe fiable.

1. Quel protocole est utilisé pour envoyer des journaux de manière sécurisée vers un collecteur central ?

Syslog over TLS sur le port TCP 6514 est la version sécurisée. Le port 514/UDP est non chiffré et vulnérable à l'interception et la modification. NTP est pour la synchronisation du temps.

2. Un SIEM génère une alerte lorsque 10 tentatives de connexion échouées sont détectées depuis la même adresse IP en 60 secondes. Quelle fonctionnalité du SIEM est utilisée ?

La corrélation combine plusieurs événements pour identifier un pattern (ici : brute force). L'agrégation collecte les journaux. La normalisation les convertit en format uniforme. La rétention les stocke.

3. Pourquoi la synchronisation NTP est-elle critique pour la forensique de sécurité ?

Sans NTP, les horloges dérivent. Un événement sur le firewall à 14:23 et sur le serveur à 14:27 pourrait être le même événement avec 4 minutes de dérive — impossible à corréler avec précision.

4. Quel est le niveau de sévérité Syslog le plus critique ?

Le niveau 0 (Emergency) est le plus critique — "système inutilisable." La sévérité diminue de 0 à 7. Emergency (0) > Alert (1) > Critical (2) > Error (3) > Warning (4) > Notice (5) > Info (6) > Debug (7).

5. Quelle technologie analyse le comportement des utilisateurs pour détecter des anomalies comme des connexions à des heures inhabituelles ?

UEBA (User and Entity Behavior Analytics) crée une ligne de base comportementale et alerte sur les déviations. DLP prévient l'exfiltration. SOAR automatise la réponse. NDR analyse le trafic réseau.

6. La différence principale entre SIEM et SOAR est que SOAR :

SOAR = SIEM + Orchestration + Automatisation. Il peut exécuter des playbooks automatiquement (bloquer une IP, isoler un endpoint). SIEM détecte et alerte ; SOAR répond automatiquement.

7. Un analyste veut voir le contenu exact des paquets échangés lors d'un incident. Quel outil devrait-il utiliser ?

PCAP capture le contenu complet des paquets. NetFlow donne les statistiques de flux (qui parle à qui, combien) mais pas le contenu. Syslog est pour les journaux système, pas le trafic réseau.

8. Quelle est la différence entre EDR et XDR ?

XDR (Extended) = EDR + sources supplémentaires (réseau, cloud, email). EDR se concentre sur les endpoints. XDR offre une vue unifiée et corrélée de l'ensemble de l'environnement.

9. Quel type de journal serait le plus utile pour détecter une tentative d'exfiltration de données via des requêtes DNS anormalement longues (DNS tunneling) ?

Les journaux DNS enregistrent toutes les requêtes de résolution. Le DNS tunneling se détecte par des requêtes DNS pour des sous-domaines très longs, à haute fréquence, vers des domaines inconnus.

10. Pour conserver la valeur légale des journaux lors d'une investigation, comment doivent-ils être stockés ?

Les journaux forensiques doivent être: isolés du système compromis, en lecture seule (WORM — Write Once Read Many), avec des hachages pour prouver qu'ils n'ont pas été modifiés (intégrité = non-répudiation).