IDS / IPS

Presentation

Le systeme de detection et prevention d'intrusion s'appuie sur les capacites natives de la Fortinet Security Fabric et de Wazuh pour couvrir a la fois la detection perimetrique (reseau) et la detection sur les endpoints (hote).

Detection perimetrique (FortiGate IPS/IDS)

  • Mode : Cluster HA (Actif/Passif) en perimetrie
  • Fonctions : IPS, IDS, pare-feu, inspection SSL
  • Les alertes perimetriques sont remontees vers Wazuh et indexees dans Elasticsearch pour correlation dans le SOC

Detection endpoint (Wazuh)

  • Agents deployes sur tous les serveurs Linux et Windows
  • Detection d'intrusion basee sur l'hote (HIDS)
  • Surveillance de l'integrite des fichiers (FIM)
  • Detection de rootkits
  • Verification de conformite (SCA - Security Configuration Assessment)

Integration SOC

Les alertes des deux sources (FortiGate + Wazuh) sont correlees dans le SOC :

  1. FortiGate envoie les logs IPS/IDS vers Wazuh / Elasticsearch
  2. Wazuh Agents remontent les evenements vers le cluster Wazuh Managers (TCP 1514 chiffre)
  3. Les alertes critiques declenchent un workflow Shuffle (SOAR)
  4. Cortex enrichit les observables (IPs, Hashs) via les services de Threat Intelligence et MISP
  5. Un case est cree dans TheHive pour investigation par les analystes