SIEM : Une vue unique sur le système d’information

Bien que l’industrie se focalise sur le terme “SIEM” comme un « fourre-tout » pour ce type de logiciel sécurité, ce dernier a été créé grâce à différentes technologies, mais toutefois, complémentaires :

LMS « LOG MANAGEMENT SYSTEM » : un système qui collecte et archive les logs (OS, Applicatifs, etc..) à partir de multiples sources, dans un seul emplacement. Ceci permet de centraliser les accès aux logs au lieu d’y accéder à partir de chaque système individuellement.

SLM/SEM « SECURITY LOG MANAGEMENT/ SECURITY EVENT MANAGEMENT »: un LMS visant les analystes sécurité plutôt que les administrateurs système. SEM met en évidence les logs orientés sécurité plus que le reste.

SIM « SECURITY INFORMATION MANAGEMENT » : un système de gestion d’actifs, mais avec des fonctionnalités qui intègrent la sécurité des systèmes d’information.

SEC « SECURITY EVENT CORRELATION » : Pour un simple logiciel, 3 tentatives de login au même compte utilisateur de 3 différents clients représentent 3 lignes dans leurs logs. Pour un analyste, c’est une séquence d’événements particuliers qui nécessite une investigation, et la corrélation de log (pattern dans les fichiers de log) est un moyen de lever l’alerte quand un tel cas se présente.

SIEM « SECURITY INFORMATION AND EVENT MANAGEMENT » : SIEM est un agrégat de tout ce qui est cité ci-dessus. Toutes ces technologies ont fusionné en un seul produit. Ce terme est devenu un moyen général de gestion de l’information provenant de contrôles sécurité et des infrastructures.

SIEM consiste à surveiller tout ce qui se passe au sein d’un réseau à l’aide d’une « loupe » fournie via n’importe quel contrôle de sécurité ou source d’information.

Le système de détection d’intrusion ne traite que les paquets, protocoles et adresses IP
Les systèmes EndPoint Security (antivirus, etc..) ne voient que les fichiers, usernames et hôtes
Les logs montrent les logins utilisateurs, les activités d’un processus et les changements de configurations
Le système de gestion des actifs montre les applications, les processus business ainsi que les propriétaires

Seuls, ces outils ne peuvent pas exprimer ce qu’il se passe en termes de sécurité et de continuité, mais ensemble, ils peuvent.

SIEM n’est autre qu’une couche de management au dessus d’un système et de contrôles sécurité. Il connecte et unifie les informations contenues et permet leur analyse et leur corrélation à partir d’une seule interface. Plus les informations sont valides plus le SIEM a de chance d’aider à détecter, analyser et répondre à certaines problématiques sécurité.

Qu’en est-il des logs?

Le « LOG COLLECTION » est le cœur du SIEM.

Plus les sources qui envoient les logs sont nombreuses, plus de choses peuvent être accomplies avec le SIEM
Les logs seuls peuvent rarement contenir toute l’information nécessaire à la compréhension du contexte
Avec des logs uniquement, tout ce qu’un analyste sécurité peut voir est « Connexion d’un hôte A vers un hôte B »
La vraie valeur des logs est dans la « corrélation » de l’information

Quels ingrédients pour un bon déploiement du SIEM ?

LOGS ET ALERTES	BASE DE CONNAISSANCES

Contrôles Sécurité	Information infra
Détection des intrusions Antivirus DLP (Data Loss Prevention) Concentrateurs VPN Filtres Web Firewalls	Configuration Locations Owners Cartes réseau Rapports de vulnérabilités Inventaire logiciel
Infrastructures	Information business
Routeurs Switches Contrôleurs de domaines WAP Serveurs applicatifs Bases de données Intranets	Processes Points de contact Information partenaires

Comment un fichier log est généré dans un réseau?

Ci-dessous un schéma représentant un modèle de génération de logs :

Le pouvoir de la corrélation des logs?

La corrélation consiste à faire correspondre des événements de plusieurs systèmes (hôtes, dispositifs réseau, contrôles de sécurité, n’importe quelle source de logs). Des événements de plusieurs sources peuvent être combinés et comparés afin d’identifier des patterns de comportement invisibles avec une simple analyse.

La corrélation permet d’automatiser la détection d’événements qui ne devraient pas se produire au sein d’un réseau.

Exemple :

« 15:05 21/07/2016 User schekh Successful Auth to 10.194.32.104 from 10.10.8.15 »

donne, avec corrélation :

« Un compte appartenant à Schekh du département IS SECURITY s’est connecté à un serveur de production à partir d’un desk local, un jour ou personne ne devrait être dans les locaux »

Nous avons donc vu que le SIEM est un ensemble d’enregistrements de tous les systèmes qui forment un SI. Il donne aux analystes accès aux informations de ces systèmes sans leur en donner l’accès direct. La corrélation des événements permet de développer les connaissances sécurité à l’aide de recherches automatisées combinant les événements et les informations sur les différents actifs, tout ceci pour créer un point de départ d’analyse dans une mer d’informations.

Source : http://fr.slideshare.net/alienvault/siem-for-beginners

Saad

Consultant Sécurité

Vous devriez également aimer

Active Directory reconnaissance – Attaques et post-exploitation

PrivExchange : L’escalade de privilège AD via Exchange Web Services

Splunk pour surveiller votre infrastructure Windows

Comment identifier, classifier, et sécuriser vos données sensibles ?