Gestion des Logs & SIEM

Gestion de logs : première brique du dispositif de détection.

Avant de détecter des telles attaques et de savoir comment réagir à un ensemble d’événements complexes, il convient de de mettre en place une démarche par étape :

•       Activation de la journalisation sur les équipements ;

•       Création d’un puit de logs ;

•       Mise en place d’alertes unitaires ;

•       Réalisation de corrélation d’événements.

La première étape qui peut paraître la plus simple est finalement souvent la plus fastidieuse et la plus complexe à pérenniser. Cela dépend en effet souvent de différentes équipes et de nouveaux équipements qu’il faut intégrer également et qui apparaissent chaque jour. La fiabilisation de cette première étape est un point crucial pour obtenir le résultat escompté avec la captation de scénarios d’attaques de plus en plus sophistiqués.

Une fois la journalisation activée, il faut ensuite créer le puit de logs pour collecter et centraliser les événements au sein d’un espace de stockage dédié. Cet espace de stockage doit être dimensionné en conséquence avec un volume de données qui a tendance à augmenter très rapidement au fil des années. 

Ces données doivent être traitées avec la plus grande attention puisqu’elles sont considérées à caractère personnel dès lors que des informations de connexion y sont consignées. Il faut alors bien calibrer sa politique de rétention et d’accès à la fois pour le stockage et l’archivage.

C’est sur la base de ce puit de logs que pourront se construire dans un premier temps tout d’abord un ensemble d’alertes dites « simples » sans mise en place de corrélation puis dans un second temps, la mise en place justement de ces fonctionnalités de corrélation. Pour plus d’efficacité, il est de plus en plus recommandé de mettre en place des règles de corrélation en lien avec le framework MITRE ATT&CK Matrix qui est reconnu aujourd’hui comme complet et mis à jour régulièrement.

Construisez votre
Cybersécurité
avec Synetis !