{"id":4690,"date":"2013-11-27T16:58:17","date_gmt":"2013-11-27T15:58:17","guid":{"rendered":"http:\/\/www.solucominsight.fr\/?p=4690"},"modified":"2019-12-31T11:28:42","modified_gmt":"2019-12-31T10:28:42","slug":"surveillance-securite-passer-du-puits-de-logs-au-siem-security-information-and-event-management","status":"publish","type":"post","link":"https:\/\/www.riskinsight-wavestone.com\/en\/2013\/11\/surveillance-securite-passer-du-puits-de-logs-au-siem-security-information-and-event-management\/","title":{"rendered":"Surveillance s\u00e9curit\u00e9 : passer du puits de logs au SIEM (security information and event management)"},"content":{"rendered":"

A l\u2019heure o\u00f9 l\u2019on prend plus que jamais au s\u00e9rieux les sc\u00e9narios d\u2019attaques cibl\u00e9es ou de fuite d\u2019information, les entreprises se heurtent souvent \u00e0 un manque de visibilit\u00e9 sur ce qu\u2019il se passe au sein m\u00eame de leur syst\u00e8me d\u2019information.<\/em><\/p>\n

Beaucoup ont donc entam\u00e9 au cours des 18 derniers mois un projet visant \u00e0 exploiter les logs (ou journaux d\u2019\u00e9v\u00e8nements) afin d\u2019anticiper, d\u00e9tecter et diagnostiquer des actes malveillants.<\/em><\/p>\n

L\u2019objectif est ambitieux\u00a0: on parle d\u2019abord de log management, puis de corr\u00e9lation des logs \u00e0 l\u2019aide d\u2019un SIEM (security information and event management)\u00a0. Quelle r\u00e9alit\u00e9 derri\u00e8re ces principes\u00a0? Comment les mettre en place\u00a0?<\/em><\/p>\n

\u00c9tape 1\u00a0: centraliser les journaux<\/h2>\n

Une grande majorit\u00e9 de machines (\u00e9quipements r\u00e9seau, serveurs, postes de travail), bases de donn\u00e9es ou applications d\u2019un SI peuvent aujourd\u2019hui g\u00e9n\u00e9rer des logs. Ces fichiers contiennent, pour chaque machine, la liste de tous \u00e9v\u00e8nements qui se sont d\u00e9roul\u00e9s : r\u00e9ussite ou \u00e9chec d\u2019une connexion utilisateur, red\u00e9marrage, saturation de la m\u00e9moire…<\/p>\n

Pour les exploiter, il est possible de se connecter unitairement \u00e0 chacun des \u00e9quipements afin d\u2019y observer l\u2019historique. Cette t\u00e2che fastidieuse, encore souvent observ\u00e9e sur le terrain, est irr\u00e9aliste sur des syst\u00e8mes d\u2019information complexes. Elle est par ailleurs inefficace pour pr\u00e9venir un incident ou d\u00e9tecter les impacts en temps r\u00e9el.<\/p>\n

La construction d\u2019un \u00ab\u00a0puits de log\u00a0\u00bb est une premi\u00e8re brique de r\u00e9ponse\u00a0: il s\u2019agit de collecter, \u00e0 l\u2019aide d\u2019un outil automatis\u00e9 du march\u00e9, l\u2019ensemble des journaux d\u2019\u00e9quipements dans un espace de stockage unique. L\u2019un des crit\u00e8res de s\u00e9lection de cet outil est justement sa capacit\u00e9 \u00e0 reconna\u00eetre diff\u00e9rents formats de logs (syslog, traps SNMP, formats propri\u00e9taires\u2026).<\/p>\n

Le volume d\u2019information centralis\u00e9e peut vite exploser\u00a0: il est important d\u2019\u00e9viter la collecte de donn\u00e9es inutiles. Par ailleurs, le syst\u00e8me peut \u00e9galement \u00eatre gourmand en puissance de calcul en fonction des p\u00e9rim\u00e8tres de recherches effectu\u00e9es.<\/p>\n

On parle de log management<\/em> \u00e0 partir du moment o\u00f9 les donn\u00e9es contenues dans ce puits sont trait\u00e9es et exploit\u00e9es, par exemple pour retrouver un \u00e9l\u00e9ment dangereux (virus, probl\u00e8me de s\u00e9curit\u00e9\u2026), ou un comportement malveillant (fuite d\u2019information, suppression de donn\u00e9es\u2026). Il est n\u00e9cessaire de cadrer en amont les finalit\u00e9s du projet,\u00a0 qui peuvent \u00eatre multiples\u00a0:<\/p>\n