Bien que l’industrie se focalise sur le terme “SIEM” comme un « fourre-tout » pour ce type de logiciel sécurité, ce dernier a été créé grâce à différentes technologies, mais toutefois, complémentaires :

LMS « LOG MANAGEMENT SYSTEM » : un système qui collecte et archive les logs (OS, Applicatifs, etc..) à partir de multiples sources, dans un seul emplacement. Ceci permet de centraliser les accès aux logs au lieu d’y accéder à partir de chaque système individuellement.

SLM/SEM « SECURITY LOG MANAGEMENT/ SECURITY EVENT MANAGEMENT »: un LMS visant les analystes sécurité plutôt que les administrateurs système. SEM met en évidence les logs orientés sécurité plus que le reste.

SIM « SECURITY INFORMATION MANAGEMENT » : un système de gestion d’actifs, mais avec des fonctionnalités qui intègrent la sécurité des systèmes d’information.

SEC « SECURITY EVENT CORRELATION » : Pour un simple logiciel, 3 tentatives de login au même compte utilisateur de 3 différents clients représentent 3 lignes dans leurs logs. Pour un analyste, c’est une séquence d’événements particuliers qui nécessite une investigation, et la corrélation de log (pattern dans les fichiers de log) est un moyen de lever l’alerte quand un tel cas se présente.

SIEM « SECURITY INFORMATION AND EVENT MANAGEMENT » : SIEM est un agrégat de tout ce qui est cité ci-dessus. Toutes ces technologies ont fusionné en un seul produit. Ce terme est devenu un moyen général de gestion de l’information provenant de contrôles sécurité et des infrastructures.

SIEM consiste à surveiller tout ce qui se passe au sein d’un réseau à l’aide d’une « loupe » fournie via n’importe quel contrôle de sécurité ou source d’information.

  • Le système de détection d’intrusion ne traite que les paquets, protocoles et adresses IP
  • Les systèmes EndPoint Security (antivirus, etc..) ne voient que les fichiers, usernames et hôtes
  • Les logs montrent les logins utilisateurs, les activités d’un processus et les changements de configurations
  • Le système de gestion des actifs montre les applications, les processus business ainsi que les propriétaires

Seuls, ces outils ne peuvent pas exprimer ce qu’il se passe en termes de sécurité et de continuité, mais ensemble, ils peuvent.

SIEM n’est autre qu’une couche de management au dessus d’un système et de contrôles sécurité. Il connecte et unifie les informations contenues et permet leur analyse et leur corrélation à partir d’une seule interface. Plus les informations sont valides plus le SIEM a de chance d’aider à détecter, analyser et répondre à certaines problématiques sécurité.

Qu’en est-il des logs?

Le « LOG COLLECTION » est le cœur du SIEM.

  • Plus les sources qui envoient les logs sont nombreuses, plus de choses peuvent être accomplies avec le SIEM
  • Les logs seuls peuvent rarement contenir toute l’information nécessaire à la compréhension du contexte
  • Avec des logs uniquement, tout ce qu’un analyste sécurité peut voir est « Connexion d’un hôte A vers un hôte B »
  • La vraie valeur des logs est dans la « corrélation » de l’information


Quels ingrédients pour un bon déploiement du SIEM ?

 

LOGS ET ALERTESBASE DE CONNAISSANCES
  
Contrôles SécuritéInformation infra
  • Détection des intrusions
  • Antivirus
  • DLP (Data Loss Prevention)
  • Concentrateurs VPN
  • Filtres Web
  • Firewalls
  • Configuration
  • Locations
  • Owners
  • Cartes réseau
  • Rapports de vulnérabilités
  • Inventaire logiciel
InfrastructuresInformation business
  • Routeurs
  • Switches
  • Contrôleurs de domaines
  • WAP
  • Serveurs applicatifs
  • Bases de données
  • Intranets
  • Processes
  • Points de contact
  • Information partenaires

Comment un fichier log est généré dans un réseau?

Ci-dessous un schéma représentant un modèle de génération de logs :

Siem

Le pouvoir de la corrélation des logs?

La corrélation consiste à faire correspondre des événements de plusieurs systèmes (hôtes, dispositifs réseau, contrôles de sécurité, n’importe quelle source de logs). Des événements de plusieurs sources peuvent être combinés et comparés afin d’identifier des patterns de comportement invisibles avec une simple analyse.

La corrélation permet d’automatiser la détection d’événements qui ne devraient pas se produire au sein d’un réseau.

Exemple :

« 15:05 21/07/2016 User schekh Successful Auth to 10.194.32.104 from 10.10.8.15 »

donne, avec corrélation :

« Un compte appartenant à Schekh du département IS SECURITY s’est connecté à un serveur de production à partir d’un desk local, un jour ou personne ne devrait être dans les locaux »

 Nous avons donc vu que le SIEM est un ensemble d’enregistrements de tous les systèmes qui forment un SI. Il donne aux analystes accès aux informations de ces systèmes sans leur en donner l’accès direct. La corrélation des événements permet de développer les connaissances sécurité à l’aide de recherches automatisées combinant les événements et les informations sur les différents actifs, tout ceci pour créer un point de départ d’analyse dans une mer d’informations.

Source : http://fr.slideshare.net/alienvault/siem-for-beginners

Saad

Consultant Sécurité