SIEMSecurity Information & Event

ManagementRE23 – Présentation

Mouad BENNIS

Sommaire

• Log Management ?• SIEM ?• SIEM vs Log Management• Fonctionnement d’un SIEM• Implémentation de SIEM

Architecture du réseau d’une entreprise

2

Log Management

• Log Management (LM) : une approche pour traiter des volumes importants de logs générés.

• LM couvre la collecte de journaux, l'agrégation centralisée, la rétention à long terme, l'analyse des journaux (en temps réel et en vrac après stockage) ainsi que la recherche de logs et la génération de rapports.

3

Architecture avec collecte de logs

4

Les défis du log management

• Analyse de logs d’un point de vue sécurité• Centraliser la collecte des logs• Répondre aux exigences de conformité • Conduire de façon efficace et minutieuse une analyse des

causes• Rendre les logs plus explicites• Suivre les comportements suspects des utilisateurs

5

SIEM : Introduction

• Le terme Security Information Event Management (SIEM) a été introduit par Mark Nicolett et Amrit Williams en 2005.

• Décrit les capacités d’un produit à collecter, analyser et présenter des informations à partir de dispositifs de réseau et de sécurité; d’applications de gestion des identités et des accès; d’outils de gestion de la vulnérabilité et de la conformité du SI; des systèmes d'exploitation, des journaux des bases de données et des applications; et des données des menaces externes.

6

SIEM : Introduction• SIEM combine Security Information Management (SIM) et

Security Event Manager (SEM).• La partie gestion de la sécurité qui traite de la surveillance en

temps réel, la corrélation des événements, les notifications et les vues de la console est communément connu sous le nom de security event manager (SEM).

• La deuxième partie gère le stockage long terme, l’analyse et le reporting est connu sous le nom de Security Information Management (SIM).

7

SIEM : Principaux objectifs

• Identifier les menaces et les éventuelles brèches• Collecter les journaux d'audit de la sécurité et de la

conformité• Mener des enquêtes et fournir des preuves

8

SIEM vs LMSIEM LM

Collecte de logs Collecte de logs reliés à la sécurité+ données de

contexte

Collecte tous les logs

Traitement de logs (Pre-processing)

Normalisation, catégorisation, enrichissement

Indexage, Analyse ou rien

Rétention de logs Stocke des données normalisées

Format brute

Reporting Focus sécurité Usage général

Analyse Corrélation, note de la menace, Priorité des

événements

Analyse complète

Alerte et Notification Alerte sur les événements sécurité

Alerte sur tous les logs

Autres options Gestion d’incident, analyse de contexte

Scalable9

Pourquoi un SIEM est nécessaire ?

• Hausse des vols de données dues à des menaces internes et externes• Les attaquants sont intelligents et des outils de sécurité traditionnelle

ne suffisent pas• Atténuer les cybers-attaques sophistiquées• Gérer l'augmentation des volumes de log provenant de sources

multiples• Répondre aux exigences de conformité strictes

10

Composants d’un SIEM

• Événements monitorés• Collecte d’événements• Le noyau• L’interface utilisateur

11

Workflow d’un SIEM

Collecte de

données

Extraction intelligent

e des informatio

ns

Ajouter de la valeur

Présenter sous

forme de tableau

de bord & de

rapports

12

Entrées du SIEM

ÉvénementsOperating Systems

ApplicationsDevices

Databases

ContexteVulnerability ScansUser InformationAsset InformationThreat Intelligence

Data Collection

Normalization

Correlation Logic/RulesAggregation

SIEM

Sorties

Analysis Reports

Real Time Monitoring

Architecture SIEM

13

Contexte

14

Outils typiques d’un SIEM

15

Exemple de tableau de bord

16

Implémentation

• Construire soi-même• Externaliser• Acheter

17

Externaliser

Avantages• Quelqu’un d’autre s’occupe de vos

problèmes• Pas d’équipements à installer chez

vous• Main d’œuvre • Les managers seront contents

Risques• Quelqu’un d’autre s’occupe de vos

problèmes• Non conforme au cahier des charges• SLA: Risques de pertes de données• Volume de données

18

Le faire soi-même

Avantages• Conforme au cahier des charges• Choix de la plateforme, des

méthodes, des outils• Le prix• C’est fun !

Risques• Maintenance• Le support• Scalable ??• La mise en production ??

19

Acheter

Avantages• Support pour traiter les logs• Mise à jour, implémentation de

nouvelles options• Avoir quelqu’un en face

Risques• Formation d’une équipe• Non conforme au cahier des charges• Longévité du produit et du fabricant

20

Pourquoi l’ implémentation des SIEM échoue?

• Pas de planification• Mauvais déploiement

• Management de logs incohérent• Données inutiles

• Opérationnel• Le management a une vision à court terme• On assume que c’est du plug and play

21

Conclusion• Monitoring en temps réel• Réduction des coûts• Exigences de conformités• Reporting• Retour sur investissement

rapide

22