L’utilisation des outils SIEM pour la sécurité d’un réseau

Généralité sur les SIEMs

Définition d’un SIEM

Les différents équipements réseaux (pare-feu, switch, routeur, applications, base de données, serveurs…) stockent de plus en plus d’historique d’événements plus souvent appelés logs. Ces logs permettent d’analyser presque en temps réel l’activité d’un processus. Les logs sont donc principalement utilisés pour tenter d’identifier les raisons et les origines d’une panne d’un équipement. Un système SEM (Security Event Management) centralise le stockage et l’interprétation des logs, et permet une analyse en quasi-temps réel. Le personnel de sécurité peut ainsi mieux s’organiser pour prendre des mesures défensives plus rapidement. Un système SIM (Security Information Management) collecte des données et les place dans un référentiel central à des fins d’analyse de tendances. Il est ensuite possible de générer des rapports centralisés et automatisés. Ainsi, un SIEM (Security Information and Event Management) collecte tout document lié à la sécurité, essentiellement les logs (rôle du SEM) pour ensuite les analyser (rôle du SIM). La gestion des informations et des événements de sécurité (SIEM : Security information and event management) est une solution logicielle qui regroupe et analyse l’activité de nombreuses ressources différentes au sein d’une infrastructure informatique.

Les outils SIEM fonctionnent en rassemblant les données d’événements et de journaux créées par les systèmes hôtes, les applications et les dispositifs de sécurité, tels que les filtres antivirus et les pare-feu, dans toute l’infrastructure d’une entreprise et en rassemblant ces données sur une plate-forme centralisée. Les outils SIEM identifient et trient les données dans des catégories telles que les connexions réussies ou échouées, les activités de logiciels malveillants et autres activités malveillantes probables. Ils génèrent ensuite des alertes de sécurité lorsqu’il identifie des problèmes de sécurité potentiels.

À l’aide d’un ensemble de règles prédéfinies, les organisations peuvent définir ces alertes comme étant de faible ou de haute priorité. SIEM collecte les données de sécurité des périphériques suivants : L’utilisation des outils SIEM pour la sécurité d’un réseau 23  Périphériques réseau,  Serveurs,  Contrôleurs de domaine, SIEM stocke, normalise, regroupe et analyse ces données pour découvrir les tendances, détecter les menaces et permettre aux organisations d’enquêter sur les alertes. Avantage des outils SIEM:  Ils regroupent les données de plusieurs systèmes,  Ils les analysent pour détecter les comportements anormaux et les éventuelles cyberattaques,  Ils collectent les événements et les alertes,  Ils offrent une vue globale de l’environnement de sécurité dans l’organisation. Le SIEM est important parce qu’il facilite la gestion de la sécurité pour les entreprises en filtrant des quantités massives de données de sécurité et en hiérarchisant les alertes de sécurité générées par le logiciel. Le logiciel SIEM permet aux organisations de détecter des incidents qui, autrement, pourraient passer inaperçus. Le logiciel analyse les entrées du journal pour identifier les signes d’activité malveillante. En outre, comme le système rassemble des événements provenant de différentes sources sur le réseau, il peut recréer la chronologie d’une attaque, permettant ainsi à l’entreprise de déterminer la nature de l’attaque et son impact sur l’activité.

Un système SIEM peut également aider une organisation à répondre aux exigences de conformité en générant automatiquement des rapports qui incluent tous les événements de sécurité enregistrés parmi ses sources. Sans logiciel SIEM, l’entreprise devrait rassembler les données des journaux et compiler les rapports manuellement. Un système SIEM améliore également la gestion des incidents en permettant à l’équipe de sécurité de découvrir la route qu’emprunte une attaque sur le réseau, identifier les sources qui ont été compromises et fournir les outils automatisés pour prévenir les attaques en cours. Inconvénients : Ils peuvent être coûteux, gourmands en ressources,  parfois compliqués.

Principe de fonctionnement des SIEM

Les SIEM utilisent des étapes de récupération, analyse et gestion de l’information, ce sont la collecte, la normalisation, l’agrégation, la corrélation, le reporting et la réponse. La collecte d’informations : Les équipements et logiciels de sécurité sont nombreux dans un système d’information, ils gèrent généralement de façon indépendante des informations de sécurité dites «locales». Le principe de l’étape de collecte est de fournir au SIEM des données à traiter. Ces données peuvent être de nature diverse en fonction de l’équipement ou du logiciel, mais aussi être envoyées de manières tout à fait différentes. On distingue deux modes de fonctionnement : — Mode actif : Le SIEM possède un ou plusieurs agents déployés sur les équipements à superviser. Ces agents ont pour fonction de récupérer les informations des équipements et logiciels de sécurité et de les envoyer au SIEM. Un élément de sécurité qui a été conçu nativement pour être un agent du SIEM est appelé une sonde. — Mode passif : Le SIEM est en écoute directe sur les équipements à superviser. Pour cette méthode, c’est l’équipement ou le logiciel qui envoie des informations sans intermédiaire au SIEM. La normalisation des données : Les informations collectées viennent d’équipements et logiciels hétérogènes ayant pour la plupart leurs propres moyens de formater les données. Cette étape permet d’uniformiser les informations selon un format unique pour faciliter le traitement par le SIEM. L’agrégation des données : L’agrégation est le premier traitement des évènements de sécurité.

Il consiste en un regroupement d’évènements de sécurité selon certains critères. Ces critères sont généralement définis via des règles appelées règles d’agrégation et s’appliquent à des évènements ayant des similarités. Le rôle principal de l’agrégation est de réduire le nombre d’évènements en associant un «poids» à ceux-ci. Ainsi un regroupement de trois évènements de sécurité selon un critère défini sera un seul évènement avec un poids de trois. Cela facilite notamment le traitement de l’étape de corrélation, qui gère alors non plus des évènements individuels, mais des groupes d’évènements. La corrélation des données : La corrélation correspond à l’analyse d’évènements selon certains critères. Ces critères sont généralement définis via des règles appelées règles de corrélation. Le but de cette étape est d’établir des relations entre évènements, pour ensuite pouvoir créer des alertes de corrélations, des incidents de sécurités, des rapports d’activité… La corrélation se différencie sur plusieurs points : — Auto-apprentissage et connaissances rapportées : Pour pouvoir fonctionner, les moteurs de corrélation ont besoin d’informations sur les systèmes et réseaux de l’infrastructure. Ces informations peuvent être collectées automatiquement et/ou saisies manuellement par un opérateur. — Temps réel et données retardées : Dans certains cas, les évènements bruts sont forgés et envoyés directement pour être corrélés en temps réel. Dans d’autres cas, les évènements sont d’abord stockés, et envoyés après un premier traitement, leur envoi peut être alors conditionné. — Corrélation active et passive : La corrélation active a la possibilité de compléter les évènements reçus en recueillant des informations supplémentaires pour prendre des décisions. La corrélation passive est une corrélation qui ne peut pas interagir avec son environnement, elle reçoit des évènements et prend des décisions.