42 1 624KB
Security Informations and Events Management SIEM
MASTER 1 TDSI - FST - UCAD
Pr´ esent´ e Par: Mr Mabator Ndiaye DIOP Mlle Yacine SAMB November 23, 2021
1 / 38
PLAN
1
Introduction
November 23, 2021
2 / 38
PLAN
1
Introduction
2
Historique
November 23, 2021
2 / 38
PLAN
1
Introduction
2
Historique
3
D´efinition
November 23, 2021
2 / 38
PLAN
1
Introduction
2
Historique
3
D´efinition
4
Fonctionnement
November 23, 2021
2 / 38
PLAN
1
Introduction
2
Historique
3
D´efinition
4
Fonctionnement
5
Pourquoi utiliser un SIEM
November 23, 2021
2 / 38
PLAN
1
Introduction
2
Historique
3
D´efinition
4
Fonctionnement
5
Pourquoi utiliser un SIEM
6
Avantages et inconv´enients d’une solution SIEM
November 23, 2021
2 / 38
PLAN
1
Introduction
2
Historique
3
D´efinition
4
Fonctionnement
5
Pourquoi utiliser un SIEM
6
Avantages et inconv´enients d’une solution SIEM
7
Pr´esentation de quelques solutions SIEM
November 23, 2021
2 / 38
PLAN
1
Introduction
2
Historique
3
D´efinition
4
Fonctionnement
5
Pourquoi utiliser un SIEM
6
Avantages et inconv´enients d’une solution SIEM
7
Pr´esentation de quelques solutions SIEM
8
Quelle est la meilleure solution SIEM
November 23, 2021
2 / 38
PLAN
1
Introduction
2
Historique
3
D´efinition
4
Fonctionnement
5
Pourquoi utiliser un SIEM
6
Avantages et inconv´enients d’une solution SIEM
7
Pr´esentation de quelques solutions SIEM
8
Quelle est la meilleure solution SIEM
9
Conclusion
November 23, 2021
2 / 38
Introduction
Pour optimiser leur s´ecurit´e informatique, les organisations et entreprises de toutes tailles doivent pouvoir surveiller leurs r´eseaux et syst`emes d’information, afin d’identifier les actions malveillantes qui les menacent et se pr´emunir de potentielles attaques avant qu’elles ne causent de graves dommages. Dans cette perspective, le SIEM (pour Security Informations and Events Management) essaie d’apporter un ensemble de moyens permettant d’agr´eger, normaliser, corr´eler, consolider, superviser, analyser, notifier et capitaliser les ´ev´enements de s´ecurit´e de l’information.
November 23, 2021
3 / 38
HISTORIQUE
Le terme SIEM a ´et´e con¸cu en 2005 par Mark Nicolett et Amrit ` l’´epoque, deux types de solutions Williams,deux analystes du GARTNER. A compl´ementaires mais distinctes g´eraient les donn´ees de s´ecurit´e des syst`emes d’information : les S.E.M. et les S.I.M. Mark Nicolett et Amrit Williams ont not´e le rapprochement ´evident des outils de gestion des journaux ou S.I.M. (Security Information Management) et des programmes de suivi d’´ev´enements de s´ecurit´e ou S.E.M. (Security Event Manager ).
November 23, 2021
4 / 38
HISTORIQUE
Nicolett et Williams mettent en ´evidence la n´ecessit´e de combiner ces deux outils pour mieux piloter la s´ecurit´e et cr´eent le terme SIEM. Le SIEM devient alors un outil actif de la s´ecurit´e. Depuis, les SIEM ont beaucoup ´evolu´e. Par rapport ` a la d´efinition de 2005, il faut rajouter aujourd’hui dans les capacit´es des SIEM des capacit´es de combinaison avec les C.T.I.(Cyber Threat Intelligence externe ou encore des fonctionnalit´es d’Intelligence Artificielle telles que le machine learning pour am´eliorer les capacit´es de d´etection.
November 23, 2021
5 / 38
HISTORIQUE S.E.M
S.E.M. pour Security Event, permet l’analyse des logs en temps r´eel (ou quasi r´eel) en provenance des syst`emes de s´ecurit´e, r´eseaux, d’exploitation et applicatifs. Le S.E.M. effectue aussi d’autres actions : il est capable de traiter un volume tr`es important de donn´ees en temps r´eel,
November 23, 2021
6 / 38
HISTORIQUE S.E.M
S.E.M. pour Security Event, permet l’analyse des logs en temps r´eel (ou quasi r´eel) en provenance des syst`emes de s´ecurit´e, r´eseaux, d’exploitation et applicatifs. Le S.E.M. effectue aussi d’autres actions : il est capable de traiter un volume tr`es important de donn´ees en temps r´eel, lorsqu’il identifie des ´ev´enements douteux, il les enrichit dans un format d´edi´e `a la d´etection d’intrusion,
November 23, 2021
6 / 38
HISTORIQUE S.E.M
S.E.M. pour Security Event, permet l’analyse des logs en temps r´eel (ou quasi r´eel) en provenance des syst`emes de s´ecurit´e, r´eseaux, d’exploitation et applicatifs. Le S.E.M. effectue aussi d’autres actions : il est capable de traiter un volume tr`es important de donn´ees en temps r´eel, lorsqu’il identifie des ´ev´enements douteux, il les enrichit dans un format d´edi´e `a la d´etection d’intrusion, il propose des capacit´es de corr´elation avanc´ees en temps r´eel des ´ev´enements,
November 23, 2021
6 / 38
HISTORIQUE S.E.M
S.E.M. pour Security Event, permet l’analyse des logs en temps r´eel (ou quasi r´eel) en provenance des syst`emes de s´ecurit´e, r´eseaux, d’exploitation et applicatifs. Le S.E.M. effectue aussi d’autres actions : il est capable de traiter un volume tr`es important de donn´ees en temps r´eel, lorsqu’il identifie des ´ev´enements douteux, il les enrichit dans un format d´edi´e `a la d´etection d’intrusion, il propose des capacit´es de corr´elation avanc´ees en temps r´eel des ´ev´enements, il dispose d’outils n´ecessaires au suivi et `a l’exploitation des alertes,
November 23, 2021
6 / 38
HISTORIQUE S.E.M
S.E.M. pour Security Event, permet l’analyse des logs en temps r´eel (ou quasi r´eel) en provenance des syst`emes de s´ecurit´e, r´eseaux, d’exploitation et applicatifs. Le S.E.M. effectue aussi d’autres actions : il est capable de traiter un volume tr`es important de donn´ees en temps r´eel, lorsqu’il identifie des ´ev´enements douteux, il les enrichit dans un format d´edi´e `a la d´etection d’intrusion, il propose des capacit´es de corr´elation avanc´ees en temps r´eel des ´ev´enements, il dispose d’outils n´ecessaires au suivi et `a l’exploitation des alertes, enfin, il est capable d’effectuer une r´eponse aux incidents sur des menaces internes comme externes.
November 23, 2021
6 / 38
HISTORIQUE S.I.M
S.I.M. pour Security Information Management.Son rˆ ole par contre est de g´erer l’historique des traces, de fournir des rapports en conformit´e avec la r´eglementation existante au sein de l’entreprise, et de surveiller les menaces internes. . Le S.I.M effectue d’autres actions comme : il permet de stocker des volumes tr`es importants de donn´ees brutes peu
November 23, 2021
7 / 38
HISTORIQUE S.I.M
S.I.M. pour Security Information Management.Son rˆ ole par contre est de g´erer l’historique des traces, de fournir des rapports en conformit´e avec la r´eglementation existante au sein de l’entreprise, et de surveiller les menaces internes. . Le S.I.M effectue d’autres actions comme : il permet de stocker des volumes tr`es importants de donn´ees brutes peu il propose parfois un format de normalisation mais ce format est g´en´eralement tr`es simpliste,
November 23, 2021
7 / 38
HISTORIQUE S.I.M
S.I.M. pour Security Information Management.Son rˆ ole par contre est de g´erer l’historique des traces, de fournir des rapports en conformit´e avec la r´eglementation existante au sein de l’entreprise, et de surveiller les menaces internes. . Le S.I.M effectue d’autres actions comme : il permet de stocker des volumes tr`es importants de donn´ees brutes peu il propose parfois un format de normalisation mais ce format est g´en´eralement tr`es simpliste, il offre des capacit´es d’indexation et de recherche `a des fins d’analyse et d’investigation num´erique.
November 23, 2021
7 / 38
DEFINITION
Les syst`emes de gestion des ´ev´enements et des informations de s´ecurit´e (SIEM) sont des syst`emes centralis´es qui offrent une visibilit´e totale sur l’activit´e de votre r´eseau et vous permettent ainsi de r´eagir aux menaces en temps r´eel. Ils collectent, lisent et cat´egorisent les donn´ees machine d’une grande diversit´e de sources, puis analysent celles-ci pour produire des renseignements qui vous permettront d’agir. Ils fournissent une vue globale et centralis´ee en mati`ere de posture de s´ecurit´e d’une infrastructure IT. Ils donnent aux professionnels de la cybers´ecurit´e un aper¸cu des activit´es au sein de leur environnement IT.
November 23, 2021
8 / 38
Pourquoi utiliser un SIEM ? La solution S.I.E.M. permet de surveiller des applications, des comportements utilisateurs et des acc`es aux donn´ees. A travers les fonctionnalit´es fournis par cette solution, il est donc possible de collecter, de mettre dans un format de normalisation, d’agr´eger, de corr´eler et d’analyser les donn´ees des ´ev´enements issus des machines, syst`emes et applications (pare-feu, syst`emes de pr´evention d’intrusion, machines r´eseau, machines de s´ecurit´e, applications, bases de donn´ees, serveurs). November 23, 2021
9 / 38
FONCTIONNEMENT
Pour permettre au syst`eme d’identifier des ´ev´enements anormaux, il est important que l’administrateur S.I.E.M. ´elabore en premier lieu un profil du syst`eme dans des conditions normales de fonctionnement. Au niveau le plus simple, un syst`eme S.I.E.M. peut reposer sur des r`egles ou utiliser un moteur de corr´elation statistique pour ´etablir des relations entre les entr´ees du journal des ´ev´enements. Sur certains syst`emes, un pr´e-traitement peut intervenir au niveau des collecteurs. Seuls certains ´ev´enements sont alors transmis au noeud d’administration centralis´e. Ce pr´e-traitement permet de r´eduire le volume d’informations communiqu´ees et stock´ees. Toutefois, cette approche comporte le risque de filtrer des ´ev´enements pertinents de mani`ere pr´ecoce.
November 23, 2021
10 / 38
FONCTIONNEMENT
Les SIEM permettent: 1
La collecte
2
La normalisation
3
L’agr´egation
4
La corr´elation
5
Le reporting
6
L’archivage
7
le rejeu d’´ev`enements
November 23, 2021
11 / 38
Fonctionnement La collecte
Le principe de la collecte est de fournir au S.I.E.M. des donn´ees a` traiter. Ces donn´ees peuvent ˆetre de nature diverse en fonction de l’´equipement ou du logiciel, mais aussi ˆetre envoy´ees de mani`eres tout `a fait diff´erentes. On distingue deux modes de fonctionnement : Mode actif Mode passif 1
2
November 23, 2021
12 / 38
Fonctionnement La collecte
LE MODE ACTIF: la plupart des S.I.E.M. fonctionnent en d´eployant une multitude d’agents de collecte de mani`ere hi´erarchique sur les ´equipements `a superviser. Ces agents ont pour fonction de r´ecup´erer les informations des appareils des utilisateurs, des serveurs, des ´equipements r´eseau, voire des ´equipements sp´ecialis´es de s´ecurit´e, tels que les pare-feu, ou encore les syst`emes antivirus et anti-intrusions, et aussi des logiciels de s´ecurit´e et de les envoyer au S.I.E.M.
November 23, 2021
13 / 38
Fonctionnement La collecte
LE MODE PASSIF: le S.I.E.M. est en ´ecoute directe sur les ´equipements a` superviser. Pour cette m´ethode, c’est l’´equipement ou le logiciel qui envoie des informations sans interm´ediaire au S.I.E.M.
November 23, 2021
14 / 38
Fonctionnement La normalisation
Les informations collect´ees viennent d’´equipements et logiciels h´et´erog`enes ayant pour la plupart leurs propres moyens de formater les donn´ees. Cette ´etape permet d’uniformiser les informations selon un format unique pour faciliter le traitement par le S.I.E.M. Des formats sont mis au point par l’I.E.T.F. sous forme de R.F.C. pour structurer les informations de s´ecurit´e et pouvoir les ´echanger et les traiter plus facilement. IDMEF (Intrusion D´ etection Message Exchange Format) IODEF (Incident Object Description and Exchange Format) November 23, 2021
15 / 38
Fonctionnement La normalisation
La normalisation permet ainsi de faire des recherches multi-crit`eres, sur un champ ou sur une date. Ce sont ces ´ev´enements qui seront enrichis avec d’autres donn´ees puis envoy´es vers le moteur de corr´elation.
November 23, 2021
16 / 38
Fonctionnement L’agr´ egation
L’agr´egation est le premier traitement des ´ev`enements de s´ecurit´e. Il consiste en un regroupement d’´ev`enements de s´ecurit´e selon certains crit`eres. Ces crit`eres sont g´en´eralement d´efinis `a travers des r`egles appel´ees r` egles d’agr´ egation et s’appliquent `a des ´ev`enements ayant des similarit´es. Plusieurs r`egles de filtrage peuvent ˆetre appliqu´ees. Ils sont ensuite agr´eg´es selon les solutions, puis envoy´es vers le moteur de corr´elation.
November 23, 2021
17 / 38
Fonctionnement La corr´ elation
La corr´elation correspond `a l’analyse d’´ev`enements selon certains crit`eres. Ces crit`eres sont g´en´eralement d´efinis `a travers des r`egles appel´ees r` egles de corr´ elation. Le but de cette ´etape est d’´etablir des relations entre ´ev`enements, pour ensuite pouvoir cr´eer des alertes de corr´elations, des incidents de s´ecurit´es, des rapports d’activit´e. La corr´elation se diff´erencie sur plusieurs points: Auto-apprentissage et connaissances rapport´ ees Temps r´ eel et donn´ ees retard´ ees Corr´ elation active et passive 1
2
3
November 23, 2021
18 / 38
Fonctionnement La corr´ elation
Auto-apprentissage et connaissances rapport´ ees: Pour pouvoir fonctionner, les moteurs de corr´elation ont besoin d’informations sur les syst`emes et r´eseaux de l’infrastructure. Ces informations peuvent ˆetre collect´ees automatiquement et/ou saisies manuellement par un op´erateur.
November 23, 2021
19 / 38
Fonctionnement La corr´ elation
Temps r´ eel et donn´ ees retard´ ees: Dans certains cas, les ´ev`enements bruts sont forg´es et envoy´es directement pour ˆetre corr´el´es en temps r´eel. Dans d’autres cas, les ´ev`enements sont d’abord stock´es, et envoy´es apr`es un premier traitement (ex : agr´egation), leur envoi peut ˆetre alors conditionn´e.
November 23, 2021
20 / 38
Fonctionnement La corr´ elation
Corr´ elation active et passive: La corr´elation active a la possibilit´e de compl´eter les ´ev`enements re¸cus en recueillant des informations suppl´ementaires pour prendre des d´ecisions. La corr´elation passive est une corr´elation qui ne peut pas interagir avec son environnement, elle re¸coit des ´ev`enements et prend des d´ecisions.
November 23, 2021
21 / 38
Fonctionnement La corr´ elation
Les r`egles de corr´elation permettent d’identifier un ´ev´enement qui a caus´e la g´en´eration de plusieurs autres (un hacker qui s’est introduit sur le r´eseau, puis a manipul´e tel ´equipement, etc). Elles permettent aussi de remonter une alerte via un courriel, SMS ou ouvrir un ticket si la solution S.I.E.M. est interfac´ee avec un outil de gestion de tickets
November 23, 2021
22 / 38
Fonctionnement Le reporting
Les S.I.E.M. permettent ´egalement de cr´eer et g´en´erer des tableaux de bord et des rapports. Ainsi, les diff´erents acteurs du syst`eme d’information, responsables s´ecurit´e du syst`eme d’information, administrateurs, utilisateurs peuvent avoir une visibilit´e sur le syst`eme d’information (nombre d’attaques, nombre d’alertes par jour...).
November 23, 2021
23 / 38
Fonctionnement L’archivage
Les solutions S.I.E.M. sont utilis´ees ´egalement pour des raisons juridiques et r´eglementaires. Un archivage a` valeur probante permet de garantir l’int´egrit´e des traces. Les solutions peuvent utiliser du chiffrement par exemple pour garantir l’int´egrit´e des traces.
November 23, 2021
24 / 38
Fonctionnement Le rejeu des ´ ev` enements
La majorit´e des solutions permettent ´egalement de rejouer les anciens ´ev´enements pour mener des enquˆetes post-incidentes. Il est ´egalement possible de modifier une r`egle et de rejouer les ´ev´enements pour voir son comportement.
November 23, 2021
25 / 38
AVANTAGES D’UNE SOLUTION S.I.E.M Il faut le reconnaˆıtre, s’´equiper d’une solution de type S.I.E.M. n´ecessite un investissement cons´equent en raison de la complexit´e de sa mise en oeuvre. Toutefois, bien qu’initialement destin´e aux grandes entreprises, le S.I.E.M. offre des avantages `a tous les types d’organisations : D´ etection proactive d’incidents Conformit´ e et reporting Am´ elioration des activit´ es de gestion des incidents November 23, 2021
26 / 38
AVANTAGES D’UNE SOLUTION S.I.E.M
D´ etection proactive d’incidents: Un S.I.E.M. s’av`ere capable de d´etecter des incidents de s´ecurit´e qui seraient pass´es inaper¸cus. Pour une raison simple : les nombreux hˆotes qui enregistrent des ´ev´enements de s´ecurit´e ne disposent pas de fonctions de d´etection d’incidents.
November 23, 2021
27 / 38
AVANTAGES D’UNE SOLUTION S.I.E.M
Conformit´ e et reporting: ` l’heure o`u les normes et certifications de textrmA cyber-s´ecurit´e sont de plus en plus nombreuses, le S.I.E.M. devient un ´el´ement cl´e de tout syst`eme d’information. C’est un moyen relativement simple de r´epondre `a plusieurs exigences de s´ecurit´e (ex : historisation et suivi des logs, rapports de s´ecurit´e, alerting, ...). D’autant que le S.I.E.M. peut g´en´erer des rapports hautement personnalisables selon les exigences des diff´erentes r´eglementations. Ce seul b´en´efice suffit `a convaincre des organisations de d´eployer un S.I.E.M. November 23, 2021
28 / 38
AVANTAGES D’UNE SOLUTION S.I.E.M
Am´ elioration des activit´ es de gestion des incidents: Un S.I.E.M. contribue aussi a` une meilleure r´eaction aux incidents. Disposer d’un S.I.E.M. c’est l’assurance d’identifier rapidement des menaces et de r´eduire le temps de r´eaction avec des ressources r´eduites.
November 23, 2021
29 / 38
INCONVENIENTS D’UNE SOLUTION SIEM D´eployer un S.I.E.M. ne suffit pas pour autant `a s´ecuriser compl`etement votre organisation. Les solutions S.I.E.M. pr´esentent des limites qui ne les rendent pas optimales sans un accompagnement `a la hauteur et sans solutions tierces. Contrairement a` une solution de s´ecurit´e de type IPS ou Firewall, un S.I.E.M. ne surveille pas les ´ev´enements de s´ecurit´e mais utilise les donn´ees de fichiers journaux enregistr´ees par ces derniers. Une configuration quelques fois trop complexe Des coˆ uts de d´ eploiement qui peuvent ˆ etre ´ elev´ es Un grand volume d’alertes ` a r´ eguler November 23, 2021
30 / 38
INCONVENIENTS D’UNE SOLUTION SIEM
Une configuration quelques fois trop complexe: Les S.I.E.M. sont des produits complexes qui appellent un accompagnement pour assurer une int´egration r´eussie avec les contrˆoles de s´ecurit´e de l’entreprise et les nombreux hˆotes de son infrastructure. Il est important de ne pas se contenter d’installer un S.I.E.M. avec les configurations du constructeur et/ou par d´efaut, car ces configurations sont souvent insuffisantes. Elles doivent ˆetre personnalis´ees et adapt´ees aux besoins des utilisateurs. November 23, 2021
31 / 38
INCONVENIENTS D’UNE SOLUTION SIEM
Des coˆ uts de d´ eploiement qui peuvent ˆ etre ´ elev´ es: R´ealiser les fonctions des S.I.E.M. par rapport aux ´ev´enements de s´ecurit´e est une tˆache qui semble relativement simple. Cependant, leur collecte, stockage et l’ex´ecution des rapports de conformit´e, l’application des correctifs et l’analyse de tous les ´ev´enements de s´ecurit´e se produisant sur le r´eseau d’une entreprise n’est pas facile. Taille des supports de stockage, puissance informatique pour le traitement des informations, temps d’int´egration des ´equipements de s´ecurit´e, mise en place des alertes, etc. November 23, 2021
32 / 38
INCONVENIENTS D’UNE SOLUTION SIEM
Un grand volume d’alertes ` a r´ eguler: Les solutions S.I.E.M. s’appuient g´en´eralement sur des r`egles pour analyser toutes les donn´ees enregistr´ees. Cependant, le r´eseau d’une entreprise g´en`ere un nombre tr`es important d’alertes (en moyenne 10 000 par jours) qui peuvent ˆetre positives ou non. En cons´equence, l’identification de potentielles attaques est compliqu´ee par le volume de fichiers journaux non pertinents.
November 23, 2021
33 / 38
Pr´esentation de quelques solutions SIEM
Il existe une panoplie de solutions qui sont propos´ees par plusieurs entit´es avec leurs avantages et leurs inconv´enients. Il existe des solutions qui sont propri´etaires, et donc payantes, et des solutions qui sont libres et a` codes sources ouverts, donc gratuites. Parmi ces solutions on peut citer: SPLUNK Enterprise IBM QRadar ELK
November 23, 2021
34 / 38
Pr´esentation de quelques solutions SIEM SPLUNK
L’un des leaders du march´e, SPLUNK est un SIEM. propri´etaire mais qui poss`ede une version gratuite. Cette version gratuite permet de stocker jusqu’` a 500Mo de fichiers journaux par jour. SPLUNK se suffit a` lui-mˆeme pour ing´erer les donn´ees, les transformer et les analyser. De plus SPLUNK rime avec ´evolutivit´e : Votre r´eseau peut s’agrandir, Splunk suivra.
November 23, 2021
35 / 38
Pr´esentation de quelques solutions SIEM IBM QRadar
QRadar est une solution plutˆot orient´ee grandes entreprises d’o` u peut-ˆetre une utilisation un peu plus complexe lorsqu’il s’agit de la personnaliser. Cependant la solution poss`ede d´ej`a un large choix de cas pr´ed´efinis. Mais QRadar a un coˆ ut plus ´elev´e. IBM QRadar a la possibilit´e de collecter les logs et les flux venant d’applications sur le Cloud. La solution peut ˆetre d´eploy´ee en SaaS grace `a l’offre IBM Cloud .
November 23, 2021
36 / 38
Pr´esentation de quelques solutions SIEM ELK
ELK est utilis´e par des entreprises comme Ebay, Netflix, Cisco... ELK est compos´e de trois logiciels libres et a` codes sources ouverts : Logstash, ElasticSearch et Kibana.
November 23, 2021
37 / 38
Quelle est la meilleure solution SIEM ?
Tout d´epend de ce que vous cherchez. L’outil doit pouvoir traiter les volumes actuels de donn´ees, g´erer la sophistication des attaques d’aujourd’hui et d´eclencher des r´eponses intelligentes aux incidents, en temps r´eel.
November 23, 2021
38 / 38
CONCLUSION
Dans un monde o` u les cybermenaces sont de plus en plus vigoureuses – et o` u l’environnement r´eglementaire est toujours plus dur et les cons´equences des violations, toujours plus graves – les ´equipes de s´ecurit´e s’appuient de plus en plus sur la technologie SIEM pour la corr´elation des ´ev´enements, l’intelligence des menaces, l’agr´egation des donn´ees de s´ecurit´e et plus encore. La s´ecurit´e des entreprises repose sur l’identification et la prise en charge rapide des probl`emes de s´ecurit´e, et toute ´equipe de s´ecurit´e a int´erˆet `a ´etudier les capacit´es des diff´erents syst`emes SIEM disponibles pour identifier celui qui r´epond le mieux a` ses besoins.
November 23, 2021
39 / 38