SIEM Security Information & Event Management RE23 – Présentation Mouad BENNIS
SIEMSecurity Information & Event
ManagementRE23 – Présentation
Mouad BENNIS
Sommaire
• Log Management ?• SIEM ?• SIEM vs Log Management• Fonctionnement d’un SIEM• Implémentation de SIEM
Architecture du réseau d’une entreprise
2
Log Management
• Log Management (LM) : une approche pour traiter des volumes importants de logs générés.
• LM couvre la collecte de journaux, l'agrégation centralisée, la rétention à long terme, l'analyse des journaux (en temps réel et en vrac après stockage) ainsi que la recherche de logs et la génération de rapports.
3
Architecture avec collecte de logs
4
Les défis du log management
• Analyse de logs d’un point de vue sécurité• Centraliser la collecte des logs• Répondre aux exigences de conformité • Conduire de façon efficace et minutieuse une analyse des
causes• Rendre les logs plus explicites• Suivre les comportements suspects des utilisateurs
5
SIEM : Introduction
• Le terme Security Information Event Management (SIEM) a été introduit par Mark Nicolett et Amrit Williams en 2005.
• Décrit les capacités d’un produit à collecter, analyser et présenter des informations à partir de dispositifs de réseau et de sécurité; d’applications de gestion des identités et des accès; d’outils de gestion de la vulnérabilité et de la conformité du SI; des systèmes d'exploitation, des journaux des bases de données et des applications; et des données des menaces externes.
6
SIEM : Introduction• SIEM combine Security Information Management (SIM) et
Security Event Manager (SEM).• La partie gestion de la sécurité qui traite de la surveillance en
temps réel, la corrélation des événements, les notifications et les vues de la console est communément connu sous le nom de security event manager (SEM).
• La deuxième partie gère le stockage long terme, l’analyse et le reporting est connu sous le nom de Security Information Management (SIM).
7
SIEM : Principaux objectifs
• Identifier les menaces et les éventuelles brèches• Collecter les journaux d'audit de la sécurité et de la
conformité• Mener des enquêtes et fournir des preuves
8
SIEM vs LMSIEM LM
Collecte de logs Collecte de logs reliés à la sécurité+ données de
contexte
Collecte tous les logs
Traitement de logs (Pre-processing)
Normalisation, catégorisation, enrichissement
Indexage, Analyse ou rien
Rétention de logs Stocke des données normalisées
Format brute
Reporting Focus sécurité Usage général
Analyse Corrélation, note de la menace, Priorité des
événements
Analyse complète
Alerte et Notification Alerte sur les événements sécurité
Alerte sur tous les logs
Autres options Gestion d’incident, analyse de contexte
Scalable9
Pourquoi un SIEM est nécessaire ?
• Hausse des vols de données dues à des menaces internes et externes• Les attaquants sont intelligents et des outils de sécurité traditionnelle
ne suffisent pas• Atténuer les cybers-attaques sophistiquées• Gérer l'augmentation des volumes de log provenant de sources
multiples• Répondre aux exigences de conformité strictes
10
Composants d’un SIEM
• Événements monitorés• Collecte d’événements• Le noyau• L’interface utilisateur
11
Workflow d’un SIEM
Collecte de
données
Extraction intelligent
e des informatio
ns
Ajouter de la valeur
Présenter sous
forme de tableau
de bord & de
rapports
12
Entrées du SIEM
ÉvénementsOperating Systems
ApplicationsDevices
Databases
ContexteVulnerability ScansUser InformationAsset InformationThreat Intelligence
Data Collection
Normalization
Correlation Logic/RulesAggregation
SIEM
Sorties
Analysis Reports
Real Time Monitoring
Architecture SIEM
13
Contexte
14
Outils typiques d’un SIEM
15
Exemple de tableau de bord
16
Implémentation
• Construire soi-même• Externaliser• Acheter
17
Externaliser
Avantages• Quelqu’un d’autre s’occupe de vos
problèmes• Pas d’équipements à installer chez
vous• Main d’œuvre • Les managers seront contents
Risques• Quelqu’un d’autre s’occupe de vos
problèmes• Non conforme au cahier des charges• SLA: Risques de pertes de données• Volume de données
18
Le faire soi-même
Avantages• Conforme au cahier des charges• Choix de la plateforme, des
méthodes, des outils• Le prix• C’est fun !
Risques• Maintenance• Le support• Scalable ??• La mise en production ??
19
Acheter
Avantages• Support pour traiter les logs• Mise à jour, implémentation de
nouvelles options• Avoir quelqu’un en face
Risques• Formation d’une équipe• Non conforme au cahier des charges• Longévité du produit et du fabricant
20
Pourquoi l’ implémentation des SIEM échoue?
• Pas de planification• Mauvais déploiement
• Management de logs incohérent• Données inutiles
• Opérationnel• Le management a une vision à court terme• On assume que c’est du plug and play
21
Conclusion• Monitoring en temps réel• Réduction des coûts• Exigences de conformités• Reporting• Retour sur investissement
rapide
22