SIEM/SOC
Le SIEM (security information and event management) gère les événements du système d'information.
Le SIEM permet de gérer et corréler les logs. On parle de corrélation car ces solutions sont munies de moteurs de corrélation qui permettent de relier plusieurs événements à une même cause.
Face au nombre d’événements générés par les composants d'un système d'information, il est difficile de les traiter à la volée.
Les logiciels de SIEM prennent en entrée les événements collectés du SI, les journaux système des équipements : pare-feux, routeurs, serveurs, bases de données… Ils permettent de prendre en compte différents formats (syslog, Traps SNMP, fichiers plats,OPSEC, formats propriétaires, etc.) ou nativement le format IDMEF (Intrusion Detection Message Exchange Format), spécialement conçu et validé par l'IETF sous forme de RFC pour partager l'information qui intéresse un système de détection et protection aux intrusions.
La collecte peut être de façon passive en mode écoute ou active en mettant en place des agents directement sur les équipements ou à distance. Les solutions permettent également de développer des collecteurs pour prendre en compte des nouveaux formats de journaux systèmes : API, expression régulière…
Les traces brutes sont stockés sans modification pour garder leur valeur juridique. On parle de valeur probante. Ces traces sont généralement copiées puis normalisées sous un format plus lisible. En effet, la normalisation permet de faire des recherches mutli-critères, sur un champ ou sur une date. Ce sont ces événements qui seront enrichis avec d'autres données puis envoyés vers le moteur de corrélation.
Plusieurs règles de filtrage peuvent être appliquées. Ils sont ensuite agrégés selon les solutions, puis envoyés vers le moteur de corrélation.
Les règles de corrélation permettent d'identifier un événement qui a causé la génération de plusieurs autres (un hacker qui s'est introduit sur le réseau, puis a manipulé tel équipement…). Elles permettent aussi de remonter une alerte via un trap, un mail, sms ou ouvrir un ticket si la solution SIEM est interfacée avec un outil de gestion de tickets.
Les SIEM permettent également de créer et générer des tableaux de bord et des rapports. Ainsi, les différents acteurs du SI, RSSI, administrateurs, utilisateurs peuvent avoir une visibilité sur le SI (nombre d'attaques, nombre d'alertes par jour…).
Les solutions SIEM sont utilisées également pour des raisons juridiques et réglementaires. Un archivage à valeur probante permet de garantir l'intégrité des traces.
Les solutions peuvent utiliser des disques en RAID, calculer l'empreinte, utiliser du chiffrement ou autre pour garantir l'intégrité des traces.
La majorité des solutions permettent également de rejouer les anciens événements pour mener des investigations post-incident. Il est également possible de modifier une règle et de rejouer les évènements pour voir son comportement.
Le SOC (Security Operating Center) est une plateforme permettant la supervision et l’administration de la sécurité du système d'information au travers d’outils de collecte, de corrélation d'événements et d'intervention à distance.
Cette plateforme dont la fonction principale est de fournir des services de détection des incidents de sécurité propose également des services de résolution de ceux-ci. Le centre de sécurité va ainsi collecter les événements (sous forme de logs notamment) remontés par les composants de sécurité, les analyser, détecter les anomalies et définir des réactions en cas d'émission d'alerte.
Les avantages du SOC
- Réduire les risques et l'indisponibilité des composants critiques du système d'information
- Identifier les menaces et les prévenir
- Raccourcir les délais d'intervention
- Simplifier l'administration de l’infrastructure
|
|
|
|
|