Rechercher
Fermez ce champ de recherche.

Journalisation SIEM : présentation et meilleures pratiques

La gestion des informations et des événements de sécurité (SIEM) est un outil de cybersécurité essentiel qui centralise les informations de sécurité tourbillonnant autour des milliers de points de terminaison, de serveurs et d'applications au sein de votre organisation. À mesure que les utilisateurs finaux et les appareils interagissent avec chaque point de contact d’application, ils laissent des empreintes numériques sous forme de journaux. Ces fichiers jouent traditionnellement un rôle important dans la correction des bogues et le contrôle qualité : après tout, ils fournissent des informations sur les erreurs directement depuis la source. Cependant, en 2005, les professionnels de la sécurité ont commencé à prendre conscience du véritable potentiel de ces petits fichiers. Ils fournissent une multitude de données en temps réel qui peuvent être introduites dans la journalisation SIEM qui surveille cette infrastructure informatique. Depuis lors, le compromis entre visibilité des menaces et volume des journaux d’événements a été soigneusement étudié par les professionnels de la sécurité. Cet article couvrira plusieurs bonnes pratiques pour la gestion des journaux SIEM – avec lesquelles vos outils de sécurité peuvent atteindre tout leur potentiel.

Pourquoi le SIEM est important

La principale importance de la gestion des journaux SIEM réside dans sa capacité à analyser efficacement de grandes quantités de ces journaux, permettant ainsi aux analystes de sécurité de se concentrer sur les menaces critiques. De plus, les systèmes SIEM normalisent les données dans des environnements d'entreprise hétérogènes pour une analyse simplifiée, fournissent une analyse des menaces en temps réel et historique basée sur les données des journaux, envoient des alertes automatisées classées par gravité lorsque des menaces de sécurité potentielles sont détectées et conservent des enregistrements détaillés cruciaux pour la réponse aux incidents et l'investigation. enquêtes. Essentiellement, la gestion des journaux SIEM est impérative pour établir et maintenir une posture de sécurité robuste et réactive dans le paysage complexe des environnements informatiques contemporains.

Qu'est-ce que la journalisation SIEM et comment ça marche ?

Afin de fournir une sécurité en temps réel, le logiciel SIEM collecte les journaux de plusieurs sources et les transmet à un système de journalisation central. Avec « Qu'est-ce que le SIEM ? » répondu, il est possible d'approfondir les diverses méthodes utilisées par les outils SIEM

Collecte de journaux basée sur un agent

Cette agrégation de journaux se produit au niveau local. Les agents sont dotés de filtres de journaux et de capacités de normalisation, permettant une plus grande efficacité des ressources. Les agents utilisent généralement moins de bande passante réseau, grâce au fait que les données des journaux sont compressées en lots.

Connexion directe

La journalisation sans agent – ​​souvent facilitée par des protocoles réseau ou des appels API – est une autre forme de journalisation SIEM qui permet au programme SIEM de récupérer les fichiers journaux directement à partir du stockage, souvent au format syslog. Les avantages vont de la facilité de déploiement à l’élimination du besoin de mises à jour de logiciels ou de versions – cette option contribue souvent à réduire les coûts de maintenance SIEM.

Protocoles de diffusion d'événements

Alors que les méthodes de journalisation avec et sans agent offrent des moyens distincts de collecter des données, l'architecture basée sur les événements reconceptualise ce processus sous la forme de flux d'événements traversant une rivière. Chaque événement peut être capturé et traité ultérieurement par les consommateurs en aval. NetFlow, un protocole conçu par Cisco, est un exemple de cette approche. Il rassemble le trafic réseau IP chaque fois qu'une interface est entrée ou sortie. L'analyse des données NetFlow permet aux administrateurs réseau de discerner les informations critiques, notamment la source et la destination du trafic, les protocoles utilisés et la durée de la communication. Ces données sont collectées via un collecteur NetFlow, qui capture non seulement les détails essentiels du trafic, mais enregistre également les horodatages, les paquets demandés et les interfaces d'entrée et de sortie du trafic IP.

Face à des attaques de plus en plus sophistiquées, le streaming d'événements joue un rôle crucial en acheminant des informations complètes sur le trafic réseau vers les dispositifs de sécurité, notamment les pare-feu de nouvelle génération (NGFW), les systèmes de détection et de prévention des intrusions (IDS/IPS) et les passerelles Web de sécurité ( SWG).

Dans l’ensemble, la journalisation SIEM apparaît comme un élément central de la cybersécurité moderne, offrant une analyse des menaces en temps réel et historique basée sur les données des journaux. Cependant, il est essentiel de garder à l’esprit les différences entre l’ancienne gestion des journaux et SIEM.

SIEM vs gestion des journaux : principales différences

Bien que les journaux constituent l'épine dorsale des fonctionnalités SIEM, il existe une différence clé entre les processus SIEM et la gestion des journaux. La gestion des journaux implique la collecte, le stockage et l'analyse systématiques des données de journaux provenant de divers canaux. Ce processus offre une perspective centralisée sur toutes les données de journal et est principalement utilisé à des fins telles que la conformité, le dépannage du système et l'efficacité opérationnelle. Cependant, les systèmes de gestion des journaux n'analysent pas automatiquement les données des journaux ; il appartient plutôt à l'analyste de sécurité d'interpréter ces informations et de juger de la validité des menaces potentielles.

SIEM va encore plus loin dans ce processus en croisant les journaux d'événements avec des informations contextuelles relatives aux utilisateurs, aux actifs, aux menaces et aux vulnérabilités. Ceci est réalisé grâce à un large éventail d’algorithmes et de technologies pour l’identification des menaces :
  • Corrélation d'événements implique l’utilisation d’algorithmes sophistiqués pour analyser les événements de sécurité, identifier des modèles ou des relations révélateurs de menaces potentielles et générer des alertes en temps réel.

  • Analyse du comportement des utilisateurs et des entités (UEBA) s'appuie sur des algorithmes d'apprentissage automatique pour établir une base de référence des activités normales spécifiques aux utilisateurs et au réseau. Tout écart par rapport à cette ligne de base est signalé comme une menace potentielle à la sécurité, ce qui permet une identification complexe des menaces et la détection de mouvements latéraux.

  • Orchestration de la sécurité et réponse automatisée (SOAR) permet aux outils SIEM de répondre automatiquement aux menaces, éliminant ainsi le besoin d'attendre qu'un technicien de sécurité examine les alertes. Cette automatisation rationalise la réponse aux incidents et fait partie intégrante du SIEM.

  • Analyse légale du navigateur et analyse des données réseau utilisez les capacités avancées de détection des menaces de SIEM pour identifier les initiés malveillants. Cela implique d’examiner les analyses du navigateur, les données réseau et les journaux d’événements pour révéler d’éventuels plans de cyberattaque.

Attaque interne accidentelle

Un exemple de la façon dont chaque composant peut être mis en pratique est une attaque interne accidentelle.

Ces attaques se produisent lorsque des individus aident par inadvertance des acteurs malveillants externes à avancer au cours d'une attaque. Par exemple, si un employé configurait mal un pare-feu, cela pourrait exposer l’organisation à une vulnérabilité accrue. Reconnaissant l'importance cruciale des configurations de sécurité, un système SIEM peut générer un événement à chaque fois qu'une modification est effectuée. Cet événement est ensuite soumis à un analyste de sécurité pour un examen approfondi, garantissant que la modification était intentionnelle et correctement mise en œuvre, renforçant ainsi l'organisation contre les violations potentielles résultant d'actions internes involontaires.

En cas de piratage pur et simple de compte, UEBA permet de détecter des activités suspectes telles que l'accès du compte aux systèmes en dehors de son schéma habituel, le maintien de plusieurs sessions actives ou la modification de l'accès root. Dans le cas où un acteur malveillant tente d'élever ses privilèges, un système SIEM transmet rapidement ces informations à l'équipe de sécurité, facilitant ainsi des réponses rapides et efficaces aux menaces de sécurité potentielles.

Meilleures pratiques de journalisation SIEM

Le SIEM joue un rôle central dans la stratégie de cybersécurité d'une organisation, mais sa mise en œuvre nécessite une approche avisée des journaux et des règles de corrélation au cœur de ces logiciels.

#1. Sélectionnez vos besoins avec une preuve de concept

Lors de l’essai d’un nouvel outil SIEM, les preuves de concepts constituent un terrain d’essai. Pendant la phase PoC, il est crucial de diriger personnellement les journaux vers le système SIEM pour évaluer la capacité de la solution à normaliser les données en fonction d'exigences spécifiques. Ce processus peut être renforcé en incorporant des événements provenant de répertoires non standard dans l'observateur d'événements.

Ce POC est l'endroit où il est possible de déterminer si la collecte de journaux basée sur un agent vous convient le mieux. Si vous souhaitez collecter des journaux sur des réseaux étendus (WAN) et via des pare-feu, l'utilisation d'un agent pour la collecte de journaux peut contribuer à réduire l'utilisation du processeur du serveur. D'un autre côté, la collecte sans agent peut vous soulager des exigences d'installation de logiciels et entraîner une réduction des coûts de maintenance.

#2. Collectez les bons journaux de la bonne manière

Assurez-vous que le système SIEM collecte, regroupe et analyse les données en temps réel provenant de toutes les sources pertinentes, y compris les applications, les appareils, les serveurs et les utilisateurs. Bien que les données constituent un élément essentiel de la capacité SIEM, vous pouvez y contribuer davantage en vous assurant que toutes les facettes de votre organisation sont couvertes.

#3. Journaux de points de terminaison sécurisés

Un obstacle souvent rencontré avec les journaux des points finaux réside dans leur évolution continue, lorsque les systèmes sont déconnectés par intermittence du réseau, par exemple lorsque les postes de travail sont éteints ou que les ordinateurs portables sont utilisés à distance. De plus, la charge administrative liée à la collecte des journaux des points finaux ajoute un réel degré de complexité. Pour relever ce défi, le transfert du journal des événements Windows peut être utilisé pour transmettre un système centralisé sans avoir besoin d'installer un agent ou des fonctionnalités supplémentaires, car il est intrinsèquement disponible dans le système d'exploitation Windows de base.

L'approche de Stellar Cyber ​​en matière de journaux de points de terminaison prend en charge une gamme diversifiée de journaux de points de terminaison, y compris la détection et la réponse des points de terminaison (EDR). En appliquant différentes voies d'alerte à certains sous-ensembles dans différents produits EDR, il devient en outre possible de nettoyer avec précision les informations des journaux de points finaux.

#4. Gardez un œil sur PowerShell

PowerShell, désormais omniprésent sur toutes les instances Windows à partir de Windows 7, est devenu un outil réputé pour les attaquants. Cependant, il est essentiel de noter que PowerShell, par défaut, n’enregistre aucune activité – cela doit être explicitement activé.

Une option de journalisation est Module Logging, qui fournit des informations détaillées sur l'exécution du pipeline, englobant l'initialisation des variables et les appels de commandes. En revanche, Script Block Logging surveille de manière exhaustive toutes les activités PowerShell, même lorsqu'elles sont exécutées dans des scripts ou des blocs de code. Ces deux éléments doivent être pris en compte pour produire des données précises sur les menaces et les comportements.

#5. Profitez de Sysmon

Les ID d’événement sont essentiels pour fournir un contexte supplémentaire à chaque action suspecte. Microsoft Sysmon fournit des informations détaillées sur les événements telles que la création de processus, la connexion réseau et les hachages de fichiers. Lorsqu’elle est correctement corrélée, cela peut aider à détecter les logiciels malveillants sans fichier qui pourraient autrement échapper aux antivirus et aux pare-feu.

#6. Alerter et répondre

Malgré la puissance analytique que le machine learning confère aux outils SIEM, il est essentiel de le contextualiser dans le cadre plus large de votre sécurité globale. Les principaux responsables sont vos analystes de sécurité : un plan de réponse aux incidents fournit des lignes directrices explicites à chaque partie prenante, permettant un travail d'équipe fluide et efficace.

Le plan devrait nommer un haut dirigeant comme principale autorité responsable de la gestion des incidents. Bien que cette personne puisse déléguer des pouvoirs à d'autres personnes impliquées dans le processus de gestion des incidents, la politique doit explicitement spécifier un poste particulier avec la responsabilité principale de la réponse aux incidents.

À partir de là, tout dépend des équipes de réponse aux incidents. Dans le cas d’une grande entreprise mondiale, il peut y en avoir plusieurs, chacune dédiée à des zones géographiques spécifiques et dotée d’un personnel dédié. D’un autre côté, les petites organisations peuvent opter pour une seule équipe centralisée, faisant appel à temps partiel à des membres de diverses parties de l’organisation. Certaines organisations peuvent également décider d'externaliser certains ou tous les aspects de leurs efforts de réponse aux incidents.

Garantir la coopération de toutes les équipes sont des playbooks, qui servent de base à des réponses matures aux incidents. Malgré la nature unique de chaque incident de sécurité, la majorité a tendance à adhérer à des modèles d’activité standard, ce qui rend les réponses standardisées très bénéfiques. Au fur et à mesure que cela se produit, un plan de communication en réponse à un incident décrit la manière dont les différents groupes communiquent lors d'un incident actif, y compris le moment où les autorités doivent être impliquées.

5. Définir et affiner les règles de corrélation des données

Une règle de corrélation SIEM sert de directive au système, indiquant des séquences d'événements pouvant suggérer des anomalies, des failles de sécurité potentielles ou une cyberattaque. Il déclenche des notifications aux administrateurs lorsque des conditions spécifiques, telles que l'apparition des événements « x » et « y » ou « x », « y » et « z » ensemble, sont remplies. Compte tenu de la grande quantité de journaux documentant des activités apparemment banales, une règle de corrélation SIEM bien conçue est cruciale pour passer au crible le bruit et identifier les séquences d'événements indiquant une cyberattaque potentielle.

Les règles de corrélation SIEM, comme tout algorithme de surveillance d'événements, peuvent potentiellement produire des faux positifs. Des faux positifs excessifs peuvent faire perdre du temps et de l’énergie aux administrateurs de sécurité, mais atteindre zéro faux positif dans un SIEM fonctionnant correctement n’est pas pratique. Par conséquent, lors de la configuration des règles de corrélation SIEM, il est essentiel de trouver un équilibre entre minimiser les alertes faussement positives et garantir qu’aucune anomalie potentielle indiquant une cyberattaque n’est négligée. L'objectif est d'optimiser les paramètres des règles pour améliorer la précision de la détection des menaces tout en évitant les distractions inutiles causées par des faux positifs.

SIEM et gestion des journaux de nouvelle génération avec Stellar Cyber

La plate-forme de Stellar Cyber ​​intègre le SIEM de nouvelle génération en tant que capacité inhérente, offrant une solution unifiée en consolidant plusieurs outils, notamment NDR, UEBA, Sandbox, TIP, etc., dans une seule plate-forme. Cette intégration rationalise les opérations dans un tableau de bord cohérent et accessible, entraînant une réduction significative des coûts d'investissement. Notre gestion des journaux SIEM est optimisée par une automatisation qui permet aux équipes de garder une longueur d'avance sur les menaces, tandis que la conception de Next Gen SIEM permet aux équipes de lutter efficacement contre les attaques modernes. Pour en savoir plus, vous pouvez réserver une démo pour notre Plateforme SIEM nouvelle génération.