Cas d'utilisation SIEM : automatisation de la sécurité pour une protection complète
Savoir exploiter la puissance analytique de votre outil de sécurité est essentiel pour obtenir une visibilité et une efficacité totales. La flexibilité des outils critiques comme un SIEM (Security Information and Event Management) permet une gestion des journaux inégalée, mais la multitude de paramètres, de règles et d'options peut rendre cette gestion difficile à gérer et à définir. Pour qu'un SIEM reste performant, il est essentiel de définir ses cas d'utilisation précis et d'affiner ses performances à partir de là. S'ils sont correctement mis en œuvre, les systèmes SIEM fournissent des informations inégalées sur les événements potentiels, les activités des comptes et les exigences réglementaires. Ce guide couvre la myriade de cas d'utilisation SIEM approfondis et vous montre comment créer le vôtre.
SIEM nouvelle génération
Stellar Cyber Next-Generation SIEM, en tant que composant essentiel de la plateforme Stellar Cyber Open XDR...
Découvrez la sécurité basée sur l'IA en action !
Découvrez l'IA de pointe de Stellar Cyber pour une détection et une réponse instantanées aux menaces. Planifiez votre démo dès aujourd'hui !
Comment l'IA fait progresser le SIEM
L'intégration de l'IA SIEM rationalise la capacité de traitement et d'analyse des informations de sécurité. Du point de vue d'un analyste de sécurité, l'intégration de GenAI dans les solutions SIEM commence à accélérer les tâches de recherche et de réponse. Pour une exploration approfondie de la manière dont les LLM complètent les outils SIEM, voir notre guide ici.
Une grande partie de cette accélération se situe au niveau du moteur d'analyse central du SIEM : l'apprentissage automatique était déjà un élément essentiel de la capacité du SIEM à trier et analyser les pans de données de journaux ingérés, mais la vague actuelle de détection des menaces pilotée par l'IA permet des approches beaucoup plus rapides et plus précises. Cela permet aux outils SIEM actuels d'automatiser davantage d'analyses de fichiers journaux avec une précision plus grande que jamais auparavant.
Pour Stellar Cyber, ce processus permet non seulement une analyse des journaux de base, mais également un examen plus approfondi des incidents. Notre IA ingère les alertes provoquées par des anomalies de journaux et les compare à d'autres alertes générées dans les systèmes connectés ; celles-ci sont ensuite regroupées en incidents complets. Les alertes ponctuelles sont évaluées en fonction de leur probabilité d'anomalie et sont complètement abandonnées si elles sont des faux positifs.
Bien entendu, cela exige que les sources de logs connectées au SIEM englobent l'intégralité des appareils, des terminaux et des serveurs d'une entreprise. C'est là que l'IA permet également d'améliorer considérablement le temps moyen de détection (MTTD) : non seulement en ajoutant des appareils sur les réseaux, mais aussi en normalisant les types de données extrêmement disparates que chacun produit. Collectivement, l'automatisation du SIEM et l'architecture Big Data sur laquelle elle repose soulignent les grands progrès actuels en matière d'efficacité et de prévention des menaces.
Plongeons-nous dans les cas d’utilisation individuels que les SIEM font progresser.
Principaux cas d'utilisation SIEM
Gestion centralisée et rentable des journaux
Les journaux offrent à l'équipe de sécurité d'une entreprise une visibilité approfondie sur les actions qui se produisent sur sa surface d'attaque. Mais comme chaque action sur chaque serveur, appareil et pare-feu crée un journal individuel, la quantité considérable de ces journaux peut rendre leur surveillance manuelle extrêmement chronophage. Les SIEM ingèrent l'intégralité de ces données avec des agents, ou directement via des syslogs, puis s'appuient sur un processus d'analyse automatisé.
Au fur et à mesure que les données circulent dans l'entonnoir des journaux, ces centaines de millions d'entrées de journal sont réduites à une poignée d'alertes de sécurité exploitables. Dans Stellar Cyber, ce processus est piloté par Graph ML. Une optimisation supplémentaire dans ce cas d'utilisation s'est concentrée sur le stockage, l'indexation et la priorisation de ces journaux. L'architecture Big Data permet désormais une plus grande efficacité en termes de coûts et de performances grâce au stockage évolutif basé sur le cloud. Avec un SIEM de nouvelle génération comme Stellar Cyber, ce stockage peut également varier en fonction de l'urgence de journaux spécifiques. Les données chaudes qui doivent être utilisées pour la gestion des journaux en temps réel sont hébergées sur un stockage hautes performances, tandis que les données médico-légales nécessaires à la conformité (plus d'informations à ce sujet dans un instant) peuvent être conservées dans un stockage froid et peu coûteux.
Avec des journaux correctement gérés, il est important d'établir précisément ce que votre SIEM fait avec ces journaux.
Détection des attaques de phishing
Le phishing est l'un des vecteurs d'attaque les plus populaires, car les humains sont le composant le moins corrigeable de la surface d'attaque d'une entreprise : la visibilité du SIEM sur les terminaux le place en bonne position pour identifier les communications malveillantes et les empêcher d'atteindre et d'affecter les utilisateurs finaux.
Cela est rendu possible grâce à la grande diversité des données ingérées : il peut s'agir de messages électroniques et de leur contexte, de données de passerelle de messagerie et d'analyse de domaine. Au niveau du message individuel, les communications suspectes peuvent être identifiées et évitées grâce à des journaux qui cartographient l'historique des conversations et à un LLM qui examine les intentions malveillantes. De nombreuses attaques de phishing réussies reposent sur la redirection des victimes vers des domaines typosquattés : les journaux au niveau du réseau sont capables d'évaluer la légitimité et les comportements prévus des pages Web et des applications avant que l'utilisateur n'accède à ces sites malveillants.
Chaque aspect individuel (une URL douteuse, un domaine légèrement mal orthographié et un message très stressant) sont tous référencés les uns par rapport aux autres et créent un score de risque pour le cas d'utilisation du phishing.
Détection d'une menace d'initié
Les solutions SIEM résolvent le problème des menaces internes autrement indétectables en surveillant les activités de chaque utilisateur et en identifiant les modèles normaux de comportement des utilisateurs. Par exemple, Mark, du service commercial, passe généralement la majeure partie de sa journée à interagir avec le CRM, le système VoIP et ses e-mails. Si son appareil commence soudainement à effectuer un grand nombre d'analyses de ports et à échouer à plusieurs reprises lors des tentatives de connexion, l'outil SIEM approprié peut rapidement alerter l'équipe de cybersécurité d'une éventuelle compromission de compte.
Les analyses du comportement des utilisateurs au sein des SIEM peuvent détecter presque tout changement soudain dans l'activité du compte : certaines des détections les plus simples reposent sur les heures de connexion, tandis que d'autres prennent en compte les applications en cours d'exécution, les données et les activités du compte.
Protection contre les ransomwares et les logiciels malveillants
En plus d'identifier les comptes volés, les outils SIEM sont capables d'identifier les tentatives d'infection par ransomware. Ce type d'attaque voit les cybercriminels tenter de voler et de crypter les données d'une entreprise, avant d'exiger le paiement d'une rançon pour leur restitution.
La granularité introduite par la visibilité complète des logs permet de décomposer les ransomwares en trois étapes clés et de mettre en œuvre un certain nombre de mécanismes de prévention pour chaque phase. La première est la phase de distribution, où le ransomware existe sous la forme d'un exécutable sournois intégré à un téléchargement de fichier malveillant. Les SIEM sont capables de détecter et d'empêcher automatiquement de nombreuses tentatives de distribution, comme le phishing, mais de nouvelles méthodes de distribution évoluent constamment. L'étape suivante est donc la phase d'infection. C'est là que, si le ransomware a utilisé un dropper pour rester sous le radar, ce dropper établit une connexion avec le serveur de commande et de contrôle. Un SIEM est également capable de détecter les indicateurs malveillants de compromission en découvrant des connexions inattendues et en décodant les fichiers associés.
La dernière étape est la reconnaissance et le chiffrement : elle comprend la copie, l'extraction et enfin le chiffrement des fichiers. La découverte de ces comportements est, une fois de plus, la détection de ransomware SIEM : si le SIEM découvre une suppression et une création excessives de fichiers, ou détecte une quantité suspecte de fichiers déplacés, il y a alors une forte probabilité de ransomware, et l'équipe de sécurité est immédiatement alertée et les actions malveillantes sont stoppées.
Gestion de la conformité
Les normes industrielles sont très exigeantes envers les entreprises concernées : un thème récurrent est la durée de conservation des journaux. PCI DSS, SOX et HIPAA exigent toutes que les journaux soient conservés entre 1 et 7 ans. Cette exigence généralement coûteuse et gourmande en ressources, les SIEM avancés sont beaucoup plus intelligents dans leurs stratégies de stockage des journaux.
D'une part, les serveurs Syslog sont capables de compresser les journaux et donc de conserver une grande quantité de données historiques à moindre coût. D'autre part, il existe des calendriers de suppression adaptés, où les données obsolètes sont supprimées automatiquement. Enfin, les SIEM sont capables de filtrer les journaux qui ne sont pas explicitement requis par la conformité de votre propre secteur.
Surveillance de la sécurité du cloud
Lorsque des services cloud entrent en jeu, l’une des plus grandes différences réside dans le grand nombre de types de sources de données différents qui peuvent exister, en particulier si vous exploitez les offres de plate-forme en tant que service (PaaS) et de logiciel en tant que service (SaaS). Stellar Cyber permet la surveillance du cloud SIEM, quels que soient les types de données spécifiques générés.
Surveillance de la gestion des identités et des accès (IAM)
L'IAM et le SIEM sont des formes de sécurité légèrement différentes : le premier se concentre sur l'identification des personnes ayant accès aux différentes ressources, tandis que le second est avant tout un outil de surveillance des activités en cours de chaque composant logiciel. Cependant, en intégrant les deux systèmes, il devient possible de les renforcer.
Prenons le cas d'utilisation spécifique de l'identification de la création de comptes malveillants : un composant très courant dans la plupart des attaques, si votre système IAM peut identifier une action « d'ajout de compte », votre outil SIEM a de meilleures chances de distinguer rapidement la création de comptes malveillants.
Stellar Cyber réalise la surveillance SIEM IAM grâce à une intégration étroite avec les fournisseurs IAM, et donc à une gestion et une visibilité avancées des accès utilisateurs. Des services comme Azure Active Directory (désormais Microsoft Entra ID) sont utilisés pour enrichir les profils d'incident et fournir des analyses plus approfondies du comportement des utilisateurs. Les règles utilisateur par utilisateur sont applicables, ce qui permet d'automatiser la détection des menaces internes SIEM.
Collectivement, ces cas d’utilisation couvrent de larges pans de la surface d’attaque au sein de différentes entreprises et industries. La partie suivante consiste à déterminer précisément les cas d’utilisation sur lesquels votre organisation doit se concentrer, en particulier lors de la première mise en place.
Comment créer un cas d'utilisation SIEM clair
Stellar Cyber SIEM aborde ces défis en trois volets : tout d'abord, il établit une base de visibilité universelle ; il alimente ensuite un moteur d'analyse à partir d'alertes et met en corrélation les véritables indicateurs d'attaque en « cas ». Enfin, il est possible de répondre aux menaces au sein même du tableau de bord, à la fois manuellement et via des manuels automatisés. Ces analyses, visualisations et réponses intégrées font de Stellar Cyber un SIEM de nouvelle génération.
Capteurs universels pour une visibilité de sécurité optimale
La création de cas d’utilisation SIEM repose sur trois composants principaux :
- Règles : Ils détectent et déclenchent des alertes en fonction d’événements ciblés.
- Logique: Cela définit la manière dont les événements ou les règles sont analysés.
- Action: Cela identifie le résultat de la logique : si ses conditions sont remplies, cela définit ce que le SIEM en fait – soit envoyer une alerte à l'équipe, interagir avec les pare-feu et empêcher le transfert de données, ou simplement surveiller les actions bien menées.
Les cas d'utilisation individuels doivent être guidés par ces trois processus directeurs. À partir de là, cependant, la mise en œuvre du SIEM nécessite un peu d'imagination et d'analyse pour identifier les cas d'utilisation les plus importants dont votre organisation aura besoin. Tenez compte des types d'attaques auxquelles vous pouvez être confronté. Cela implique d'identifier les menaces commerciales pertinentes pour votre organisation et, pour chaque attaque, de les associer aux ressources correspondantes. À la fin de ce processus, vous disposerez d'une carte claire reliant les risques commerciaux à des vecteurs d'attaque spécifiques.
Ensuite, déterminez comment et où ces attaques doivent être traitées en catégorisant les attaques identifiées dans le cadre sélectionné. Par exemple, une attaque par analyse externe peut relever de la reconnaissance ou du ciblage dans votre cadre.
Maintenant, connectez les deux relations : les cas d'utilisation de haut niveau correspondront aux menaces métier identifiées et ils peuvent être décomposés en cas d'utilisation de bas niveau plus spécifiques. Si votre cas d'utilisation de haut niveau est la perte de données, les cas d'utilisation de bas niveau peuvent inclure la compromission du serveur, l'exportation de données ou l'activité non autorisée de l'administrateur.
Chaque cas d'utilisation de bas niveau sera logiquement lié à des types d'attaque spécifiques, ce qui aidera à définir des règles techniques. Ces règles peuvent se chevaucher dans plusieurs cas d'utilisation de bas niveau, et chaque cas d'utilisation peut impliquer plusieurs règles. La définition de cette structure est cruciale, car elle clarifiera le lien entre les sources de journaux et les règles techniques nécessaires pour les mettre en œuvre efficacement.
Une fois que vous aurez défini ces règles, vous serez parfaitement placé pour les définir. Chaque cas d'utilisation granulaire peut correspondre à plusieurs règles, ce qui signifie qu'il est important de conserver une carte des règles que vous établissez. Cela renforce votre capacité de priorisation des risques SIEM.
Une fois ces règles en place, elles nécessitent un développement continu : certains SIEM facilitent ce processus plus que d’autres. Pour Stellar, le résultat des règles actuellement déployées est immédiatement accessible et peut être filtré via les panneaux d’alerte et d’état. Avec des informations sur les tendances indiquant la criticité, les locataires et les manuels, la prochaine étape vers une plus grande efficacité SIEM est toujours claire.
Comment Stellar Cyber automatise vos cas d'utilisation
