Le SIEM (Security Information and Event Management) est une approche du management de la sécurité. Le SIEM donne aux professionnels de la sécurité un aperçu et un historique des activités au sein de leur environnement informatique.
La technologie SIEM existe depuis plus d'une décennie. Elle a évolué initialement de la discipline de gestion des logs. Elle combine :
la gestion des événements de sécurité (SEM), qui analyse les données des journaux et des événements en temps réel pour fournir une surveillance des menaces, la corrélation des événements et la réponse aux incidents ;
avec la gestion des informations de sécurité qui collecte, analyse et établit des rapports sur les données des journaux.
Comment fonctionne un SIEM ?
Le SIEM collecte et agrège les données de journaux générées dans tout votre système d’information, des applications aux périphériques réseau et de sécurité, tels que les pare-feux et les détections antimalware.
Il identifie et catégorise ensuite les incidents et événements, et les analyse. Le logiciel répond à deux objectifs principaux :
Fournir des rapports sur les incidents et événements liés à la sécurité : les connexions réussies et échouées, l'activité des logiciels malveillants et d'autres activités malveillantes possibles.
Envoyer des alertes si l'analyse montre qu'une activité s'exécute sur des ensembles de règles prédéterminées, comme par exemple l'exécution d'un logiciel malveillant, et indique ainsi un problème de sécurité potentiel.
Comparez les différents SIEM du marché
Vous avez le choix d’une multitude de SIEM sur le marché, des solutions libres ou open source à des solutions plus avancées (incluant des mécanismes de machine learning qui détectent les événements de sécurité, par exemple). Pour choisir le SIEM le plus adapté à votre besoin, il peut être intéressant de faire un panorama des solutions existantes.
Cette année, le Gartner a proposé un tableau de comparaison des meilleurs SIEM du marché (en anglais) pour l’aide à décision – je vous invite à y jeter un œil !
Et le SIEM que nous utiliserons dans ce cours ?
Dans ce cours, nous utiliserons la solution open source ELK (Elasticsearch, Logstash, Kibana) qui permet le monitoring de logs et la détection d’alerte. ELK est très intéressant, car il exploite une multitude de sources de données et les visualise de manière graphique.
La suite ELK est composée de 4 outils, qui vous permettra de gérer vos logs dans l'ordre suivant :
Beats, pour l'envoi de logs en fonction des systèmes utilisés : Windows, Linux, logs réseau ;
Logstash, permettant de modifier les données envoyées dans ElasticSearch ;
Elasticsearch, la base de données principale pour le stockage des données ;
et enfin Kibana, l’interface graphique permettant de visualiser les données remontées au moyen de dashboards et l'envoi des alertes...
En résumé
Dans ce chapitre, nous venons de voir le fonctionnement d’un SIEM, qui a pour objectifs :
de fournir des rapports sur les incidents et évènements liés à la sécurité ;
d’envoyer des alertes pour de probables problèmes de sécurité.
Nous avons également vu le SIEM que nous déploierons dans la suite du cours : ELK. Il comprend ElasticSearch, Logstash, Kibana et Beats.
Dans la prochaine partie, nous verrons quels sont les logs d'intérêt, et comment mettre en place la collecte pour certains systèmes clés du SI. Dès que vous êtes prêt, rendez-vous dans la prochaine partie !
