Administrateur Réseau

Tout ce que vous devez savoir sur SIEM

Guide SIEM



Qu’est-ce que le SIEM ?

Les ordinateurs, les périphériques réseau et de sécurité, ainsi que les applications qui s'exécutent sur eux, génèrent des enregistrements appelés journaux qui consistent en une série de messages chronologiques décrivant les activités en cours au sein du système ou du réseau. Les données de journal représentent les empreintes numériques des activités qui se produisent au sein du réseau ou du système. Ces données peuvent être transmises à une plateforme centrale qui peut être examinée pour détecter des activités anormales.

Une gestion des informations et des événements de sécurité (SIEM) fournit une plate-forme centralisée unique pour la collecte, la surveillance et la gestion des événements liés à la sécurité et des données de journalisation dans toute l'entreprise. Étant donné qu’un SIEM corrèle les données provenant d’une grande variété de sources de données événementielles et contextuelles, il peut permettre aux équipes de sécurité d’identifier et de répondre aux modèles de comportement suspects plus efficacement qu’il ne serait possible d’examiner les données de systèmes individuels.



Le terme SIEM a été inventé en 2005 par deux analystes de Gartner, Mark Nicolett et Amrit Williams, lorsqu'ils ont proposé un nouveau système d'information de sécurité combinant les anciennes solutions de gestion des informations de sécurité (SIM) et de gestion des événements de sécurité (SEM). SIEM s'est développé suite à la nécessité de faire face au barrage d'alertes provenant d'événements émanant d'infrastructures de sécurité réseau telles que les pare-feu, la sécurité des points finaux, les systèmes de prévention des intrusions (IPS), les systèmes de détection d'intrusion (IDS), les points d'accès sans fil et autres périphériques réseau qui submergeaient le service informatique. En aidant les organisations à regrouper et à mieux analyser les événements au sein du réseau, SIEM les aide à améliorer la détection des menaces.

Contenu [ cacher ]



Comment fonctionne le SIEM

Le logiciel SIEM fonctionne en rassemblant les données de journaux et d'événements générés par divers périphériques et applications de réseau et de sécurité tels que IPS/IDS, pare-feu et applications antivirus au sein de l'organisation, en les regroupant dans une seule plate-forme centralisée. Il analyse et trie ensuite les données collectées en divers groupes ou classifications, tels que les échecs de connexion, les connexions à partir de régions ou d'adresses IP inattendues, les analyses de ports, les tentatives d'exploitation et autres activités malveillantes.

Lorsqu'une anomalie est détectée, le logiciel déclenche une alerte et définit un niveau de menace basé sur des règles prédéterminées. Par exemple, une personne essayant de se connecter à un compte à partir d’un emplacement ou d’une adresse IP inhabituelle peut être signalée comme une anomalie. En surveillant un SIEM, les équipes de sécurité et de réponse aux incidents peuvent repérer les activités susceptibles d'identifier des activités malveillantes. Le SIEM est capable d’identifier les menaces potentielles sur la base de corrélations entre divers événements liés à la sécurité, qui ne fourniraient pas nécessairement en eux-mêmes des indicateurs d’attaque.

L’équipe de réponse aux incidents de sécurité déterminera la plausibilité des menaces identifiées et, si nécessaire, lancera des mesures correctives. L'application SIEM soutient les équipes de sécurité de deux manières principales :

  • Produisez des rapports sur les incidents et événements liés à la sécurité, tels que les connexions réussies et échouées, l'activité des logiciels malveillants et d'autres activités potentiellement malveillantes.
  • Envoyez des alertes si l'analyse montre qu'une activité s'exécute par rapport aux lignes de base et aux règles définies et indique ainsi un problème de sécurité potentiel.
Présentation des fonctionnalités clés de la solution SIEM
Figure 1.0 Présentation des fonctionnalités clés de la solution SIEM

Pourquoi le SIEM est-il important ?

La sécurité est assurée grâce à une combinaison d’efforts de prévention, de détection et de réponse. Les cyberattaques d’aujourd’hui sont devenues beaucoup plus sophistiquées que jamais. C’est dans la prévention que nous avons vu pour la première fois des produits et services de sécurité commercialisés en masse. Les méthodes traditionnelles de prévention des attaques telles que les pare-feu et les antivirus ne suffisent plus. De nos jours, la plupart des failles de sécurité relèvent davantage de la détection et de la réponse que de la prévention. Les systèmes de détection et de prévention des intrusions (IDS/IPS) à eux seuls ne seront pas en mesure de détecter ou de prévenir les attaques potentielles. C'est pourquoi un SIEM est si essentiel. Une solution SIEM est un excellent moyen pour les organisations de gérer leurs problématiques de cybersécurité, notamment dans les domaines suivants :

Détection des incidents : Une solution SIEM utilise des techniques de corrélation et des analyses de comportement pour détecter les menaces et les activités malveillantes dans un réseau. Il analyse les entrées de journal provenant de diverses sources pour révéler des incidents qui autrement pourraient passer inaperçus. De plus, puisqu'il rassemble des événements provenant de sources réparties sur le réseau, le système peut corréler et reconstruire les événements de sécurité et les entrées de journal pour identifier les signes d'activité malveillante.

Alors qu'un IPS/IDS réseau, un pare-feu ou un antivirus peuvent détecter et empêcher certaines activités et attaques malveillantes, un système SIEM peut déterminer si, par exemple, un hôte d'un réseau a été infecté par un robot spammeur, ce qui l'a ensuite amené à envoyer des e-mails en masse non sollicités. messages de spam. Un SIEM se concentre sur la détection des activités associées à une attaque plutôt que sur l’attaque elle-même. Si le SIEM détecte une activité impliquant une menace connue, il peut alors prendre des mesures en communiquant et en dirigeant d'autres dispositifs de sécurité réseau, tels que des pare-feu, pour bloquer ou mettre fin à ces activités malveillantes afin d'empêcher de manière proactive une attaque. Cela améliore considérablement l’efficacité de la gestion des incidents.

Atténuation des menaces internes : Les mesures de sécurité conventionnelles ont tendance à se concentrer davantage sur les menaces extérieures. Mais il existe également des menaces malveillantes qui émanent de l’intérieur de l’organisation. C’est ce qu’on appelle une menace interne. Les menaces internes peuvent s’avérer encore plus difficiles à détecter ou à prévoir que les menaces externes.

La bonne nouvelle est que les SIEM peuvent être configurés pour surveiller et conserver un enregistrement continu des comportements des utilisateurs, des modèles d'utilisation des comptes privilégiés et de service, entre autres, et créer des alertes. Ceci est rendu possible grâce à une technique moderne appelée User and Entity Behaviour Analytics (UEBA). L'UEBA fonctionne en agrégeant des données sur les comportements des utilisateurs qui peuvent ensuite être analysées pour déceler des anomalies sur la base de références établies. Tout écart par rapport aux lignes de base établies peut déclencher une alerte afin que votre équipe de sécurité puisse enquêter.

Conformité réglementaire : La conformité réglementaire est un enjeu majeur dans les affaires. Les entreprises dépensent de l’argent là où les auditeurs et les régulateurs les y obligent, et l’échec des audits de conformité pourrait entraîner de lourdes amendes. Il s’agit d’un élément nécessaire mais souvent compliqué des entreprises modernes. Bien que l'objectif principal du SIEM soit d'améliorer les capacités de détection des menaces et de réponse aux incidents, les SIEM peuvent être d'une importance cruciale pour aider les organisations à répondre aux exigences réglementaires telles que PCI DSS, FISMA, GLBA, SOX, HIPAA et ISO 27001, et pour établir la preuve qu'elles le font.

Avec les SIEM, par exemple, les organisations peuvent facilement rationaliser les efforts de reporting de conformité grâce à une journalisation centralisée. Chaque hôte qui doit inclure ses événements de sécurité consignés dans les rapports transfère régulièrement ses données de journal vers un serveur SIEM. Un seul serveur SIEM reçoit les données de journalisation de nombreux appareils du réseau et peut générer de riches rapports personnalisés traitant de toutes les informations pertinentes requises par les différents organismes de réglementation.

Collecte et analyse de données : À mesure que les organisations développent leur infrastructure réseau, les risques de perdre une visibilité complète au sein du réseau augmentent. Cela crée indirectement des « points morts ou sombres » au sein du réseau. Les cybercriminels aiment se cacher sous ces coins sombres pour perpétrer leurs activités malveillantes.

Les solutions SIEM aident les organisations à obtenir un aperçu et une visibilité sur ce qui se passe dans leurs réseaux. Les données collectées à partir des informations sur les événements de sécurité sur l'ensemble du réseau sont ensuite normalisées (reformatées) pour des raisons de cohérence, de corrélation et d'analyse faciles. Cela permet de découvrir les activités malveillantes sur le réseau, empêchant ainsi les mauvais acteurs de dissimuler leurs traces.

SIEM nouvelle génération

Le paysage de la cybersécurité est en constante évolution, même à mesure que la technologie progresse, et le SIEM doit évoluer avec lui. De nombreuses menaces modernes sont désormais capables de modifier leur comportement pour échapper à la détection. Pour qu’un SIEM soit efficace, il doit rester pertinent face à un paysage de menaces changeant et à une infrastructure réseau moderne. Cependant, une solution SIEM traditionnelle est souvent à la traîne face à ces exigences modernes et n’a pas la capacité de produire des informations exploitables. D'autres problèmes tels que des ensembles de données rigides et un nombre élevé de faux positifs (rapport signal/bruit élevé), entre autres, contribuent à limiter l'efficacité des SIEM traditionnels. En conséquence, les équipes de sécurité peuvent avoir du mal à justifier les coûts d'investissement continus tels que la gestion du système, l'intégration de sources de données supplémentaires, la formation du personnel et bien sûr le renouvellement annuel des licences.

Un SIEM moderne doit être réactif à l’architecture réseau fluide d’aujourd’hui et à l’évolution du paysage des menaces, en capturant des données et en générant des informations que les équipes de sécurité peuvent utiliser comme renseignements pour détecter et répondre aux menaces potentielles avant qu’aucun dommage ne soit réalisé. Compte tenu des limites des systèmes SIEM traditionnels, une demande est apparue pour des outils capables de fournir des informations exploitables tout en optimisant les investissements de sécurité actuels et futurs, ce qui a donné lieu à l'émergence de SIEM de nouvelle génération. Le SIEM de nouvelle génération augmente les capacités traditionnelles telles que la journalisation des événements, la reconnaissance de formes et les alertes avec des technologies modernes telles que l'automatisation et la réponse de Security Orchestration (SOAR), l'analyse du comportement des utilisateurs et des entités (UEBA), l'analyse basée sur le cloud, l'apprentissage automatique et l'intelligence artificielle. intelligence (IA).

SOAR est un domaine de sécurité en pleine croissance que les fournisseurs SIEM de nouvelle génération exploitent pour aider à automatiser l'analyse des incidents et les procédures de réponse. L'orchestration qui est au cœur de la technologie SOAR implique toujours des personnes. Cependant, certaines parties nécessitent une automatisation. Le processus décisionnel fondamental centré sur l’humain doit être aidé par la technologie et c’est ce qui MONTER représente. Grâce aux SIEM compatibles SOAR, les organisations peuvent collecter des données sur les menaces de sécurité provenant de plusieurs sources et répondre aux événements de sécurité de bas niveau sans assistance humaine. Ces activités de réponse peuvent inclure la désactivation des comptes d'utilisateurs compromis ou le blocage de ports ou d'adresses IP sur un pare-feu. Il permet également aux organisations de définir des procédures d'analyse des incidents et de réponse dans un format de flux de travail numérique ; les alertes des systèmes SIEM peuvent prioriser et piloter des activités standardisées de réponse aux incidents.

L’objectif est d’améliorer l’efficacité des opérations de sécurité et des activités de réponse. En automatisant les actions de routine, SOAR aide les équipes de sécurité à devenir plus efficaces et leur libère du temps pour des tâches plus exigeantes. Le SIEM de nouvelle génération peut automatiser et hiérarchiser les actions qui permettent d'améliorer le flux de travail et la productivité en matière de sécurité organisationnelle. Des impacts positifs peuvent être attendus dans tout domaine dans lequel des actions peuvent être orchestrées.

Une autre caractéristique importante des SIEM de nouvelle génération est l’utilisation de la technologie UEBA. Les solutions UEBA utilisent des analyses pour créer des profils et des comportements standard des utilisateurs et des entités, puis les activités anormales par rapport à ces lignes de base standard sont présentées comme suspectes. Ceci est réalisé en analysant les journaux de données historiques collectés et stockés dans les systèmes SIEM pour identifier les modèles de trafic provoqués par les comportements des utilisateurs, à la fois normaux et malveillants. Les systèmes SIEM compatibles UEBA n'agissent pas en fonction de leurs résultats, mais sont plutôt destinés principalement à fournir aux équipes de sécurité des informations exploitables. Les SIEM pris en charge par l'UEBA peuvent être extrêmement utiles aux organisations pour identifier les comptes compromis, ainsi que les menaces internes. Il fonctionne en utilisant des techniques avancées d’apprentissage automatique et de profilage comportemental pour identifier les acteurs malveillants et les activités anormales.

Les SIEM de nouvelle génération dotés de capacités SOAR et UEBA sont essentiels pour identifier les menaces cachées ; ils sont de plus en plus déployés dans le cloud pour permettre aux organisations de gérer et de surveiller une infrastructure hybride moderne (systèmes cloud, sur site et BYOD) comme une seule entité.

Réponse à l'incidenceLa gestion de casMONTER
Détection des menacesRègles de corrélation statiqueUEBA
Architecture de stockageSchémaNon-schéma
Collecte de donnéesGestion des données propriétairesFuites de données de sécurité évolutives
Modèle de déploiementPrincipalement sur siteCloud/hybride/sur site

Figure 2.0 Comparaison entre le SIEM traditionnel et le SIEM de nouvelle génération

Choisir la bonne solution SIEM pour votre organisation

Avec une variété de solutions SIEM telles que celles d'IBM, Intel, HE, SolarWinds, Manage Engine et même des options open source, choisir celle qui convient le mieux à votre entreprise et à votre budget peut s'avérer difficile. Comme la plupart des solutions de sécurité réseau, toutes les solutions SIEM ne sont pas égales. Ce qui convient parfaitement du point de vue du prix, des caractéristiques et des fonctionnalités à une organisation peut ne pas convenir à une autre. Vous devez prendre en compte divers facteurs, parmi lesquels :

  • La solution SIEM est-elle capable de répondre aux exigences de sécurité et de conformité de votre organisation ?
  • Le SIEM peut-il compléter les capacités de journalisation existantes ?
  • Dans quelle mesure le SIEM fournit-il une prise en charge native pour les sources de journaux pertinentes ?
  • Le produit SIEM offre-t-il des capacités d'investigation, d'analyse des données et de réponse automatisée ?
  • La solution SIEM possède-t-elle les capacités des fonctionnalités SIEM de nouvelle génération telles que SOAR et UEBA ?
  • L’assistance du fournisseur est-elle disponible dans votre région et dans quelle mesure ?
  • Quel est le coût total de possession ?

Avec le bonne solution SIEM , votre organisation peut capturer des informations et des informations exploitables que les équipes de sécurité peuvent utiliser comme renseignements pour détecter les activités potentiellement malveillantes avant qu'un dommage ne se matérialise.

^