Examen et alternatives SolarWinds SIEM
Vents solairesest le principal fournisseur de logiciels de surveillance et de gestion des infrastructures informatiques. L’offre SolarWinds SIEM porte un nom prêtant à confusion. L'outil se concentre sur les fichiers journaux comme source de données. Cette activité est une caractéristique de Gestion des informations de sécurité (SIM) , un composant du SIEM. L'autre partie du SIEM est Gestion des événements de sécurité (SEM) . Le produit SolarWinds SIEM est appelé leGestionnaire d'événements de sécuritémais c'est une SIM et non un SEM.
Que sont SIM et SEM dans SIEM ?
SIEM représente Gestion des informations de sécurité et des événements . C'est une combinaison de SIM et SEM. SIM gère les fichiers journaux et les utilise comme source de données pour l'analyse des intrusions ; SEM regarde les événements en direct sur le réseau.
La terminologie de base du SIEM est difficile à comprendre lors de l'examen du produit SolarWinds SIEM, car elle traite des fichiers journaux et non des données réseau en direct. Le logiciel n’inclut aucune surveillance du réseau en direct, il ne peut donc pas s’agir d’un SEM.
Le SolarWinds Security Event Manager (SEM) est une carte SIM. C'est un système de détection d'intrusion basé sur l'hôte qui examine le contenu des fichiers journaux pour des modèles d'activités spécifiques. SolarWinds s’est retiré de la surveillance du trafic réseau – le Gestionnaire de journaux et d'événements SolarWinds avait cette capacité. La possibilité d'intégrer des données NetFlow et sFlow en direct dans le moniteur de sécurité a été abandonnée lorsque SolarWinds a réécrit le gestionnaire de journaux et d'événements pour créer le gestionnaire d'événements de sécurité.
Les systèmes SIM présentent de nombreux avantages par rapport aux moniteurs de réseau, car de nombreux types d'attaques sont menés furtivement et aucun élément de trafic ne peut indiquer qu'une telle attaque est en cours. En règle générale, les systèmes SIEM sont destinés à traquer Menaces persistantes avancées (APT) , les menaces internes et les événements de perte de données.
Dans le cas d’une menace persistante avancée, un groupe de pirates informatiques franchit les barrières de défense traditionnelles et établit une présence à long terme dans le système. Cela pourrait se faire en acquérant les informations d’identification d’un compte utilisateur. Les menaces internes se produisent lorsqu'un utilisateur autorisé du système décide d'agir contre les intérêts de l'entreprise. Cela peut être accidentel, car un pirate informatique a trompé la personne en se faisant passer pour un supérieur. D'autres raisons de menaces internes sont le chantage et un sentiment d'hostilité envers l'entreprise après avoir échoué à obtenir une promotion ou avoir été réprimandé.
UN événement de perte de données peut également être accidentel, résulter d'une duperie d'un employé, ou d'un vol ou d'un dommage malveillant. La « perte de données » englobe à la fois la perte réelle de données due à la suppression de fichiers ou aux dommages physiques causés aux serveurs, ainsi que la divulgation non autorisée de données.
Rapports de conformité
L’un des principaux moteurs de l’adoption des systèmes SIEM par tous les types d’entreprises est l’existence de normes de protection des données. Même si ces normes exigent l'introduction de mesures de sécurité pour protéger les données , ils ne s’attendent pas entièrement à ce qu’il n’y ait jamais de perte de données.
Des normes en matière de protection des données sont établies procédures de déclaration que peuvent entreprendre les entreprises lésées afin d'informer de l'événement ceux dont les données ont été volées dans leur système. L’honnêteté concernant une violation est presque aussi importante que la sécurité des données.
Un troisième élément clé des normes de protection de la sécurité réside dans audit du système . Un audit tiers effectué chaque année vise à confirmer que l'entreprise est restée en conformité avec une norme particulière, soit en bloquant toutes les tentatives de vol de données, soit en déclarant un événement dans les meilleurs délais après qu'il se soit produit. Ces trois exigences des normes de protection des données peuvent être satisfaites en utilisant pleinement les fichiers journaux.
Tous les messages système doivent être collectés et classés. La structure des répertoires et la méthodologie de rotation des fichiers du magasin de messages de journaux doivent être un système logique et organisé qui facilite la récupération rapide des données. Le gestionnaire de journaux doit également inclure des utilitaires permettant de rechercher, trier et regrouper rapidement les données.
SolarWinds SEM comprend des fonctions de gestion des journaux et des formats de rapport très compétents qui le rendent capable de prouver la conformité à une liste de normes de sécurité des données, notamment PCI DSS , SOX , HIPAA , GLBA , et NERC-CIP .
Présentation du gestionnaire d’événements de sécurité SolarWinds
Le gestionnaire d’événements de sécurité SolarWinds s’appelait à l’origine Log and Event Manager. En plus de collecter les messages de journal générés par les systèmes d'exploitation, les micrologiciels et les logiciels, le moniteur de sécurité génère ses propres messages de journal qui contribuent à la surveillance d'un système.
Gestionnaire de journaux
L'objectif principal de l'outil est de collecter tous les messages de journal disponibles , consolidez-les en les reformatant dans un format commun, puis classez ces messages.
Le SEM affiche les messages de journal en direct dans la console au fur et à mesure de leur découverte. Cela donne au système une vue quasi en direct d'événements sur les réseaux. Ces fichiers sont ensuite stockés dans un format consultable et le SEM comprend des outils pour traiter les données dans des fichiers journaux à des fins d'analyse.
Le gestionnaire de fichiers journaux fournit des fonctionnalités permettant d'accéder instantanément aux journaux récents et d'archiver les fichiers journaux plus anciens avec une méthode de restauration à chaque fois qu'ils sont nécessaires.
Moniteur d'intégrité des fichiers
Le moniteur d'intégrité des fichiers (FIM) intégré auGestionnaire d’événements de sécurité SolarWindsest une installation essentielle pour toute entreprise qui s'appuie sur le contenu des fichiers journaux pour la surveillance de la sécurité. Pirates informatiques connaissant les systèmes SIEM – et ils sont tous – il suffit d’accéder aux fichiers journaux et de supprimer toute preuve de leurs activités afin de rester caché. FIM bloque la falsification des fichiers journaux et peut également protéger tout autre type de fichier ou de fichiers stockés dans des répertoires spécifiques.
Le FIM enregistre les noms d'utilisateur de tous les accesseurs dans un fichier protégé et enregistre tous les événements d'accès. La protection des fichiers journaux est automatique et le FIM recherche également l'activité des logiciels malveillants dans les fichiers. Le service peut tuer les processus malveillants qui sont détectés en train de tenter d'accéder aux fichiers.
Flux de renseignements sur les menaces
Les renseignements sur les menaces sont une caractéristique clé dans la définition d’un SIEM. Les recherches de journaux doivent avoir un objectif spécifique pour être considérées comme une action de sécurité et une base de règles d'anomalies à surveiller rend ces recherches significatives.
SolarWinds fournit périodiquement un flux de renseignements sur les menaces sur Internet à toutes les instances en cours d’exécution de Security Event Manager. Ce flux se présente sous la forme d'ajustements des algorithmes de recherche utilisés par SEM pour détecter les comportements suspects lors de l'analyse des fichiers journaux.
Règles de détection Les informations transmises avec les mises à jour des renseignements sur les menaces comprennent des listes d'adresses IP et de domaines considérés comme les bases des opérations utilisées par les pirates.
Analyse médico-légale
Les journaux corrélés SEM fournissent des données sources que le système de sécurité peut rechercher en relation avec le anomalies mis en évidence par les règles adoptées avec le flux de renseignements sur les menaces. Ces données sont également disponibles pour une analyse manuelle, assistée par les outils de recherche de données et les outils de représentation graphique des données disponibles dans la console Security Event Manager.
Alors que le système de détection automatisé détecte une intrusion, le analyseur de journaux donne à l’équipe technique la possibilité de parcourir les enregistrements historiques pour rechercher des preuves de l’entrée initiale de cet intrus dans le réseau.
Informations tirées de ces enquêtes sur les causes profondes permettre à l’équipe de gestion technique d’identifier les vulnérabilités du système afin de pouvoir renforcer l’infrastructure contre la répétition de cette tentative. L'analyse des journaux peut également identifier un compte utilisateur piraté .
Réponse automatisée aux incidents
Le Security Event Manager est capable de surveiller d'autres outils de sécurité, notamment les pare-feu. L'interaction avec les pare-feu est un canal bidirectionnel . Cela permet au SEM d’agir dès la découverte d’une intrusion. Le système peut modifier les règles de pare-feu pour bloquer l’accès à l’adresse IP d’un intrus ou bloquer un domaine qui est la source de pages Web ou de courriers électroniques infectés.
L'autre objectif principal de la réponse automatisée est Active Directory . Le SEM peut être autorisé à suspendre les comptes d'utilisateurs identifiés comme la source de l'activité anormale ou des tentatives répétées d'accès non autorisé aux fichiers. D’autres réponses peuvent être le sandboxing des téléchargements et la suppression des processus suspects.
La section de réponse aux menaces de Security Event Manager est appelée Réponse active . En plus d'interagir avec les pare-feu, ce module est capable de mettre en œuvre d'autres workflows en fonction du type de menace détectée.
Les déclencheurs des réponses automatisées sont les alertes générés par les processus analytiques du SEM. La réponse n'est pas automatique. L'utilisateur décide d'activer ou non les réponses automatisées et les règles qui déclenchent les actions peuvent être modifiées.
Les gestionnaires de système qui se méfient de l'automatisation peuvent réduire l'étendue de l'automatisation à un simple e-mail générique pouvant être envoyé en réponse à une attaque identifiée. Dans tous les cas, toutes les alertes sont affichées dans la console système et peuvent également être distribuées au personnel clé sous forme d'e-mails ou de SMS.
Tableau de bord du gestionnaire d'événements de sécurité SolarWinds
Le tableau de bord de Security Event Manager est accessible via un navigateur. L'écran principal de la console affiche une grille chargée de données récapitulatives, principalement représentées sous forme de graphiques et de diagrammes.
Les écrans de détails de recherche de journaux contiennent principalement du texte pour le contenu plutôt que des graphiques. L'objectif principal de ces écrans est les enregistrements extraits des fichiers journaux.
Options de configuration SIEM de SolarWinds
SIEM SolarWindss’exécute sur une machine virtuelle – c’est une appliance virtuelle. Le logiciel peut être installé sur les serveurs Microsoft Azure et Amazon Web Services (AWS). Ceux qui souhaitent installer SolarWinds Security Event Manager devront l'exécuter sur Hyper-V ou VMWare vSphere.
Les agents SEM pour la collecte de journaux seront installés sur :
- HPUX sur Itanium
- IBM AIX 7.1 TL3, 7.2 TL1 et versions ultérieures
- Linux
- macOS Mojave, Sierra, High Sierra
- Oracle® Solaris 10 et versions ultérieures
- Windows (10, 8, 7, Vista)
- Windows Serveur (2019, 2016, 2012, 2008 R2)
L'accès à distance à la console est possible avec les navigateurs Google Chrome et Mozilla Firefox.
Le module de rapports SEM fonctionne en dehors de la VM et peut être installé sur les environnements Windows et Windows Server.
Avantages:
- SIEM axé sur l'entreprise avec une large gamme d'intégrations
- Filtrage simple des journaux, pas besoin d'apprendre un langage de requête personnalisé
- Des dizaines de modèles permettent aux administrateurs de commencer à utiliser SEM avec peu de configuration ou de personnalisation
- L'outil d'analyse en temps réel permet de détecter les comportements anormaux et les valeurs aberrantes sur le réseau.
Les inconvénients:
- SEM est un produit SIEM avancé conçu pour les professionnels, nécessite du temps pour apprendre pleinement la plateforme
SolarWinds propose le Security Event Manager sur un30 jours d'essai gratuit.
SolarWinds Security Event Manager Téléchargez un essai GRATUIT de 30 jours
Alternatives au gestionnaire d’événements de sécurité SolarWinds
Il est inhabituel que SolarWinds ait décidé de supprimer les capacités de surveillance du trafic réseau en direct du gestionnaire de journaux et d'événements lors de la création du gestionnaire d'événements de sécurité. Cela signifie que le SIEM SolarWinds n’est pas vraiment une implémentation complète de la définition SIEM classique.
Pour des informations plus détaillées sur le fonctionnement des systèmes SIEM, veuillez consulter Les meilleurs outils SIEM . Si vous n'avez pas le temps de lire cet article, mais que vous souhaitez des recommandations sur d'autres systèmes SIEM, voici notre liste des meilleures alternatives à SolarWinds SIEM.
- Analyseur de journaux d'événements ManageEngine (ESSAI GRATUIT) Un gestionnaire de journaux et un analyseur très similaire à SolarWinds Security Event Manager. Il s'agit d'une carte SIM qui peut être améliorée avec les données de trafic réseau en direct d'OpManager pour créer une solution SIEM complète. Il s'installe sur Windows, Windows Server et Linux. Un autre outil de journalisation puissant dans cette écurie estLog360. Vous pouvez accéder aux deux outils sur un30 jours d'essai gratuit.
- Surveillance de la sécurité Datadog Ce système de sécurité basé sur SIEM est une option sur un moniteur réseau basé sur le cloud.
- Gestionnaire de sécurité McAfee Enterprise Un outil SIEM très apprécié qui inclut une analyse du comportement des utilisateurs et des entités pour ajuster automatiquement les seuils d'alerte. Il fonctionne sur macOS ainsi que Windows.
- Sécurité d'entreprise Splunk Fonctionnalités de sécurité disponibles avec un analyseur de réseau bien connu. Il s'installe sur Windows et Linux.
- OSSEC Un système de détection d'intrusion basé sur l'hôte open source gratuit qui excelle dans l'analyse des journaux. Cela peut être amélioré avec un flux de NetFlow pour fournir également une analyse du trafic en direct. Il fonctionne sous Windows, Mac OS, Linux et Unix.
- Plateforme SIEM LogRhythm NextGen Cet outil comprend des méthodes d'apprentissage automatique basées sur l'IA pour ajuster les seuils d'alerte et réduire le nombre de faux positifs. Il s'installe sur Windows et Linux.
- AT&T Cybersecurity Gestion unifiée de la sécurité AlienVault SIEM de longue date qui tire ses renseignements sur les menaces d'un registre open source d'indicateurs de compromission. Il fonctionne sur macOS ainsi que Windows.
- RSA NetWitness Un moniteur de trafic réseau avec des outils analytiques pour détecter les intrusions. Convient aux grandes entreprises. Il fonctionne sur une VM.
- IBM QRadar Une plateforme de renseignement de sécurité qui comprend un module SIEM. Le SIEM comprend une analyse des vulnérabilités, un flux de renseignements sur les menaces, une analyse du trafic en direct et des fonctions de gestion des journaux. Il fonctionne sur Windows Server.