Un SIEM (Security Information and Event Management) a pour objectif de collecter et d’analyser tous les évènements de sécurité et d’en générer à la fois des rapports et des tableaux de bord. Le but est donc de surveiller les réseaux en temps réel pour améliorer leur sécurité. Expert en analyse de logs et des processus opérationnels de sécurité, Cyrille Aubergier revient sur les principaux enjeux du SIEM.
Quels sont selon vous les principaux critères de choix d’un bon SIEM ?
Quels que soient les SIEM, il n’existe pas entre eux de différences fondamentales. Leurs fonctions principales restent la collecte et l’analyse des logs, puis la génération de rapports et de tableaux de bord.
Toutefois, les trois points importants sur lesquels doivent se porter l’attention sont, selon moi :
- Le mode de licence : s'il est inadapté au nombre d’équipements, d’IP et de mégabits, la complexité et le coût peuvent devenir bloquants dans certains cas.
- Le potentiel de personnalisation et d’évolution du SIEM me paraît aussi déterminant. Un SIEM doit être capable par exemple de customiser des agents de collection de logs. Il doit aussi être en mesure de recevoir des logs d’application ou des notifications d’évènements à partir d’équipements développés en interne. Les rapports et tableaux de bord doivent être eux aussi personnalisables.
- La rapidité des mises à jour me semble enfin essentielle, puisque les anti-virus et les sondes de détection ont besoin d’être fréquemment mis à jour. De fait, le SIEM doit pouvoir l’être aussi.
Quelles sont les erreurs les plus fréquemment commises au moment d’installer un SIEM ?
Il ne faut pas se contenter d’installer un SIEM avec les configurations du constructeur et/ou par défaut, car elles ne sont souvent pas suffisantes. Les configurations doivent être personnalisées et adaptées aux besoins des utilisateurs. Il ne faut pas non plus penser que les rapports initiaux suffisent. Il faut créer ses propres rapports d’analyse, adaptés aux différentes menaces identifiées.
Une autre erreur fréquente est de mal anticiper la taille des données, que ce soit pour le stockage ou pour l’exploitation des bases de données. En effet, une base de données mal construite ou insuffisamment rapide restera à bien des égards inexploitable.
Un inventaire insuffisant des équipements sera aussi gênant. Ce serait clairement une erreur de ne pas assigner suffisamment de ressources à l’analyse des rapports et à la personnalisation de la détection de la menace. A cet égard, sur une base de 24/7, une équipe de 10 personnes me paraît nécessaire. L’équipe doit se répartir entre la recherche des accidents, la gestion des configurations et la recherche d’analyses.
Ensuite, l'activation des logs vers le SIEM doit impérativement faire partie des procédures de déploiement de n’importe quel équipement. Dès qu’un nouvel équipement ou un nouveau service est mis en place, ses logs doivent être envoyés vers le SIEM.
Comment améliorer la détection d’attaques dans un SIEM ?
Généralement, un tableau de bord de sécurité regroupe des équipements par fonction et périmètre. Par exemple, un tableau de bord peut regrouper tous les pare-feux entre Internet et l’interne. Pour renforcer la détection, l’idéal est de créer un tableau de bord centré sur la menace, en fonction d’une analyse de risque clairement définie. Il faut alors faire un focus sur une alerte spécifique, en listant les équipements qui vont fournir des logs selon un scénario d’attaque.
Il est possible également de réajuster les seuils de détection selon le nombre d’itérations dans une période de temps donnée. L’assignation de ressources dédiées à l’analyse et à la remise de rapports réguliers me paraît également utile.
Il est aussi possible de créer des nouvelles alarmes temps réel, basées sur un indice de compromission ou d'activité suspicieuse. Cela permettra à l'opérateur d'activer certaines fonctionnalités comme la capture du trafic ou bien d’initier de nouveaux indices adaptés à chaque fonctionnalité.
Quels sont les bénéfices d’un SIEM en termes de ROI ?
Le coût initial est souvent un frein au déploiement d’un SIEM, mais il est pleinement justifié car le fait de rassembler les logs des équipements sous une équipe unique en 24/7 permet d’économiser des ressources en termes d'analyse de logs et de rapports. Cela permet aussi d’exploiter pleinement les équipements, puisqu’on contrôle en temps réel leur bon fonctionnement. De plus, les rapports, une fois classés et analysés, renforcent l’analyse globale des évènements liés à la sécurité. Ils permettent d’intervenir en cas de mauvaise configuration de l’équipement, ce que tous les exploitants ne font pas, souvent par manque de temps ou de connaissances.
Il est possible par ailleurs de mutualiser les coûts en utilisant le SIEM sur des fonctions annexes. Par exemple :
- l’inventaire des équipements ;
- l’archivage de données pour des raisons régulatrices,
- les réponses aux audits de compliance,
- la surveillance de la disponibilité d’un équipement.
De manière générale, l’apport des SIEM est de constituer une garantie contre les désastres en matière de sécurité. Un SIEM est le seul outil qui permet réellement de comprendre ce qui se passe dans un réseau : il vous en donne l’état et le pouls. De ce point de vue, le gain est majeur !
Cyrille
Pour aller plus loin :
Du bon usage des logs de sécurité
Cloud Access Security Brokers (CASB) : le nouvel eldorado de la sécurité ?
Au sein de l'équipe ingénierie de la sécurité des réseaux d'Orange Business, Nous avons pour mission de fournir des processus et outils au Centre d'Opération de la sécurité (SOC) pour améliorer la sécurité.
Expert en analyse de Log et les processus opérationnels de sécurité. Je suis également passionné d'enquête numérique.