SIEM / Gestion des logs

SIEM / Gestion des logs

Les produits et solutions de gestion des informations et des évènements de sécurité (SIEM) sont la convergence de 2 mondes:

- la «gestion des informations de sécurité» (SIM) 

- la «gestion des événements de sécurité» (SEM).


Aujourd'hui, lorsque vous évaluez une solution de SIEM, il est important de s'assurer de vérifier la couverture des éléments suivants: Collecte et consolidation de logs, la Corrélation, la gestion des alertes de sécurité, l'investigation, les tableaux de bord, conformité et le stockage.

 

·        Collecte et consolidation des logs: la gestion des logs, plus connu sous le nom de "Log Management" permet de collecter et consolider en un seul endroit, les données provenant d'une myriade d'équipements à la fois réseau, sécurité, bases de données, serveurs et applications métier.  La consolidation des logs peut être soit un besoin à part entière et/ou faire partie intégrale de l'offre d'une solution SIEM.

 

1.    Corrélation: Une fois la collecte effectuée, le moteur de corrélation va chercher à croiser les données provenant des logs et ainsi en se basant sur des règles prédéfinies. Cette technologie permet d'agréger plusieurs sources de données afin d'en extraire des informations exploitables au sein d'un SOC et/ou par une équipe de sécurité. 

      La corrélation est une fonction à part entière d'une solution SIEM.

 

·        Alerting: En se basant sur des règles prédéfinies, il est possible de générer des alertes afin de notifier les équipes de sécurité afin de pouvoir y remédier. Les alertes peuvent être envoyées par email, trappe SNMP ou être affichées au sein de la console de management.

 

·        Investigation: A partir des logs, et sur une période donnée, avoir la possibilité d'effectuer des recherches sur des éléments tels que les adresses IP Sources, équipements réseau ou sécurité. L'investigation se fait de manière simple et évite d'effectuer des tâches manuelles pour l'import/export de données...

 

·        Tableaux de bord: Ces tableaux permettent d'avoir une vue d'ensemble sur l'état de santé des incidents de sécurité avec la possibilité d'approfondir les résultats. Généralement destiné aux décideurs de la sécurité informatique, tels que les RSSI et/ou aux responsables d'exploitation/infrastructure.

 

·        Conformité: Suite aux pressions internationales en matière de régulations telles que RGDP, PCI-DSS, SOX, etc. des formulaires peuvent être implémentés afin d'automatiser la collecte des informations nécessaires pour être en conformité. 

 

·        Stockage: Garder et stocker de manière sécurisée les logs est souvent une exigence règlementaire pouvant aller jusqu'à 3 voir 6 ans ! De plus, le stockage des logs peut grandement faciliter la recherche post mortem en cas d'incident de sécurité...