SIEM et gestion des logs

Arfan Sharif - mai 19, 2023

Les méthodes et l’envergure des attaques changent au gré de l’évolution de la cybersécurité. Les équipes SecOps sont sans cesse mises au défi de protéger les ressources de l’entreprise contre les menaces internes et externes. Si les solutions SIEM tentent d’offrir une vue globale du niveau de sécurité de l’entreprise et des informations sur les incidents et les anomalies, les plateformes de gestion des logs sont principalement conçues pour collecter tous types de données, en plus de fournir des fonctionnalités optimisées de stockage, de recherche, d’agrégation et de visualisation.

Les solutions de gestion des logs et de gestion des événements et des informations de sécurité (SIEM) sont souvent complémentaires et parfois concurrentes. Toutefois, cela varie en fonction du type de solution dont il est question. Les solutions SIEM et les plateformes de gestion des logs se recoupent souvent, car elles traitent toutes les deux des données d’événements et peuvent souvent être utilisées dans le même cas d’usage. En outre, certaines entreprises souhaitent avoir la possibilité de concevoir leur propre solution SIEM à l’aide d’une plateforme moderne de gestion des logs, ce qui requiert souvent une excellente compréhension des concepts fondamentaux de la plateforme et de ses rouages internes.

Pour mieux comprendre les solutions SIEM et les outils de gestion des logs, classons leurs fonctionnalités en trois catégories : les fonctionnalités principalement associées aux solutions SIEM, les fonctionnalités principalement associées à la gestion des logs et les avantages de l’utilisation conjointe des deux.

SIEM et gestion des logs – Définitions

Qu’est-ce qu’une solution SIEM ?

Une solution de gestion des événements et des informations de sécurité (SIEM) est un outil qui collecte des données machine auprès de vos systèmes informatiques, puis les analyse et les met en corrélation pour détecter d’éventuelles menaces de sécurité.

Qu’est-ce que la journalisation SIEM ?

Le logiciel SIEM collecte des logs provenant de plusieurs sources et les transfère à un système de journalisation centralisé. La plupart des plateformes SIEM disposent d’intégrations leur permettant de récupérer des logs à partir d’un large éventail de systèmes. Il peut également exister un référentiel d’applications ou d’intégrations créées par la communauté pour certains systèmes moins répandus.

Voici les types d’intégrations SIEM les plus courants :

  • Agents : les agents collecteurs de logs du logiciel SIEM sont installés sur les serveurs source et cible et s’exécutent en tant que services distincts. Ces agents lisent différents logs et envoient leur contenu à la solution SIEM.
  • Connexions d’API : les logs sont collectés via les endpoints d’API et à l’aide de clés API. Il s’agit généralement d’applications cloud tierces.
  • Intégrations d’applications : elles sont disponibles au sein de la solution SIEM. Les données envoyées à partir des systèmes sources peuvent être dans n’importe quel format et utiliser des protocoles spécifiques. Ces intégrations peuvent fonctionner avec les données générées par le système source afin que les champs pertinents puissent être extraits et que des visualisations adaptées aux cas d’usage puissent être créées. De nombreuses intégrations proposent également des visualisations prêtes à l’emploi pour divers cas d’usage.
  • Webhooks : cette méthode est souvent utilisée pour envoyer des données depuis la solution SIEM vers une autre plateforme et peut être déclenchée en fonction d’une règle. Exemple : une intégration pour Slack où une alerte est envoyée à un canal Slack particulier pour avertir une équipe d’un problème pouvant nécessiter une investigation.
  • Scripts personnalisés : les ingénieurs peuvent exécuter des scripts planifiés et personnalisés qui collectent des données à partir des systèmes sources, puis formatent les données de log et les envoient au logiciel SIEM.

Qu’est-ce qu’un système de gestion des logs ?

Un système de gestion des logs est une solution logicielle qui collecte, trie et stocke dans un emplacement centralisé unique les données de log et les logs d’événements provenant de multiples sources. Un tel système permet aux équipes informatiques, ainsi qu’aux professionnels DevOps et SecOps, d’établir un point d’accès unique aux données réseau et d’application pertinentes. Les données doivent être immédiatement interrogeables, de façon à permettre à l’équipe informatique d’accéder facilement aux données dont elle a besoin pour prendre des décisions concernant l’intégrité du réseau, l’affectation des ressources ou la sécurité.

Les outils de gestion des logs sont conçus pour faciliter la gestion des gros volumes de données générés à l’échelle de l’entreprise. Ils permettent de déterminer :

  • Les données et informations à journaliser
  • Le format de journalisation
  • La période de rétention des données de log
  • La façon dont les données doivent être supprimées ou détruites lorsqu’elles ne sont plus nécessaires

FONCTIONNALITÉS ET CAPACITÉS

Principales fonctionnalités d’une solution SIEM :

  • Règles de corrélation
  • Possibilité de rechercher des quantités limitées de données
  • Ingestion sélective de logs liés à la sécurité
  • Création de rapports liés à la sécurité

En théorie, les solutions SIEM sont conçues pour filtrer les données afin d’envoyer des alertes exploitables à l’utilisateur. Toutefois, plusieurs niveaux d’alertes et de complexité peuvent être contre-productifs. De plus, le déploiement, l’opérationnalisation et la gestion des solutions SIEM peuvent devenir coûteux en raison de leur complexité inhérente. En tentant de proposer le plus large éventail de fonctionnalités, les solutions SIEM perdent en vitesse et en fiabilité. En outre, de par leurs modèles de tarification, les solutions SIEM poussent souvent les utilisateurs à ne pas inclure toutes les sources de données possibles.

Principales fonctionnalités d’une solution de gestion des logs :

  • Réduction de la charge de travail associée à la gestion des logs
  • Prise en charge de toutes les sources de données (informatique, sécurité, DevOps, analyse commerciale)
  • Architecture hautes performances
  • Rétention des données à long terme
  • Interrogation, agrégation et visualisation complètes
  • Cas d’usage basés sur les besoins et les résultats
  • Analyse et mise en corrélation des données

Les outils modernes de gestion des logs incitent les utilisateurs à importer des données provenant d’un large éventail de sources aussi rapidement que possible et leur permettent d’effectuer des recherches exhaustives sur leurs données dès que celles-ci sont disponibles. Ils sont conçus pour collecter des millions d’événements par seconde, ainsi que les compresser et les stocker efficacement. Les atouts de la gestion des logs répondent à bon nombre des préoccupations associées aux solutions SIEM. Un outil de gestion des logs offre une vue complète de toutes les données provenant d’un système à moindre coût et moyennant une maintenance allégée, et est en mesure de les stocker plus longtemps qu’une solution SIEM.

Avantages de l’utilisation conjointe d’un outil de gestion des logs et d’une solution SIEM :

  • Recherche flexible à grande échelle avec alertes ciblées
  • Possibilité d’effectuer des recherches dans des volumes extrêmement importants de données
  • Respect des règles et exigences de conformité
  • Alertes et automatisation
  • Réduction des dépenses grâce à la migration de volumes élevés de données vers la gestion des logs

1. Utilisation intensive des données de log :

Les deux outils font une utilisation intensive des données de log. Les solutions SIEM se concentrent sur l’organisation, l’analyse et le filtrage de ces données avant qu’elles ne parviennent à l’utilisateur final. La gestion des logs offre un accès à toutes les données et permet de les filtrer et de les organiser facilement grâce à un langage de recherche facile à apprendre.

2. Cas d’usage du Threat Hunting :

Les solutions SIEM et de gestion des logs peuvent toutes deux être utilisées pour le Threat Hunting. Les solutions SIEM mettent généralement plus de temps à avertir les utilisateurs des menaces et peuvent passer à côté de certaines, car elles n’ont pas accès à un ensemble de données complet. Les outils de gestion des logs peuvent avertir les utilisateurs des menaces plus rapidement et prennent en charge une approche plus pratique et complète du Threat Hunting.

3. Audits et création de rapports :

Les solutions SIEM et les plateformes de gestion des logs peuvent toutes deux fournir des audits et des rapports. Toutefois, les solutions SIEM sont souvent limitées aux données centrées sur la sécurité, tandis que les plateformes de gestion des logs disposent d’un éventail bien plus large de données.

4. Alertes et automatisation :

Les solutions SIEM et de gestion des logs proposent tous deux des alertes et une automatisation. Optimisée par des résultats de recherche en temps réel, la gestion des logs met moins de temps que les solutions SIEM à partager les alertes et à déclencher des réponses. Les solutions SIEM proposent un moyen plus complexe de gérer votre réponse d’automatisation en vous permettant de créer des playbooks de réponses automatisées offertes par le fournisseur SIEM. L’option SIEM permet souvent l’utilisation de nombreuses préintégrations avec des plateformes SOAR.

Journalisez toutes vos données et répondez à toutes les questions – gratuitement

Falcon LogScale Community Edition (anciennement Humio) offre une plateforme moderne et gratuite de gestion des logs pour le cloud. Exploitez l’ingestion des données de streaming pour bénéficier d’une visibilité instantanée sur les systèmes distribués, de même que détecter et résoudre les incidents.

Falcon LogScale Community Edition, disponible instantanément et gratuitement, inclut les fonctionnalités suivantes :

  • Ingestion de jusqu’à 16 Go de données par jour
  • Durée de rétention de 7 jours
  • Aucune carte de crédit n’est requise
  • Accès continu sans période d’essai
  • Journalisation sans index, alertes en temps réel et tableaux de bord en direct
  • Accès à notre place de marché et à nos packages, y compris aux guides de création de nouveaux packages
  • Formation et collaboration avec une communauté active

Démarrer gratuitement

À PROPOS DE L'AUTEUR

Arfan Sharif est responsable du marketing produits pour le portefeuille d’observabilité chez CrowdStrike. Il possède plus de 15 ans d’expérience dans les solutions de gestion des logs, ITOps, d’observabilité, de sécurité et d’expérience client pour des entreprises telles que Splunk, Genesys et Quest. Arfan est titulaire d’un diplôme en informatique de la Buckinghamshire New University, et a travaillé aussi bien dans le marketing produits que dans l’ingénierie commerciale.