Un SIEM (Security Information and Event Management) a pour objectif de collecter et d’analyser tous les évènements de sécurité et d’en générer à la fois des rapports et des tableaux de bord. Le but est donc de surveiller les réseaux en temps réel pour améliorer leur sécurité. Après une première interview consacrée aux enjeux du SIEM, Cyrille Aubergier, expert en analyse de logs et des processus opérationnels de sécurité, explique comment gérer le SIEM au quotidien pour bénéficier de tout son potentiel de sécurité.
Comment mesure-t-on l'efficacité d'un SIEM ?
Dès lors que le SIEM a pour fonction de collecter le plus d'informations possible (tout équipement qui détient des informations de log peut l'envoyer au SIEM), plusieurs indicateurs permettent de mesurer l'efficacité du SIEM. Je pense notamment aux statistiques suivantes :
- le nombre moyen d'événements d'incident détectés ;
- le rapport entre le nombre d'incidents ouverts et fermés ;
- le rapport entre le nombre d'événements « parsés » (c'est-à-dire qui sont connus) et non parsés ;
Il est également judicieux d’identifier les ressources utilisées par les différents équipements pour déterminer si elles sont toujours en activités et quels sont les évènements pris en compte par le collecteur de log.
Au-delà de toutes ces données, l’analyse des courbes de reporting générées par le SIEM demeure le principal outil de mesure de l’efficacité du SIEM. Les tableaux mis à disposition sont par nature assez vivants (ça monte, ça descend) et permettent d’identifier clairement les raisons pour lesquelles, semaine après semaine, on observe des pics, des chutes, ou a contrario une forme de stabilité. A cet égard, il importe de mener des périodes d'analyse sur 1, 3 et 12 mois afin d’identifier clairement les tendances et analyser l'efficacité du SIEM sur la durée.
Combien de temps dure la phase de stabilisation ?
Cela dépend de la taille du réseau. Cela peut prendre un an sur un réseau hétérogène et étendu. Cette durée est indispensable pour comparer entre eux des logs sur une période donnée en rapport avec la même période de l'année précédente (un samedi de juillet 2014 avec le même samedi de juillet 2015 par exemple). Cette phase peut paraître longue, mais elle reste le meilleur moyen d'éliminer les bruits parasites et disposer des informations de sécurité les plus utiles et efficaces.
Quelles sont les erreurs les plus fréquemment commises dans la gestion des logs de sécurité ?
La première erreur consiste à ne pas surveiller suffisamment les équipements qui ne génèrent plus d’évènement. Il arrive en effet que certains équipements arrêtent de fonctionner et n’émettent plus d’alerte : c'est la pire des choses pour une SIEM. Ce défaut d’alerte provient souvent d’une mauvaise configuration des équipements. Il arrive aussi que la fonction de l'équipement qui envoie les logs ait tout simplement craché. Je pense aussi aux changements de configuration sur un parefeux, voire sur le système lui-même pour qu'il envoie les logs... Pour toutes ces raisons, il arrive que des équipements deviennent silencieux. Il est donc essentiel de les garder sous surveillance.
Il arrive aussi que des équipements communiquent énormément. Du coup, un silence prolongé, parfois d’une heure à peine, constitue en soi une alerte et peut signaler un problème. Il faut également surveiller les nouveaux équipements, ainsi que les opérations de mises à jour des équipements. Enfin, là aussi, l’analyse des données et des tableurs, appelés aussi baselinning, reste essentielle et ne doit pas être mise de côté au profit de la gestion des incidents par un membre du SOC.
Quelles sont les qualités requises pour gérer un SIEM ?
Un membre du SOC doit témoigner de trois qualités essentielles : l'organisation, l'ingéniosité et surtout la curiosité.
L'organisation, parce que ça prend du temps de faire une recherche, de fouiller une base de données... Il faut être efficace pour lancer plusieurs recherches à la fois et aller directement au but. Il faut donc établir un bon équilibre entre l'analyse pure et dure, la consultation des rapports et la gestion des incidents.
L'ingéniosité et la curiosité sont également indispensables : il faut avoir envie d'apprendre et vouloir comprendre.
Enfin, l'expérience reste bien sûr très importante. Il n’est pas nécessaire pour autant d’avoir une forte expérience sur les fonctions sécurité, car elle peut être compensée par une expérience dans le domaine des applications, des équipements de passerelles, etc. Chaque équipement dispose de logs de sécurité, si bien chaque type d’expérience demeure parfaitement utile.
Quels sont les prochains défis qui s’imposent aux SIEM ?
Les SIEM sont appelés à collecter de plus en plus d'informations et à multiplier les sources : en plus des syslog, il faut tenir compte des snmp, du netflow, et des autres applications qui peuvent potentiellement générer des alarmes.
A l’avenir, il faudra également mettre en corrélation des règles d’alerte avec de nouvelles sources d'événements, comme les événements de sécurité provenant d'applications ou de bases de données. Il faudra aussi corréler les événements de type réseau/sécurité avec les événements d'anomalie des serveurs ou des bases de données. Il n’existe pas aujourd'hui d'analyse corrélée de tous ces événements. Par exemple, l’interrogation intense d’un serveur SQL constitue un indice de compromission, mais pas une preuve. De même, un événement signalant des connexions avec un serveur à partir de droits différents constitue lui aussi un indice, mais pas une preuve. En revanche, une fois corrélés entre eux, les deux évènements forment une alarme qu’il faut surveiller.
Il faut donc répertorier et rapprocher entre eux tous les éléments de sécurité et toutes les anomalies détectées, qu’ils viennent des serveurs, des applications ou des réseaux. Cette mise en corrélation est très peu effectuée aujourd’hui, car les domaines d'expertise restent souvent séparés. Une distinction est établie de fait entre l’expert qui comprend les anomalies de fonctionnement d'une base de données et celui qui comprend les anomalies de sécurité sur un réseau.
Un bon gestionnaire de SIEM doit donc disposer de l’ensemble de ces compétences, mais aussi et surtout faire preuve de logique et d’organisation pour croiser efficacement les données et surveiller plusieurs équipements différents.
Enfin, à l’avenir, il faudra également être en mesure de conserver le plus grand nombre possible de données, et ce le plus longtemps possible. Cela permettra à la fois de mener des enquêtes sur les événements passés et d’identifier d’éventuelles failles dans les procédures de surveillance en temps réel. Cela passe en outre par une amélioration de la gestion des bases de données qui contiennent les événements de sécurité. Il faudra les rendre plus performantes et plus facilement interrogeables afin de gagner du temps.
Pour aller plus loin :
Du bon usage des logs de sécurité
Cloud Access Security Brokers (CASB) : le nouvel eldorado de la sécurité ?
Au sein de l'équipe ingénierie de la sécurité des réseaux d'Orange Business, Nous avons pour mission de fournir des processus et outils au Centre d'Opération de la sécurité (SOC) pour améliorer la sécurité.
Expert en analyse de Log et les processus opérationnels de sécurité. Je suis également passionné d'enquête numérique.