Académique Documents
Professionnel Documents
Culture Documents
Paper49 Article Rev5152 20191017 164649 PDF
Paper49 Article Rev5152 20191017 164649 PDF
des données
Thibaud Badouard
GIP Renater
23 rue Daviel
75013 Paris
Résumé
Le déploiement d’une solution de gestion des événements de sécurité (SIEM) au sein du
GIP s’est heurté à deux difficultés que nous avions sous-évaluées : la charge nécessaire
à l’analyse des incidents et la complexité de la gestion des sources de données.
Dans notre poster, nous vous proposons de découvrir ce que nous avons mis en œuvre
pour réduire ces difficultés. Nous y aborderons les thématiques suivantes :
• l’enrichissement des événements remontés par le SIEM avec des sources
d’informations :
◦ externes (sites de réputation d’IP, blacklists publiques) pour augmenter le
niveau de confiance dans les résultats fournis (cette machine fait-elle partie
d’un botnet ? D’autres structures ont elles observé des évènements
similaires ?) et faciliter le travail d’analyse ;
◦ internes (référentiels, outils de gestion d’IP) pour adapter la réponse à
apporter (est-ce que la source de l’évènement est interne au GIP ? Est-ce
une machine de la communauté ?) et pouvoir automatiser une partie de la
réponse à incident.
• l’amélioration de la gestion des sources de données en interfaçant le SIEM avec
le puits de logs de l’infrastructure pour réduire le nombre d’évènements inutiles
analysés et faciliter la récupération de nouveaux types d’événements.
Mots-clefs
logs, sécurité, incidents, journalisation, SIEM, IOC
C’est un outil qui avant tout nous permet d’automatiser ce que nous faisions
manuellement et de passer à l’échelle des volumes de logs générés sur nos SI. En effet,
si grep, sed, cut ou awk restent des outils très pertinents pour l’analyse des fichiers de
logs d’une machine précise, ils atteignent rapidement leur limite quand il s’agit
d’analyser plusieurs téraoctets de logs structurés différemment.
L’enrichissement des données vise à récupérer ces informations mises à disposition par
la communauté et à enrichir les résultats du SIEM pour augmenter le niveau de
confiance qu’on peut avoir dans nos alertes. Si le SIEM remonte une tentative d’attaque
par une IP et que plusieurs entités tierces ont observé des comportements similaires de
la même IP, on peut légitimement avoir plus confiance en cette alerte et automatiser une
partie de la réponse à incident.
Cela permet de dégager du temps à l’analyste pour qu’il se concentre sur des tâches
ayant une valeur ajoutée plus forte :
• la définition de nouvelles règles / nouveaux scénarios ;
• l’affinage des règles et seuils existants ;
• l’identification des faux négatifs (absence d’alerte alors qu’un incident de
sécurité est en cours).
Après étude « papier » des différentes solutions du marchés, deux répondaient aux
attentes exposées ci-dessus et entraient dans notre budget : Keenai et Prelude. Dans
notre contexte, les résultats obtenus durant les tests des deux outils se sont révélés assez
proches, c’est donc le coût de la licence qui a été le facteur de choix déterminant et nous
nous sommes tournés vers Keenai.
3.2 Infrastructure SIEM
La solution Keenai est composée de trois briques principales : le collecteur, la console et
les nœuds elasticsearch (ES). Leurs rôles sont brièvement explicités dans le schéma
suivant :
Minemeld intègre plus de 200 sources fournies par des services de réputation d’IP
(blocklist.de, spamhaus, badips, greensnow, etc.) mais également des listes fournies par
des CERT ou des fournisseurs de services (plages d’IP de Google, d’AWS ou de
Microsoft Office 365). Il est également possible de créer ses propres sources, soit
Mais avant l’ajout ou l’essai de nouvelles solutions techniques, deux étapes nous
semblent prioritaires pour que les résultats remontés par le SIEM apportent une vraie
plus-value :
• l’ajout de scénarios métiers qui permettraient de couvrir des menaces propres à
chaque service. En effet, au-delà des attaques applicatives génériques
(bruteforce, tentatives d’injection), les analyses de risques mettent en exergue
des scénarios dépendants des services (défauts d’autorisation, contournement
des mesures en place) pour lesquels les capacités de corrélation du SIEM
s’avéreraient très utiles ;
• l’élargissement du périmètre d’opération du SIEM au LAN bureautique et la
définition des scénarios associés (compromission du poste d’un utilisateur, accès
à des données internes, etc.).
L’année qui vient nous permettra de savoir si le gain de temps induit par
l’automatisation se rapproche davantage du modèle « théorique » ou du modèle « réel »
proposés par xkcd (cf fig 6).