Vous êtes sur la page 1sur 8

1

Les SIEM (Security Information and Event


Management) : Gestion de la sécurité
centralisée
N. Cherriere, G. Montassier, R. Picard et E. Thuiller, Sujet R1

Le système d’information et la loi


Etude—Ce document de recherche se concentre sur la Quelles informations sont autorisées à être collecter et
gestion centralisée de la Sécurité des Systèmes traiter? Combien de temps l'entreprise peut-elle les
d'Information, et plus particulièrement sur les SIEM garder ? Par quels moyens, sur quels supports ?
(Security Information and Event Management). Nous C'est tout autant de réponses apportées par les textes
allons nous intéresser à l'utilité d'une telle gestion en
législateurs français et européens et auxquels les
comprenant pourquoi les entreprises en ont besoin de nos
jours, puis étudier le fonctionnement théorique d'un tel
entreprises doivent se conformer sous peine de sanction.
système, et enfin nous plonger dans quelques mises en Depuis peu de temps, des données informatiques
pratique. Enfin, nous comparerons nos résultats pour peuvent constituer des preuves recevables par un juge
déterminer le meilleur moyen de protéger le système de (en France) sous certaines conditions. Ainsi, pour
sécurité d'une entreprise. pouvoir, après un préjudice, retrouver le malfaiteur (qu’il
soit en interne mais aussi en externe) et que les
Mots Clés— Gestion centralisée de la sécurité, LogLogic, informations recueillies puisse appuyer les accusations
Prelude, Security Information and Event Management, de l’entreprise vis-à-vis du fautif ayant agi
SIEM volontairement ou non.

Changements et émergence d’un nouveau besoin : la vue


I. INTRODUCTION globale de la SSI.
epuis plusieurs décennies, l'information est Une attaque ne se prépare pas du jour pour le
D devenue, pour l’entreprise, une ressource
essentielle qu’elle soit privée ou publique. Une
lendemain, il y a quantité d'étapes préalables pour la
mettre en place. Ces étapes peuvent représenter des
guerre de l’information est donc apparue et est devenue mois, voire plusieurs années de travail de la part des
presque plus intraitable que les guerres meurtrières. pirates. Le pirate a besoin d'avoir une vision très précise
Beaucoup d'activités de l'entreprise se sont du réseau qu'il convoite. Certaines de ces étapes sont
informatisées. On peut citer un certain nombre de directement de la recherche d'information sur les SI,
déclarations de taxes et impôts et enfin les systèmes donc il est possible de les repérer. En soi, si une seule
industriels informatisés et/ou reliés au système étape est effectuée, elle n'est pas spécialement
d'information avec une gestion de la qualité des produits. dangereuse (des scans de ports ont lieu tous les jours)
Avec l’augmentation du nombre de processus métier mais associée à une tentative d'intrusion ou l'installation
transitant par voies informatiques, tout un panel de d'un morceau de code (par exemple, une backdoor) sur
matériels, logiciels et personnes travaillent pour assurer un PC qui n'a pas été demandé ou effectué par le
les sécurités des actifs de l’entreprise. Même les personnel de la direction des systèmes d'information
éléments qui ne sont pas, a priori, des éléments apportant alors on peut avoir de forte présomption qu'une attaque
des fonctions de sécurité sont utilisés à des fins est en train de se préparer. Ce scénario simple met en
« détournées » pour apporter une sécurité évidence le besoin d'avoir une vue globale de tout ce qui
supplémentaire : les VLAN sur un switch. se passe sur le réseau pour non seulement identifier les
incidents mais aussi les associer entre eux pour déceler
des attaques bien plus complexes.
2

nous attarderons sur deux propositions logicielles :


Complexification des Systèmes d’Information Loglogic et Prelude. Enfin, nous montrerons les atouts
Les systèmes d'information se sont complexifiés car que comportent les deux solutions, l’une par rapport à
en plus des éléments permettant de faire fonctionner le l’autre pour ensuite les confronter à la théorie des SIEM.
réseau, des éléments utiles pour permettre les processus
métier sont venus se greffer par-dessus. De plus en plus II. THEORIE
de technologies sont implantées dans le réseau, de
nouveaux services, l'émergence des réseaux sociaux A. Présentation
(pouvant amener à des fuites d'information) précédée par Les SIEM sont des outils de supervision de la sécurité,
l'avènement de la téléphonie mobile et des smartphones. ils utilisent les informations en provenance de divers
Globalement, la mobilité des collaborateurs est équipements et logiciels de sécurité. Les SIEM
problématique (avec les téléphones, PDA, PC portables, combinent deux éléments [1] :
netbook, Tablet PC dans des environnements non sûrs --Les SIM (Security Information Management) :
tels que les cybercafés et réseaux publiques, les réseaux Outils de supervision de la sécurité qui se concentrent
d'entreprises clientes, les transports...). principalement sur l’analyse d’informations de
sécurité passées, en vue d’améliorer l’efficacité pour
Complexification des attaques la gestion à long terme du système d’information [1].
Les attaques informatiques se sont multipliées depuis --Les SEM (Security Event Management) : Outils
plusieurs dizaines d'années et sont devenues de plus en de supervision de la sécurité s’orientant sur la collecte
plus complexes. Le mythe du hacker agissant seul, de données dans le but de fournir une grande quantité
simplement motivé par le fait d'être le premier à trouver d’informations pouvant être traitées immédiatement
une faille dans un système a petit à petit laissé place à un [1].
cyber crime organisé. Les commanditaires (les clans La fusion des SIM et des SEM dans un processus
mafieux, des états, des clans terroristes, des intégré de contrôle de la sécurité avec des informations
organisations professionnelles) disposent de moyens pertinentes recueillies dans l’infrastructure du système
financiers pour « acheter » une attaque contre une cible. d’information est résumée sous le terme de SIEM [1].
Plus les sommes d'argent en jeu sont élevées (bénéfice
pour le commanditaire si l'attaque est réussie ; paie des Les SIEM utilisent des étapes de récupération, analyse
techniciens élaborant l'attaque), plus les attaques peuvent et gestion de l’information, ce sont la collecte, la
être sophistiquées. normalisation, l’agrégation, la corrélation, le reporting et
la réponse [2]. (figure 2)
La constante augmentation de la complexité des
systèmes d'information, base de l'entreprise, pose la
B. Collecte
sécurité des SI au cœur des problématiques de
l'entreprise. Les enjeux de sécurité, de sûreté de Les équipements et logiciels de sécurité sont
fonctionnement et la gestion des incidents sur les SI sont nombreux dans un système d’information, ils gèrent
énormes et font l'objet d'attaques à la hauteur de ces généralement de façon indépendante des informations de
enjeux. Ainsi, les Security Information and Event sécurité dites « locales ». Le principe de l’étape de
Management (SIEM) sont la réponse à ce besoin de collecte est de fournir au SIEM des données à traiter.
vision globale de la sécurité des SI. Ces données peuvent être de nature diverse en fonction
de l’équipement ou du logiciel, mais aussi être envoyées
Les SIEM proposent de centraliser la gestion des de manières tout à fait différentes. On distingue deux
alertes de sécurité alors qu’on attend des systèmes modes de fonctionnement [3]:
actuels qu’ils ne s’arrêtent jamais, ainsi n’allouer qu’une --Mode actif : Le SIEM possède un ou plusieurs
machine pour superviser la sécurité du SI parait risqué. agents déployés sur les équipements à superviser. Ces
Pour pallier à une interruption de service, il est par agents ont pour fonction de récupérer les informations
contre possible de créer une machine maitresse (master) des équipements et logiciels de sécurité et de les
et une machine secondaire (slave), comme il est possible envoyer au SIEM. Un élément de sécurité qui a été
de faire avec les serveurs DNS, DHCP, afin de garantir conçu nativement pour être un agent du SIEM est
une continuité de fonctionnement par redondance. appelé une sonde.
--Mode passif : Le SIEM est en écoute directe sur
Dans un premier temps, nous étudierons les normes les équipements à superviser. Pour cette méthode, c’est
qu’utilisent les SIEM et les étapes clés de leurs l’équipement ou le logiciel qui envoie des informations
fonctionnements. Fort de cette approche générale, nous sans intermédiaire au SIEM.
3

échangées entre les équipes CSIRTs (Computer


Security Incident Response Teams). Il est basé sur le
C. Normalisation
format XML et est un format conçu pour transmettre
Les informations collectées viennent d’équipements et des incidents de sécurité entre les domaines
logiciels hétérogènes ayant pour la plupart leurs propres administratifs et les parties qui ont une responsabilité
moyens de formater les données. Cette étape permet opérationnelle. Ce modèle de données encode
d’uniformiser les informations selon un format unique l’information des hôtes, des réseaux, des services [5]…
pour faciliter le traitement par le SIEM. Des formats ont
été mis au point par IETF pour structurer les Le format IDMEF est utilisé juste après la collecte, il
informations de sécurité et pouvoir les échanger et les permet ainsi aux informations normalisées en
traiter plus facilement, ce sont : évènements de sécurité d’être agrégées, corrélées,
stockées en base de données et affichées [4].
--IDMEF (Intrusion Detection Message Exchange Le format IODEF est plus complet que le format
Format) : C’est un standard, défini dans la RFC 4765, IDMEF, il est utilisé après l’étape de corrélation pour
permettant l’interopérabilité entre les systèmes structurer les données en vue d’un reporting et du
commerciaux, open-source et de recherche. Il est basé traitement par un système de réponse [5].
sur le format XML et est un format conçu pour définir
les évènements et des alertes de sécurité. Il est
également adapté pour le stockage en base de données, D. Agrégation
l’affichage et la gestion des informations [4]. L’agrégation est le premier traitement des évènements
Le format IDMEF permet de décrire les évènements de sécurité. Il consiste en un regroupement
de sécurité et Heartbeat. Selon un modèle hiérarchique, d’évènements de sécurité selon certains critères. Ces
les évènements de sécurité sont décrits avec les sources critères sont généralement définis via des règles appelées
et cibles des attaques mais aussi la sonde règles d’agrégation et s’appliquent à des évènements
correspondante ainsi que les différents temps de ayant des similarités [6]. Le rôle principal de
création et de détection. (figure 1) l’agrégation est de réduire le nombre d’évènements en
associant un « poids » à ceux-ci. Ainsi un regroupement
de trois évènements de sécurité selon un critère défini
sera un seul évènement avec un poids de trois. Cela
facilite notamment le traitement de l’étape de
corrélation, qui gère alors non plus des évènements
individuels, mais des groupes d’évènements [7].

E. Corrélation
La corrélation correspond à l’analyse d’évènements
selon certains critères. Ces critères sont généralement
définis via des règles appelées règles de corrélation. Le
but de cette étape est d’établir des relations entre
évènements, pour ensuite pouvoir créer des alertes de
corrélations, des incidents de sécurités, des rapports
d’activité… La corrélation se différencie sur plusieurs
points [8] :
--Auto-apprentissage et connaissances
rapportées: Pour pouvoir fonctionner, les moteurs de
corrélation ont besoin d’informations sur les systèmes
et réseaux de l’infrastructure. Ces informations
peuvent être collectées automatiquement et/ou saisies
manuellement par un opérateur [8].
--Temps réel et données retardées : Dans certains
fig 1 : Format du message IDMEF cas, les évènements bruts sont forgés et envoyés
directement pour être corrélés en temps réel. Dans
--IODEF (Incident Object Description and d’autres cas, les évènements sont d’abord stockés, et
Exchange Format) : C’est un standard, défini dans la envoyés après un premier traitement (ex : agrégation),
RFC 5070, représentant les informations de sécurité leur envoi peut être alors conditionné [8].
4

--Corrélation active et passive : La corrélation --Le stockage : les alertes, incidents et rapports
active a la possibilité de compléter les évènements peuvent être stockés dans des bases de données pour
reçus en recueillant des informations supplémentaires pouvoir être analysés ultérieurement par des moteurs
pour prendre des décisions. La corrélation passive est de corrélation [8].
une corrélation qui ne peut pas interagir avec son --La réponse : les mécanismes de réponse aux
environnement, elle reçoit des évènements et prend alertes doivent permettre de stopper une attaque ou de
des décisions [8]. limiter ses effets de façon automatique. La réponse à
une intrusion dépend de la politique de sécurité [10].
La « cross-correlation » est une corrélation capable
d’associer et de prioriser les évènements de sécurité
reçus, mais aussi d’autres informations (scanners de III. PRATIQUE 1 : PRELUDE
vulnérabilité, NMS…). C’est une corrélation active
élargie à de nombreux outils [9]. A. Présentation
Prelude est un SIEM issu d’un projet open source qui
fut créé en 1998 par Yoann Vandoorselaere [11]. Ce
projet est né de l’idée que le nombre de systèmes de
détection d’intrusion augmentait mais qu’il n’existait pas
de système pour les faire communiquer entre eux, ce qui
diminuait leur efficacité [12]. (figure 3)

B. Collecte
Prelude fonctionne en mode actif, c’est à dire qu’il
utilise des agents qui sont installés sur les systèmes à
surveiller et qui vont s’occuper de la phase de collecte.
Dans un premier temps, l’agent (appelé Prelude-LML)
doit être configuré, Il faut indiquer à celui-ci les formats
de logs des logiciels à surveiller pour que celui-ci puisse
les prendre en compte.
Ensuite, l’agent démarré peut collecter les logs de
deux façons différentes : soit il surveille les journaux
systèmes de l’hôte sur lequel il est installé, soit il reçoit
les journaux venant de différentes machines placées sur
le réseau. Ces messages sont sécurisés (en TLS) et
possèdent un mécanisme d'autorégulation pour ne pas
surcharger le réseau. L’intérêt de cette deuxième
méthode est de permettre aux systèmes ne supportant pas
l’agent Prelude de pouvoir être surveillés en envoyant
leurs logs à un agent distant.
Une fois les informations récupérées, l’agent les
compare avec ses jeux de règles (basés sur des
fig 2 : schéma du fonctionnement théorique d'un SIEM expressions régulières) et si une condition précise est
reconnue, un évènement de sécurité est créé. [14].
F. Gestion des alertes
L’avantage de cette méthode de collecte est la
Il y a plusieurs façons pour un SIEM de gérer des
flexibilité par rapport au réseau. Les mécanismes mis en
alertes, plusieurs d’entre elles peuvent être utilisés
place empêchent la perte de paquet (autorégulation,
simultanément :
--Le « reporting » : les rapports générés réémission) et assurent leurs intégrités. Par contre, la
contiennent à la fois une synthèse des alertes et une confidentialité (chiffrement TLS) n’est pas assurée
vue d’ensemble de la sécurité du système à un instant totalement car seuls les échanges entre l’agent et le
T (statistiques, intrusions, vulnérabilités exploitées, manager sont sécurisés, contrairement aux échanges
classification des attaques) [7]. entre l’agent et les systèmes distants, qui lui envoient
leurs logs.
5

Un autre avantage est le mode « sonde » : ce mode --Lorsque que des évènements sont détectés, il
permet qu’un agent soit directement « patché » au code affiche les alarmes via sa console graphique Prewikka.
source d’un logiciel de sécurité (ils sont alors --Il peut aussi prendre la décision de transmettre
indissociables). [13], [14] l’alerte à un autre manager Prelude (dans le cas d’un
fonctionnement hiérarchique).
--Il peut également, grâce à un « plugin », envoyer
C. Normalisation des mails d’alerte contenant l’alerte détectée.
Prelude a participé au projet “Intrusion Detection
Message Exchange Format” (IDMEF). C’est donc Prelude possède des ajouts transmettant les alertes à
évidement ce format qui fut choisit pour le SIEM. [12], des moteurs de réaction.
[16]
La normalisation est réalisée par l’agent Prelude-LML
qui formate les évènements avant de les envoyer au
manager.
L’IDMEF est un format de message pour les
évènements de sécurité et les alertes de corrélation. Il
sert donc uniquement à « mettre en forme » ceux-ci.
Les évènements et alertes sont donc décrits par ce
format de manière à être traité plus facilement par le
SIEM.

L’atout principal de faire normaliser les logs par


l’agent est d’alléger le traitement réalisé par le manager.
De plus, le choix d’un format normalisé permet une
compréhension simplifiée et une plus grande
adaptabilité.

D. Agrégation
Prelude ne fait pas d’agrégation car il n’y a aucun
traitement sur les évènements, cependant il possède un
système pour améliorer le traitement des informations
par les utilisateurs.. [15]

E. Corrélation Fig 3 : schéma du fonctionnement du SIEM Prelude


Tous les évènements envoyés au manager sont stockés
puis transmis au moteur de corrélation appelé Prelude- IV. PRATIQUE 2 : LOGLOGIC
Correlator. Ce moteur se base sur des règles (écrites en
A. Présentation
langage python) pour analyser les évènements de
sécurité et ainsi créer des « alertes de corrélation ». Ces Loglogic, anciennement “Exaprotect” a été créé en 2004
alertes sont alors renvoyées au manager qui les par la société française Exaprotect. Celle-ci a été
stocke.[17], [18] rachetée en 2009 par l’entreprise américaine LogLogic et
est donc devenu « LogLogic » par la même occasion. De
Le système de corrélation est encore instable, on plus, LogLogic est une « appliance », c'est-à-dire que le
pourra mettre en avant que l’écriture des règles est logiciel est indissociable du matériel. [19] (figure 4)
complexe, car elle demande une bonne compréhension
du langage python, de la norme IDMEF, du réseau B. Collecte
surveillé et des attaques surveillées.
Loglogic fonctionne en mode actif, il faut donc
déployer des agents sur les équipements à surveiller pour
F. Gestion des alertes qu’ils réalisent la collecte.
Prelude peut réaliser le « reporting » de trois façons : Les agents n’ont presque pas de configuration, ils
déterminent lors de l’installation le format des logs à
collecter et agissent ensuite en autonomie. C’est à dire
6

qu’ils collectent les logs, les normalisent, puis les De plus Loglogic réalise automatiquement des rapports
envoient de façon sécurisée au SIEM. dynamiques, qui sont composés de graphiques et de
Si un agent n’est pas nativement compatible avec un résumes des attaques répertoriées. [21] [23]
équipement, il faut alors configurer l’agent pour qu’il La réponse se fait à par l’envoi d’incidents IODEF ou
puisse comprendre ceux-ci à l’aide de règles pour Alertes de corrélation IDMEF à un moteur de réaction
« parser » ceux-ci. quelconque. Celui-ci agira en fonction des évènements
reçus.
L’avantage de Loglogic est sa simplicité de mise en
œuvre. Les agents s’installent facilement et la
configuration est simplifiée. La configuration peut de
surcroit être réalisée à distance depuis le manager de
Loglogic.
Les échanges entre les agents et le SIEM sont
sécurisés par TLS. [20]

C. Normalisation
Loglogic utilise le format normalisé IDMEF.
Les Logs sont normalisés par les agents avant qu’ils
envoient les alertes au manager.
Le choix d’un format normalisé (IDMEF) permet que
les logs soient « compréhensibles » par le SIEM et
facilement traité par celui-ci. [21]
D. Agrégation
LogLogic possède un moteur d’agrégation
paramétrable à l’aide de règles. C’est une étape
importante qui détermine comment les évènements
seront regroupés avant d’être envoyés au corrélateur. En
plus d’être affichés dans la console graphique de
LogLogic, les évènements agrégés sont regroupés par
critères définis au préalable, ce qui permet une meilleure
Fig 4 : schéma de fonctionnement d'un SIEM dans LogLogic
corrélation car les évènements sont déjà rassemblés pour
être corrélés, et peuvent même être fusionnés ou
V. COMPARAISONS
redéfinis. [21] [22] [23]
A. Prelude / LogLogic
E. Corrélation Collecte
Toutes les alertes reçues par LogLogic sont transmises Les deux logiciels fonctionnent en mode actif : le
au moteur d’agrégation, puis au corrélateur et celui-ci les manager reçoit donc les informations de la part des
traite en fonction de ses règles de corrélation. Quand une agents. Les deux propositions logicielles permettent de
alerte de corrélation est créée, elle est stockée dans la superviser des machines où des agents ne peuvent pas
base de données et est affichée dans la console être installés. Donc, le déploiement peut se faire dans un
graphique. LogLogic permet de définir des « scénarios » réseau hétérogène. Cependant, l’agent Prelude a un net
qui sont des regroupements d’alertes de corrélation. Cela avantage sur son concurrent, car il est compatible avec
ajoute un traitement supplémentaire par le SIEM. [23] beaucoup plus de logiciels et équipements de sécurité
grâce à la communauté open-source.

F. Gestion des alertes Normalisation


Loglogic peut réaliser un « reporting » en fonction du Dans les deux cas, les logs sont formatés en IDMEF
type d’alerte détectée. On peut donc décider que pour un par l’agent qui les reçoit et celui-ci les envoie au
type d’attaque détecté on réalise une action particulière. manager. Les deux logiciels fonctionnent donc de la
Les actions réalisables par Loglogic sont nombreuses : même façon pour la normalisation
on peut envoyer un mail, un SMS, envoyer l’incident à
un autre serveur, ou même créer un « trap » SNMP…
7

Agrégation Les logiciels respectent donc les standards, mais les


Loglogic est le seul logiciel parmi les deux à proposer constructeurs ont orienté leurs produits vers des chemins
un réel système d’agrégation. Cela évite une surcharge divers
d’évènements en utilisant un système de regroupement,
ce qui facilite le travail de corrélation. On économise VI. CONCLUSION
donc les ressources réseau et de calcul.
L’objectif de ce rapport était d’apporter des réponses
Corrélation quant au fonctionnement des SIEM dans le cadre d’une
Les deux SIEM proposent une corrélation entre gestion centralisée. Pour cela, nous avons commencé par
évènements et un stockage en base de données pour être expliquer le contexte : l’intérêt de l’utilisation de cette
ensuite affiché à l’aide d’une interface. Cependant, méthode centralisé. Nous avons ensuite étudié le
Loglogic ajoute la possibilité de créer des scenarios, ce fonctionnement théorique de cette méthode, ainsi que
qui augmente un niveau de traitement pour les alertes de deux implémentations concrètes.
corrélation.
Notre étude nous a aussi permis d’étudier les
Reporting principaux avantages de la gestion centralisée :
Le système de « reporting » de Loglogic est plus - la simplicité de configuration du manager
complet que celui de Prelude. Les deux logiciels - la visibilité globale du réseau par le manager
proposent l’affichage dans une interface, ce qui parait - la cohérence des alertes et des décisions menées
être le minimum mais le premier est capable d’envoyer Cependant cette technique possède aussi des
des mails ou de générer des « trap » SNMP et permet de faiblesses. Par exemple la centralisation peut amener
créer des rapports plus complets (avec graphes), ce qui rapidement un problème de disponibilité du service si le
peut être utile dans une démarche continue d’analyse de manager est défaillant.
risques. Le second n’est capable de faire que du
« reporting » simpliste, à moins que l’on utilise la Nous pouvons conclure que les SIEM en gestion
version payante, qui possède également des graphes centralisée permettent une réelle sécurisation du
statistiques, et de la génération de rapports en PDF. système, mais que l’on doit s’assurer de leur
disponibilité, et qu’il semble malvenu d’utiliser les
Pour aller plus loin envois non sécurisés de logs.
LogLogic peut envoyer des messages au format
IDMEF et IODEF à un moteur de réaction pour répondre Les deux SIEM étudiés ont chacun leurs particularités.
à une attaque. Ce moteur n’est pas inclus dans Loglogic Prelude vient du monde open-source, ce qui lui permet
mais l’utilisation de messages dans un format normalisé une très large compatibilité avec d’autres logiciels et
permet de s’interfacer avec un module chargé des équipements. LogLogic est, quant à lui, un produit issu
contre-mesures. Prelude est lui aussi capable d’envoyer de l’industrie et possède un système de traitement des
des informations à un moteur de réaction, mais alertes très performant. Le « reporting » est presque
seulement au format IDMEF. identique, puisque Prelude en version professionnelle a
Puisque l’idée sous-jacente des SIEM est de centraliser de nombreux ajouts. Les deux SIEM sont de plus très
les alertes de sécurité, Loglogic et Prelude (en version évolutifs car leurs auteurs permettent aux diverses
professionnelle) donnent les moyens de configurer les entreprises de demander des améliorations et
agents directement à partir du manager. Les deux SIEM modifications sur-mesure, moyennant finance
permettent aussi la gestion de tickets d’incidents. évidemment.

B. Théorie / Logiciels Une théorie des SIEM existe donc, ainsi que des
standards. Les développeurs de logiciels de SIEM ont un
Les logiciels étudiés sont une interprétation générale de
panel de caractéristiques possibles à exploiter et ceux-ci
la théorie, et des implémentations particulières qui leurs
choisissent ce qui les intéresse en fonction de leur
sont propres. L’absence d’agrégation pour Prelude et la
politique technique, organisationnelle et commerciale.
gestion de l’IODEF par LogLogic en témoignent. Le
Nous pouvons donc trouver une multitude de SIEM sur
fonctionnement des deux produits repose tout de même
le marché avec aussi bien des ressemblances que des
sur des formats de messages standardisés (IDMEF et
divergences qui font les faiblesses et forces de chacun.
IODEF) ce qui les rend facile à traiter.
8

Nous conclurons sur l’intérêt de l’utilisation d’un [21] Données techniques de LogLogic.
système tel que le SIEM pour une entreprise. En effet, la http://www.loglogic.com/resources/datasheets
[22] Kelly, D. Information Security mag. SIMs : More than just a
possibilité de pouvoir récupérer et agréger la totalité des pile of logs. pp. 13-19.
logs du réseau permet d’avoir à la fois une vision http://media.techtarget.com/searchSecurity/downloads/0609_IS
complète, mais aussi une compréhension affinée des M.pdf
évènements qui se passent sur celui-ci. La combinaison [23] McGuire, M. ; Briguet, C. Introduction to Secure Event
Manager, Visibility & Controlon IT Security, LogLogic, 2008.
de ces deux éléments (vison + compréhension) fait des
SIEM un élément nécessaire en terme de sécurité
informatique et est donc indispensable pour les
entreprises.

REFERENCES

[1] Gabriel, R. et al. Analyzing Malware Log Data to Support


Security Information and Event Management: Some Research
Results. First International Conference on Advances in
Databases, 2009.
[2] Zoho Corp. Analyzing Logs For Security Information Event
Management, 2007. Whitepaper.
http://www.manageengine.com/products/eventlog/Analyzing-
Logs-for-SIEM-Whitepaper.pdf
[3] Stevens, M ; CERT. Security Information and Event
Management, 2005, Nebraska
www.certconf.org/presentations/2005/files/WC4.pdf
[4] The IETF TRUST. RFC 4765, 2007.
http://www.ietf.org/rfc/rfc4765.txt
[5] The IETF TRUST. RFC 5070, 2007.
http://www.ietf.org/rfc/rfc5070.txt
[6] Cuppens, F. Managing Alerts in a Multi-Intrusion Detection
Environment. www.acsac.org/2001/papers/70.pdf
[7] Reddy, R. ; Reddy, S. Facilitating Alerts Analysis and Response
Decision Making. Conference paper of csreaSAM, Security and
Management, p448-455. 2006
[8] Mullet, A. Master’s Thesis Event Correlation Engine Computer,
Engineering and Networks Laboratory, 2009. 0x7.ch/text/event-
correlation-engine-slides.pdf
[9] AlienVault. SIEM System Description AlienVault LLC, 2010.
www.alienvault.com/docs/AV%20SIEM%20System%20Descri
ption-v4.pdf
[10] Debar, H. Analyse et détection d’intrusions. Sécurité des
systèmes d'information, Techniques de l'ingénieur, 2004.
[11] Site officiel de Prelude. http://www.prelude-
technologies.com/fr/menu/a-propos-de-prelude/index.html
[12] Vandoorselaere, Y. Foreword. https://dev.prelude-
technologies.com/wiki/prelude/PreludeForeword
[13] Site officiel de Prelude. http://www.prelude-
technologies.com/fr/solutions/les-briques-prelude-
pro/index.html
[14] Site officiel de Prelude. http://www.prelude-
technologies.com/fr/developpement/documentation/compatibilit
e/index.html
[15] Vandoorselaere, Y. IDMEF Criteria, Wiki on Prelude
Technologies, 2006.
[16] RFC 4765. http://www.ietf.org/rfc/rfc4765.txt
[17] Vandoorselaere, Y. Prelude Correlator., Wiki on Prelude
Technologies, 2006.
[18] Chifflier, P. ; Tricaud, S. Intrusion Detection Systems
Correlation: a Weapon of Mass Investigation, CanSecWest
Vancouver 2008.
[19] Site officiel de LogLogic. http://www.loglogic.com/
[20] Papiers blancs de LogLogic.
http://www.loglogic.com/resources/white-papers/

Vous aimerez peut-être aussi