Académique Documents
Professionnel Documents
Culture Documents
Sentinel
Introduction. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Principaux atouts de la gestion des informations et des
événements de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Principaux atouts de la gestion des logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Comparaison approfondie entre les outils SIEM et la Gestion des logs. . . . . . . . . 4
Cas pratiques d’utilisation des systèmes de gestion des
logs et des outils SIEM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Tendances technologiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Exemple de scénario de gestion des logs et des outils SIEM. . . . . . . . . . . . . . . . . . . . 8
Architecture des outils SIEM et de la gestion des logs . . . . . . . . . . . . . . . . . . . . . . . . . 9
Conclusions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
À propos de l’auteur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
À propos de NetIQ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Introduction
La technologie de gestion des informations et
événements de sécurité (Security information and
event management ou SIEM) existe depuis la fin
des années 1990. Cependant, sa promesse initiale
de fournir aux petites entreprises un « écran unique
de sécurité » associé à un processus d’adoption
lente a toujours soulevé des polémiques au
sein de l’industrie de la sécurité. Récemment, la
technologie SIEM traditionnelle a été combinée à
l’utilisation massive de la technologie de gestion
des logs. Cette dernière vise à recueillir un vaste
éventail de logs à des fins multiples, de la réponse
aux incidents de sécurité à la conformité aux
réglementations en passant par la gestion des
systèmes et le dépannage des applications.
Dans le présent livre blanc, nous analyserons les relations entre la gestion des logs et les outils SIEM.
Nous mettrons en lumière les différences techniques et les diverses utilisations de ces technologies,
sans oublier l’architecture de leurs déploiements communs. Par exemple, si vous êtes tenu de vous
conformer à des conditions de consignation de la norme de sécurité informatique des données de
l’industrie des cartes de paiement (Payment Card Industry-Data Security Standard ou PCI DSS),
quelle technologie devriez-vous déployer ? Laquelle vous permet d’optimiser votre réponse aux
incidents et vos procédures d’enquête ? Ou encore, laquelle vous fournit des informations en temps
réel sur les attaques ? Par ailleurs, nous proposerons des recommandations aux entreprises ayant
déployé une solution de gestion des logs ou des outils SIEM afin de les aider à définir leur feuille de
route dans le but d’améliorer, d’optimiser et d’élargir leur déploiement. Enfin, nous proposons une
feuille de route spécifique aux sociétés qui ont déjà déployé ces deux types de technologies.
Les outils SIEM sont apparus pour la première fois sur le marché en 1997. À l’origine, ils
visaient à diminuer les fausses alertes du système de détection des intrusions sur le réseau
(Network Intrusion Detection System ou NIDS), qui représentaient un véritable fléau à
l’époque. Ces outils étaient compliqués à déployer et à utiliser. Par conséquent, ils convenaient
www.netiq.com 1
Livre blanc
Le guide complet de la gestion des logs et événements
uniquement aux plus grandes entreprises disposant des programmes de sécurité les plus aboutis.
SIEM :
À la fin des années 1990, le marché représentait quelques millions de dollars et selon certains
analystes, il devrait atteindre des milliards de dollars au cours des prochaines années. Les outils Collecte, regroupement,
normalisation et
SIEM disponibles actuellement, notamment NetIQ Sentinel, sont prisés autant par les grandes conservation des
entreprises figurant dans les classements Fortune 1000 ou Global 2000 que par les PME. logs adéquats
Collecte des données
Avant de commencer notre analyse, il est nécessaire de définir les expressions SIEM et gestion de contexte
des logs mais aussi d’expliquer leurs différences. La technologie SIEM assure la collecte, le Analyse, corrélation et
regroupement, la normalisation et la conservation des logs adéquats, la collecte de données de hiérarchisation
De ces deux définitions se détache une différence fondamentale : la technologie SIEM est orientée
vers la sécurité (comme l’indique le premier mot de son acronyme anglais) et l’utilisation de
diverses données informatiques à des fins de sécurité. En revanche, la gestion des logs est
entièrement consacrée aux logs et au vaste éventail d’utilisations des données de consignation,
au sein du secteur de la sécurité comme dans d’autres domaines.
C
ollecte des données de contexte et des logs. Cette fonction consiste à recueillir des logs et
des données de contexte, notamment des informations d’identité ou les résultats des analyses de
vulnérabilité, à l’aide d’une combinaison de méthodes basées ou non sur agent.
Normalisation et catégorisation. Cette fonction convertit les logs originaux collectés dans un
format universel à des fins d’utilisation au sein du produit SIEM. Par ailleurs, les événements sont
classés dans des catégories utiles : Modifications de la configuration, Accès aux fichiers ou encore
Attaque par surcharge de tampon.
2
Corrélation. Cette fonction inclut la corrélation algorithmique, statistique ou basée sur des règles ainsi
Gestion des logs : que d’autres méthodes, comme la mise en relation de différents événements entre eux ou la mise en
relation d’événements avec des données de contexte. La corrélation peut s’effectuer en temps réel,
Collecte exhaustive de mais tous les outils ne prennent pas en charge cette fonction. En effet, certains outils se concentrent
logs, regroupement et sur la corrélation des données historiques provenant de leurs bases de données. En outre, d’autres
conservation des logs méthodes d’analyse des logs sont parfois incluses dans cette catégorie.
originaux (bruts, non
modifiés) Notification et alertes. Cette fonction comprend le déclenchement de notifications ou d’alertes auprès
d’opérateurs ou de gestionnaires. Les mécanismes d’alerte courants comprennent les e-mails, les SMS
Analyse du texte des ou même les messages envoyés via le protocole SNMP (Simple Network Management Protocol).
logs
Hiérarchisation. Cette fonction comprend différentes options qui mettent en évidence les événements
Présentation importants par rapport aux événements de sécurité moins graves. Pour ce faire, il est possible de
principalement sous corréler les événements de sécurité avec des données de vulnérabilité ou d’autres informations sur les
forme de recherches, ressources. Les algorithmes de hiérarchisation utilisent souvent des informations sur la gravité fournies
mais également de par le log original.
création de rapports
Vues en temps réel. Cette fonction comprend des tableaux de bord de monitoring de la sécurité
Contenus et workflows et affiche des opérations à l’usage du personnel. Ainsi, les analystes peuvent voir les informations
connexes collectées mais aussi les résultats des corrélations pratiquement en temps réel. Les données
historiques et archivées peuvent également être présentées de cette manière.
Divers cas pratiques
d’utilisation couvrant Création de rapports. La création de rapports standard et planifiés prend en compte toutes les vues
tous les usages historiques des données recueillies par le produit SIEM. Certains produits sont également dotés d’un
possibles des données mécanisme de distribution des rapports aux directeurs informatiques ou au personnel en charge de la
sécurité, soit par e-mail soit à l’aide d’un portail Web sécurisé dédié.
de consignation dans
tous les domaines Workflow des rôles de sécurité. Cette fonction comprend la gestion des incidents, notamment la
possibles, bien au-delà création de dossiers et l’organisation de tâches d’enquête, mais aussi la mise en place automatique ou
du secteur informatique semi-automatique de tâches types dans le cadre d’opérations de sécurité. Certains produits intègrent
également des fonctions de collaboration qui permettent à plusieurs analystes de travailler sur la même
initiative de réponse en matière de sécurité.
La plupart des produits SIEM commercialisés actuellement sont dotés des fonctions énumérées
ci-dessus. Toutefois, ils ont tous leurs points forts et leurs points faibles ainsi que des fonctions
supplémentaires spécifiques.
C
ollecte des données de consignation. Cette fonction permet de recueillir toutes les données de
consignation disponibles à l’aide de méthodes basées ou non sur agent, voire d’une combinaison des
deux.
Conservation rationnelle. Même si la collecte et la sauvegarde de données de consignation ne
constituent pas un défi technique majeur, il n’est pas simple de recueillir efficacement plusieurs
gigaoctets, voire téraoctets, de ce types de données, puis de les conserver tout en fournissant des
fonctions de recherche et d’accès rapides. Cette fonction est essentielle aux systèmes de gestion
des logs étant donné le nombre de réglementations incluant des conditions spécifiques exigeant la
conservation des données de consignation, très souvent pendant plusieurs années.
R
echerche. Cette fonction est le principal moyen d’accéder aux informations contenues dans l’ensemble
des logs, y compris ceux issus des applications personnalisées. En outre, elle est indispensable pour
utiliser les logs à des fins d’enquête, mener des analyses d’expertise et identifier les défaillances tout en
dépannant les applications à l’aide des logs. Par conséquent, il est essentiel que les systèmes de gestion
des logs comprennent une interface de recherche interactive, réactive et conviviale.
www.netiq.com 3
Livre blanc
Le guide complet de la gestion des logs et événements
Indexation et analyse des logs. Tout système de gestion des logs repose essentiellement sur ces
deux fonctions. L’indexation permet des recherches cent fois plus rapides. La technologie d’indexation Tous les outils de gestion
crée une structure de données appelée un index. Ce dernier permet d’effectuer des recherches très des logs ne prennent pas
rapides à l’aide de mots-clés ou d’opérateurs logiques sur l’ensemble du système de stockage des logs. en charge l’indexation
Parfois, l’indexation permet d’activer d’autres techniques d’analyse en texte intégral. Ce système pourrait
et n’indiquent pas les
être qualifié de « Google pour les logs ». Tous les outils de gestion des logs ne prennent pas en charge
l’indexation et n’indiquent pas les taux de collecte des logs lorsqu’ils ne sont pas pris en compte pour taux de collecte des
l’indexation. Par conséquent, les affirmations des fournisseurs sont à prendre avec des pincettes. logs lorsqu’ils ne sont
pas pris en compte
C
réation de rapports standard et planifiée. Ces fonctions concernent toutes les données
recueillies par le produit de gestion des logs. Elles sont similaires aux fonctions de création de rapports pour l’indexation.
comprise dans les outils SIEM. La fiabilité des rapports, qu’ils soient créés pour des raisons de sécurité, Par conséquent, les
de conformité ou de fonctionnement, peut asseoir ou détruire la réputation de la solution de gestion affirmations des
des logs concernée. Les rapports doivent être créés rapidement, personnalisables et faciles à utiliser fournisseurs sont
à diverses fins. La distinction entre les recherches et les rapports est parfaitement claire. Le processus
à prendre avec des
de recherche concerne tous les logs collectés disponibles dans leur format brut d’origine, tout comme
Google passe en revue les pages Web. En revanche, les rapports se fondent sur les logs analysés au pincettes.
sein d’une base de données, à l’instar d’une feuille de calcul Excel. Prenez bien soin d’évaluer la facilité
avec laquelle vous pouvez créer un rapport personnalisé dans un outil de gestion des logs. C’est là
que le bât blesse pour de nombreuses solutions. En effet, leurs opérateurs doivent étudier les aspects
« ésotériques » des structures de leurs données de stockage des logs avant de pouvoir personnaliser
les rapports.
À présent, comparons les fonctions des systèmes de gestion des logs à celles des outils SIEM à un
niveau supérieur.
Examinons les utilisations des technologies de gestion des logs et des outils SIEM.
4
Récemment, la technologie SIEM traditionnelle a été combinée à l’utilisation massive de la
Les trois principaux cas
technologie de gestion des logs. Cette dernière vise à recueillir un vaste éventail de logs à des fins
pratiques d’utilisation sont
multiples, de la réponse aux incidents de sécurité à la conformité aux réglementations, en passant
les suivants :
par la gestion des systèmes et le dépannage des applications.
Sécurité à des fins de
détection et d’enquête
Conformité aux
réglementations Cas pratiques d’utilisation des systèmes de gestion
(mondiales) et aux
stratégies (locales) des logs et des outils SIEM
Fonctionnement normal
et dépannage au niveau Avant d’aborder l’architecture commune des systèmes de gestion des logs et des outils SIEM,
du réseau, du système
nous devons présenter brièvement les cas pratiques d’utilisation courants exigeant le déploiement
et de l’exploitation
d’un produit SIEM par une entreprise cliente. Nous allons commencer par trois principaux types
de cas pratiques d’utilisation de très haut niveau :
1. Sécurité à des fins de détection et d’enquête. Ce cas pratique d’utilisation est parfois appelé
gestion des menaces. Il vise à détecter et à répondre aux attaques, aux infections de logiciels
malveillants, au vol de données et à d’autres problèmes de sécurité.
2. Conformité aux réglementations (mondiales) et aux stratégies (locales). Ce cas pratique
d’utilisation porte sur la mise en conformité aux exigences des lois, mandats et cadres réglementaires
en vigueur, mais également aux stratégies locales des entreprises.
3. Fonctionnement normal et dépannage au niveau du réseau, du système et de l’exploitation.
Ce cas pratique d’utilisation est principalement spécifique à la gestion des logs. En outre, il est lié aux
problèmes des systèmes d’enquête mais aussi au monitoring de la disponibilité des systèmes et des
applications.
À un niveau plus détaillé, les cas pratiques d’utilisation en matière de sécurité et de conformité se
retrouvent dans plusieurs scénarios. Examinons-les en détail.
Le cas pratique d’utilisation suivant est parfois qualifié de mini-scénario SOC. Dans ce cas, le
personnel en charge de la sécurité utilise des vues à retardement non prises en temps réel afin de
repérer les éventuels problèmes de sécurité (dans ce modèle, les analystes sont présents aux heures
de bureau). Les analystes ne se connectent que quelques heures chaque jour. Ils passent uniquement
en revue les alertes et rapports requis au moment de leur connexion. Par conséquent, ils ne travaillent
pas en quasi temps réel sauf si des événements surviennent lorsqu’ils sont connectés au produit.
Le troisième scénario est un scénario SOC automatisé : une entreprise configure ses outils SIEM
afin qu’ils émettent des alertes en fonction de règles précises. Puis, elle ne s’en occupe plus
jusqu’au déclenchement d’une alerte. Les analystes ne se connectent jamais sauf s’il est nécessaire
www.netiq.com 5
Livre blanc
Le guide complet de la gestion des logs et événements
d’enquêter sur des alertes spécifiques, de passer en revue des rapports de manière hebdomadaire
En effet, la gestion
ou mensuelle ou encore d’effectuer d’autres tâches peu courantes. Il s’agit du cas pratique
des systèmes et
d’utilisation dont souhaitent bénéficier de nombreuses petites entreprises mais que très peu de
le dépannage des
produits SIEM proposent, tout au moins sans nécessiter une personnalisation à grande échelle. Il applications représentent
convient également de noter que les sociétés achètent souvent des produits SIEM dans l’espoir de deux importants cas
les utiliser comme un SOC automatisé. Malheureusement, leurs attentes sont rarement satisfaites. pratiques d’utilisation
supplémentaires pour les
systèmes de gestion des
Les technologies de gestion des logs jouent également un rôle dans d’autres scénarios
logs.
n’appartenant pas au domaine de la sécurité. En effet, la gestion des systèmes et le dépannage
des applications représentent deux importants cas pratiques d’utilisation supplémentaires pour
les systèmes de gestion des logs. Une fois l’application déployée et sa consignation configurée,
le système de gestion des logs permet de passer rapidement en revue les logs d’erreurs et
d’exception. Il examine également les récapitulatifs de l’activité normale des applications afin d’en
déterminer la santé et de dépanner les éventuelles irrégularités.
Dans cette dernière catégorie, un scénario concerne la création de rapports sur l’état de
conformité. Dans ce cas, les analystes ou les responsables de la sécurité étudient les rapports
afin d’y déceler tout problème de conformité. Cet examen est mené toutes les semaines, tous
les mois ou selon la fréquence exigée par une réglementation spécifique. Cette tâche n’est pas
nécessairement effectuée à des fins de sécurité ou de fonctionnement. Ce cas pratique d’utilisation
constitue souvent une phase de transition. L’entreprise est susceptible de l’abandonner par la
suite au profit des cas pratiques d’utilisation précédemment cités. Ce scénario implique le plus
souvent le déploiement d’outils de gestion des logs. Toutefois, il n’est pas rare qu’un produit SIEM
soit également utilisé à des fins de conformité. Les exigences de conservation à long terme des
logs remettent fréquemment en question ce déploiement.
Étant donné que les logs sont essentiels au respect des exigences de conformité, étudions
quelques réglementations en détail.
PCI-DSS
La norme de sécurité informatique des données de l’industrie des cartes de paiement (Payment
Card Industry Data Security Standard ou PCI-DSS) s’applique aux entreprises qui gèrent
des transactions par carte de crédit. Elle exige la consignation d’informations spécifiques, la
conservation des logs et la mise en place de procédures d’examen quotidien des logs.
Même si la consignation est comprise dans l’ensemble des conditions PCI, la norme PCI-DSS
intègre également la condition 10 relative à la consignation et à la gestion des logs. Dans le cadre
de cette condition, les logs de tous les composants systèmes doivent être examinés au moins
quotidiennement. Par ailleurs, la norme PCI-DSS indique que l’entreprise doit garantir l’intégrité
de ses logs en mettant en place un monitoring de l’intégrité des fichiers et un logiciel de détection
des modifications apportées aux logs. Elle exige également le stockage des logs provenant des
systèmes concernés pendant au moins un an.
6
FISMA
La loi HITECH (Health
La loi FISMA (Federal Information Security Management Act), votée en 2002, accentue le besoin
Information Technology
for Economic and des agences fédérales de développer, de documenter et de mettre en oeuvre un programme au
Clinical Health) votée sein de tous leurs services afin de sécuriser les systèmes d’informations sous-jacents à leurs
en 2009 vise à accélérer opérations et ressources. La publication NIST SP 800-53 intitulée « Recommended Security
la mise en oeuvre de la Controls for Federal Information Systems » (Contrôles de sécurité recommandés pour les
réglementation HIPAA
systèmes d’informations fédéraux) décrit les contrôles de gestion des logs, notamment les
au cours des prochaines
années. processus de génération, de vérification, de protection et de conservation des suivis d’audit, mais
aussi les étapes à suivre en cas d’échec d’audit.
La publication NIST 800-92 intitulée « Guide to Computer Security Log Management » (Guide
pour la gestion des logs de sécurité informatique) simplifie la conformité à la loi FISMA tout
en garantissant un dévouement complet à la gestion des logs. Elle décrit le besoin des agences
fédérales en la matière ainsi que les méthodes pour mettre en place et gérer des infrastructures de
gestion des logs efficaces prenant en charge la génération, l’analyse, le stockage et le monitoring
des logs. La publication NIST 800-92 explique deux principes importants. Tout d’abord,
il est essentiel d’analyser les différents types de logs provenant de sources variées.
En outre, il faut clairement définir les responsabilités et rôles spécifiques aux équipes et
personnes impliquées dans la gestion des logs.
HIPAA
La loi fédérale HIPAA (Health Insurance Portability and Accountability Act) votée en 1996 décrit
les normes de sécurité relatives aux informations sur la santé. La publication NIST SP 800-66
intitulée « An Introductory Resource Guide for Implementing the Health Insurance Portability
and Accountability Act Security Rule » (Guide de ressources pour la mise en oeuvre de la loi de
sécurité HIPAA) répertorie les conditions requises pour la gestion des logs afin de sécuriser les
informations sur la santé protégées par un système électronique. La section 4.1 décrit la nécessité
de vérifier régulièrement les activités des systèmes d’informations, notamment les logs d’audit,
les rapports d’accès et les rapports de suivi des incidents de sécurité. La section 4.22 précise
que la documentation relative aux actions et aux activités doit être conservée pendant au moins
six ans. On considère parfois que les logs en font partie. La loi HITECH (Health Information
Technology for Economic and Clinical Health) votée en 2009 vise à accélérer la mise en oeuvre de
la réglementation HIPAA au cours des prochaines années.
www.netiq.com 7
Livre blanc
Le guide complet de la gestion des logs et événements
Par ailleurs, les processus de gestion et les opérations informatiques commencent à se rapprocher
de la gestion de la sécurité. Même si certains analystes annoncent cette tendance depuis plusieurs
années, celle-ci ne s’était pas encore pleinement matérialisée jusqu’à présent. Toutefois, de
nombreux analystes prédisent que la convergence entre la gestion de la sécurité et la gestion des
opérations informatiques va se poursuivre et que les outils de sécurité seront davantage liés aux
outils d’exploitation informatique, comme les outils de gestion des systèmes et des réseaux.
8
Ce projet a été mis sur pied en quelques mois grâce à une approche par étapes. L’équipe
De nombreuses
informatique du détaillant s’est basée sur une évaluation des risques afin de mettre en oeuvre la
entreprises ont déployé
solution de l’extérieur vers l’intérieur de l’entreprise. Elle a commencé par les pare-feux réseau
en parallèle un système
de gestion des logs périmétriques (DMZ). Puis, elle a intégré des logs supplémentaires dans un système de gestion
et des outils SIEM ou des logs tout en définissant des règles de corrélation et en exécutant des rapports provenant d’un
envisagent d’améliorer un package de conformité à la norme PCI-DSS du fournisseur. Au fur et à mesure que l’équipe a
déploiement existant de
appris à réagir aux alertes, ses processus ont gagné en maturité et l’entreprise a pu commencer à
l’une de ces technologies
utiliser davantage de fonctions SIEM.
en y intégrant l’autre.
Le projet est donc globalement considéré comme une mise en oeuvre réussie des conditions
de consignation de la norme PCI. L’entreprise a réussi l’évaluation PCI haut la main et a été
félicitée pour son approche exhaustive de la consignation et du monitoring de la sécurité. En
outre, l’équipe en charge de la sécurité a démontré que sa mise en oeuvre d’une solution SIEM
PCI garantit la conformité de l’entreprise à des conditions de conformité supplémentaires. En
effet, la norme PCI-DSS couvre essentiellement les mêmes domaines en matière de gouvernance
informatique mais entre plus dans les détails. Parallèlement, les outils de gestion des logs ont
soutenu les fonctions d’exploitation et l’efficacité informatique globale tandis que les outils SIEM
ont fourni à l’entreprise la base dont elle avait besoin pour développer ses fonctions de réponse et
de détection en temps réel.
Nous allons qualifier le scénario le plus courant de « protection SIEM ». Parmi les entreprises
qui ont déployé des solutions SIEM héritées, beaucoup ont essayé d’envoyer une trop grande
quantité de données vers leurs outils SIEM, ce qui a entraîné une surcharge et parfois une perte
de fonctions et de données essentielles. Pour résoudre ce problème, elles ont acheté une solution
de gestion des logs et l’ont déployé en amont de leur solution SIEM.
_______________________________________________________________
www.netiq.com 9
Livre blanc
Le guide complet de la gestion des logs et événements
Fig. 1
Dans cette situation, un outil de gestion des logs de nature bien plus évolutive est déployé en amont de la
solution SIEM afin de filtrer et de protéger un outil SIEM moins évolutif des flux de logs extrêmes. Il n’est pas
rare d’envoyer uniquement un événement sur dix provenant de la protection des logs à un outil SIEM sous-
jacent. Parallèlement, tous les événements reçus sont archivés par l’outil de gestion des logs. Par exemple, si
le volume total des logs équivaut à 40 000 messages de logs par seconde, l’outil SIEM recevra uniquement
4 000 messages par seconde.
_______________________________________________________________
SIEM
Fig. 2
Selon un autre scénario émergeant, la gestion des logs est déployée en premier afin de créer une plate-
forme de consignation d’entreprise. Ensuite, une solution SIEM est ajoutée en tant qu’application de cette
plate-forme. Ce scénario, que l’on peut appeler « ajout de solution SIEM », représente jusqu’à 50 % des
déploiements SIEM actuels. Par exemple, une entreprise opte pour un outil de gestion des logs. Puis, elle
comprend petit à petit qu’elle a besoin de processus de corrélation, de visualisation, de monitoring et de flux
de travail, entre autres, mais aussi qu’elle est davantage capable de les gérer. Un tel scénario s’avère le plus
logique pour la plupart des entreprises, comme nous vous l’expliquons plus bas.
_______________________________________________________________
10
Ainsi, si une société Il est nécessaire d’améliorer sa capacité de réponse
comprend qu’elle a avant d’être confronté à une situation nécessitant
besoin d’un processus
de corrélation, elle doit une réaction plus rapide qu’à l’accoutumée. En
recueillir et sauvegarder effet, il est bien plus facile de se préparer à fournir
l’ensemble des logs, mais
aussi pouvoir effectuer une réponse que d’assurer un monitoring.
des analyses de données
brutes et des recherches
efficaces. Dans la situation suivante, une solution de gestion des logs et des outils SIEM sont déployés en
parallèle et simultanément. Il s’agit d’un « scénario émergent » : de plus en plus d’entreprises se
procurent ces deux solutions en même temps, souvent auprès du même fournisseur. Ainsi, si une
société comprend qu’elle a besoin d’un processus de corrélation, elle doit recueillir et sauvegarder
l’ensemble des logs mais aussi pouvoir effectuer des analyses de données brutes et des recherches
efficaces.
_______________________________________________________________
Fig. 3
_______________________________________________________________
Le scénario suivant consiste à déployer des outils SIEM accompagnés d’un système de gestion
des logs qui sert de solution d’archivage des logs traités et autres. Ce scénario se met en place
lorsqu’une entreprise achète une importante solution SIEM à des fins de monitoring de la sécurité
et comprend en l’utilisant qu’elle ne répond pas à tous ses besoins. Elle décide donc de déployer
un outil de gestion des logs afin d’y envoyer l’ensemble des logs et d’analyser les logs bruts rejetés
par l’outil SIEM. Il s’agit, notamment, des logs que l’outil ne sait pas analyser, normaliser ou
classer. De là découle un cas pratique d’utilisation plus étendu, allant du monitoring de la sécurité
à la réponse aux incidents en passant par la conformité à la norme PCI-DSS.
_______________________________________________________________
www.netiq.com 11
Livre blanc
Le guide complet de la gestion des logs et événements
Dans un rapport de
2009 intitulé « How
to Implement SIEM
Technology » (Comment
mettre en oeuvre la
SIEM technologie SIEM),
Gartner recommande
Gestion des logs vivement de « déployer
les fonctions de gestion
Fig. 4 des logs avant de tenter
_______________________________________________________________ un déploiement à grande
échelle de la gestion des
événements en temps
Par ailleurs, les cas pratiques d’utilisation des solutions de gestion des logs uniquement sont
réel ».
multiples et continuent de s’accroître tandis que les scénarios de déploiements des outils SIEM
seuls se font plus rares et sont susceptibles de continuer à diminuer.
Dans un rapport de 2009 intitulé « How to Implement SIEM Technology » (Comment mettre
en oeuvre la technologie SIEM), Gartner recommande vivement de « déployer les fonctions de
gestion des logs avant de tenter un déploiement à grande échelle de la gestion des événements
en temps réel ». En outre, lorsque la technologie SIEM se fonde sur un besoin de conformité, le
déploiement doit s’effectuer dans le même ordre : « les premières étapes d’un déploiement SIEM
principalement orienté vers la norme PCI consistent à déployer des fonctions de gestion des logs
pour les systèmes concernés par l’évaluation PCI ». Bref, les entreprises doivent améliorer leur
capacité de réponse avant d’être confrontées à une situation nécessitant une réaction plus rapide
qu’à l’accoutumée.
12
Qu’en est-il des entreprises ayant déjà déployé des outils SIEM hérités ? Nous leur conseillons
Avant de déployer
d’envisager le déploiement d’une solution de gestion des logs le plus rapidement possible.
une solution SIEM,
Lorsqu’elles seront capables de traiter un vaste éventail de logs, leurs fonctions d’enquête seront
demandez-vous si votre
sécurité fonctionne en optimisées, ce qui garantira leur conformité aux conditions des réglementations en vigueur.
temps réel ou non.
Toutes les entreprises doivent-elles passer d’une solution de gestion des logs
aux outils SIEM ?
Une entreprise a déployé un outil de gestion des logs et a commencé à l’utiliser de manière
efficace afin de garantir sa sécurité et sa conformité mais aussi à des fins d’exploitation. Que se
passe-t-il ensuite ? La progression naturelle et logique consiste à déployer un outil SIEM afin de
gérer les événements en quasi temps réel.
Ce livre blanc est le premier document qui présente les critères requis afin d’effectuer un tel
développement. Si les entreprises effectuent cette transition trop tôt, elles perdront leur temps
et leur énergie et n’amélioreront pas l’efficacité de leurs opérations de sécurité. En revanche, en
attendant trop longtemps, elles ne parviendront jamais à développer les fonctions nécessaires
pour assurer leur sécurité.
Réponse. Tout d’abord, l’entreprise doit être capable de répondre à des alertes dès leur signalement.
Tout d’abord, l’entreprise doit être capable de répondre à des alertes dès leur signalement. De
nombreux fournisseurs assurent que la sécurité des entreprises modernes doit fonctionner en
temps réel à l’instar de leurs activités. Or, il semble que peu de sociétés soient capables d’atteindre
cet objectif à l’heure actuelle. Avant de déployer une solution SIEM, demandez-vous si votre
sécurité fonctionne en temps réel ou non. Vous estimez peut-être que c’est le cas la plupart du
temps ou que vous atteignez quasiment cet objectif. Les systèmes de détection des intrusions
sur le réseau repèrent les attaques menées hors ligne en quelques microsecondes ; les pare-
feux bloquent les connexions en cause et les antivirus s’efforcent d’identifier les virus dès leur
apparition.
www.netiq.com 13
Livre blanc
Le guide complet de la gestion des logs et événements
C’est pourquoi peu d’entreprises acceptent d’acheter un système de détection des intrusions
Si une entreprise ne
sur le réseau (Network Intrusion Detection System ou NIDS) qui les avertira d’une attaque sur
possède pas de SOC
trois uniquement. Cependant, ces mêmes entreprises demandent à leurs analystes de sécurité
ni aucune fonction de
de vérifier les alarmes IDS tous les matins. S’ils identifient qu’un système a été gravement monitoring de la sécurité
compromis, la capacité du système NDIS à répondre en quelques millisecondes ne sera d’aucune ou du fonctionnement
aide au contraire de la capacité du personnel à réagir en quelques heures. Ainsi, il est toujours accompagnés d’accords
de niveau de service, bon
acceptable d’enquêter sur une alerte menant à l’identification d’un système gravement compromis
nombre des fonctions
le lendemain de son signalement.
SIEM ne seront pas
pleinement utilisées.
Par ailleurs, si un fichier infecté par un virus entre dans le système et si le logiciel peut le nettoyer
en temps réel, le problème est alors résolu. Cependant, si le logiciel antivirus détecte le code
malveillant mais ne peut ni le supprimer ni le mettre en quarantaine automatiquement et émet
à la place une alerte (comme avec certaines portes dérobées ou certains chevaux de Troie), la
responsabilité incombe aux analystes, qui auront probablement déjà perdu plusieurs heures.
Face aux menaces sophistiquées actuelles, un tel retard peut engendrer de graves violations, dont
l’élimination pourrait prendre plusieurs mois. Par conséquent, les règles de corrélation avec état
et d’alerte avancée garantiront des réponses en moins d’une seconde. Toutefois, vous devez être
prêt à réagir.
14
Par conséquent, les sociétés qui n’envisagent pas d’abandonner immédiatement leur processus
La courbe de maturité
de gestion des logs orienté vers la conformité ou autre devraient tout de même choisir un outil de
illustre toutes les
consignation afin d’être en mesure d’opter pour une solution SIEM ultérieurement. Même si les
situations, de l’ignorance
totale des logs au entreprises ne souhaitent pas, de prime abord, envisager d’autres domaines que la conformité,
monitoring de la sécurité de nombreux déploiements de solutions de gestion des logs et d’outils SIEM sont basés sur des
en quasi temps réel, en modèles communément qualifiés de conformité renforcée. Ainsi, la société achète un outil dans
passant par la collecte
un cadre réglementaire spécifique et l’utilise ensuite pour relever de nombreux autres défis
et la conservation des
informatiques ou sécuritaires.
logs, les enquêtes
occasionnelles et
l’examen périodique des Toutefois, certains outils de gestion des logs ne permettent pas une telle migration vers une
logs. solution SIEM. En effet, les outils simples qui vous permettent uniquement de recueillir des logs
bruts et d’y effectuer des recherches peuvent s’avérer extrêmement utiles. Cependant, ils ne vous
permettront pas de bénéficier facilement d’une normalisation complète, d’une catégorisation
et d’autres enrichissements de données de consignation orientés vers la sécurité. Si votre outil
recueille et conserve des archives de logs bruts mais ne peut pas les associer à une solution SIEM
capable d’utiliser de telles données afin de garantir une analyse et un monitoring de la sécurité,
il vous permettra généralement pas de migrer vers un système de monitoring. L’entreprise devra
alors acheter d’autres outils quand elle sera prête à garantir un monitoring en temps réel.
Étant donné que l’utilisation efficace d’une solution SIEM engendre une diminution des menaces
directes grâce à son analyse avancée orientée vers la sécurité (uniquement si l’entreprise est prête
à déployer un outil SIEM), le modèle de conformité renforcée s’avère pertinent. Concrètement,
il permet à l’entreprise de se rapprocher du principe d’écran unique en matière de gestion de la
sécurité.
La tendance représentée ci-dessous montre l’évolution d’une entreprise ignorante, puis réactive
à retardement, réactive rapidement et enfin proactive et consciente des événements survenant
au sein de son environnement informatique. Les entreprises qui tentent de passer de l’ignorance
complète à la proactivité en une seule étape y parviennent rarement, voire jamais.
_______________________________________________________________
www.netiq.com 15
Livre blanc
Le guide complet de la gestion des logs et événements
Quelle est l’étape suivante dans le cadre de cette transition ? Tout d’abord, les entreprises doivent
améliorer en permanence la portée et la précision de leur déploiement SIEM en l’intégrant à
davantage de systèmes en vue d’optimiser l’utilisation de ses fonctions d’analyse. Ainsi, les outils
SIEM peuvent accomplir leur mission principale, à savoir le monitoring de la sécurité, et résoudre
les nouveaux problèmes, notamment les fraudes, les menaces internes, le monitoring des
applications et le monitoring général de l’activité des utilisateurs. Les outils SIEM commencent à
obtenir davantage d’informations et à passer du réseau aux applications, d’un nombre limité de
sources de données à un déploiement à l’échelle de l’entreprise. Simultanément, une organisation
de sécurité se met en place et développe de meilleures procédures de fonctionnement qui
garantissent une plus grande souplesse à l’entreprise. Au fur et à mesure de l’élargissement du
déploiement, il est essentiel de ne pas oublier qu’une approche par étapes est la seule façon de
réussir.
16
surveiller les actions de cette personne sur plusieurs systèmes, même en cas de noms d’utilisateur
Il ne faut pas oublier que,
et de comptes multiples.
même si de nombreux
fournisseurs affirment
garantir l’intégration En outre, l’intégration d’un système de gestion des identités permet à un produit SIEM de
des identités, la plupart différencier les connexions officielles autorisées des tentatives de connexion non autorisées via
d’entre eux se contentent une porte dérobée. En outre, une telle intégration permet de mettre en place le monitoring de la
d’effectuer une simple
séparation des tâches (separation-of-duty ou SoD) en indiquant à la solution SIEM les rôles non
recherche LDAP
autorisés à effectuer des actions spécifiques.
(Lightweight Directory
Access Protocol). Ces
_______________________________________________________________
systèmes ne bénéficient
donc pas de toutes les
données riches qu’un
système de gestion Logs : activités, actions,
des identités pourrait
événements
fournir afin d’aider
Données d’analyse de Gestion des événements et des
une solution SIEM à
vulnérabilité informations de sécurité
déterminer si les activités
sont malveillantes ou
pertinentes en termes de
réglementation.
www.netiq.com 17
Livre blanc
Le guide complet de la gestion des logs et événements
Nous commencerons par l’erreur évidente, mais malheureusement bien trop fréquente, qu’est
l’absence totale de consignation, même à l’ère de la loi Sarbanes-Oxley (SOX) et de la norme
PCI DSS. Cette erreur détruit toute possibilité de bénéficier d’une solution de gestion des logs ou
d’outils SIEM.
Une autre version de cette erreur consiste à n’assurer aucune consignation et à ne pas le découvrir
avant qu’il ne soit trop tard.
Comment une entreprise peut-il être trop tard ? Si une entreprise ne dispose d’aucun log, elle peut
connaître une perte de revenus. Selon les conditions de consignation de la norme PCI-DSS, les
violations peuvent entraîner une annulation de vos privilèges de traitement des cartes de crédit
par Visa ou MasterCard et, par conséquent, vous exposer à la faillite. La réputation de l’entreprise
peut également être entachée : des numéros de certaines cartes de crédit contenus dans vos bases
de données sont volés, mais les médias signalent le vol de l’ensemble des cartes de crédits, soit
40 millions, annonce que vous ne pouvez démentir. Enfin, l’entreprise peut même perdre sa liberté
(lire les différentes histoires terrifiantes diffusées par les médias au sujet de la loi SOX).
18
Bien entendu : personne n’a jamais supprimé le contenu du dossier /var/log/messages. Et qu’en
L’objectif pour les
est-il de votre base de données ? L’option par défaut d’Oracle n’effectue aucune consignation des
entreprises est de
audits d’accès aux données. Microsoft SQL est-elle une meilleure solution ? Malheureusement, la
connaître les activités
au sein de leur réponse est non. Vous devez plonger au coeur du système avant même de commencer à générer
environnement et d’être un suivi d’audit de niveau modéré.
capables de réagir mais
aussi de prédire les futurs
Par conséquent, afin d’éviter de commettre cette erreur, il est souvent nécessaire de ne pas
événements.
s’arrêter aux paramètres par défaut afin de s’assurer que la consignation est activée au niveau des
logiciels et du matériel. Dans le cas d’Oracle, par exemple, cela peut se résumer à s’assurer que la
variable « audit trail » (suivi d’audit) est configurée sur « db ». Pour d’autres systèmes, la tâche
peut s’avérer plus compliquée.
L’absence d’examen des logs est la deuxième erreur. S’il est important de s’assurer de
l’existence de logs, de les recueillir et de les stocker, cela ne suffit pas. L’objectif pour les
entreprises est de connaître les activités au sein de leur environnement et d’être capables de réagir
mais aussi de prédire les futurs événements. Comme nous l’avons décrit précédemment, il s’agit
seulement d’une étape, pas de l’objectif final. Si votre entreprise vient de commencer à recueillir
les logs après les avoir ignorés, il est important de savoir que vous devrez les examiner par la
suite. Si vous recueillez les logs mais ne les passez pas en revue, cela consiste à documenter votre
propre négligence, particulièrement si votre stratégie de sécurité informatique exige l’examen des
logs.
Par conséquent, une fois la technologie en place et les logs recueillis, vous devez disposer
d’un processus permanent de monitoring et d’examen des actions et des possibles demandes
d’intervention, le cas échéant. En outre, les logs de monitoring ou d’examen du personnel doivent
contenir suffisamment d’informations afin de déterminer leur signification exacte et les actions
éventuellement requises.
Certaines entreprises se contentent de faire les choses à moitié : elles examinent les logs après
un grave incident, comme un système compromis, une fuite d’informations ou une mystérieuse
panne de serveur, mais elles évitent d’assurer le monitoring et l’examen continus des logs,
souvent en invoquant le manque de ressources. Ainsi, elles se montrent réactives en analysant
les logs, ce qui est essentiel. Toutefois, elles ne comprennent pas l’importance d’être proactives
et de savoir quand un événement négatif va survenir ou quand la situation va s’aggraver. Par
exemple, si vous examinez des logs, vous pouvez apprendre que le basculement a été activé sur un
pare-feu, voire même que la connexion est toujours active. Il est donc probablement nécessaire
d’enquêter sur l’incident. Si vous ne le faites pas et que vous perdez votre connectivité réseau,
vous ne pourrez vous tourner que vers vos précieux logs afin de savoir pourquoi les périphériques
de basculement sont tombés en panne.
www.netiq.com 19
Livre blanc
Le guide complet de la gestion des logs et événements
Par ailleurs, il est important de souligner que certains types d’entreprises doivent examiner les
Trop souvent, notamment
fichiers logs et les suivis d’audit, en raison de pressions réglementaires. Comme nous l’avons
en cas d’attaques
mentionné, les réglementations de la loi HIPAA obligent les sociétés médicales à établir un
internes, l’incident
programme d’analyse et d’enregistrement des audits. La norme de sécurité des données PCI-DSS est identifié après un
contient des dispositions relatives à la collecte des logs mais aussi à leur examen périodique et à long délai, pouvant
leur monitoring, ce qui indique que la collecte ne se suffit pas à elle-même. aller jusqu’à plusieurs
mois après le crime ou
l’utilisation abusive.
La troisième erreur courante est le stockage des logs pendant un délai trop court. Il est possible de
conserver des événements normalisés pendant 30 jours dans le système de stockage des logs de
fonctionnement d’un système SIEM. En revanche, un système de gestion des logs est requis pour
une conservation à long terme Ainsi, les équipes en charge des opérations informatiques ou de la
sécurité pensent disposer des logs nécessaires pour le monitoring, l’investigation ou le dépannage.
Lorsqu’un incident survient, elles réalisent avec horreur que leurs logs sont tous perdus à cause
d’une stratégie de conservation trop réductrice. Trop souvent, notamment en cas d’attaques
internes, l’incident est identifié après un long délai, pouvant aller jusqu’à plusieurs mois après le
crime ou l’utilisation abusive. Vous avez peut-être réalisé des économies en termes de matériel
de stockage, mais vous pourriez subir des pertes dix fois supérieures à cause de sanctions
réglementaires.
S’il est essentiel pour une entreprise de restreindre ses coûts, la solution consiste parfois à diviser la
conversation en deux parties : le stockage en ligne à court terme plus onéreux et le stockage hors ligne
à long terme, bien moins cher. Un bon outil de gestion des logs permet aux entreprises d’effectuer des
recherches dans les deux zones de stockage de manière transparente, sans déplacer aucune donnée.
Une approche à trois niveaux, également courante et plus appropriée, résout certains problèmes de
limitations rencontrés avec la technique précédente. Dans ce cas, un stockage quasi en ligne, où les
logs sont toujours accessibles et peuvent faire l’objet de recherches, est ajouté au stockage en ligne
à court terme. Les archives de logs les plus anciennes et les moins pertinentes sont transférées au
troisième niveau, par exemple des bandes ou des DVD, où elles peuvent être stockées à moindres frais.
Toutefois, il n’est pas possible d’accéder uniquement aux logs requis. Par exemple, une institution
financière stockait des logs en ligne pendant 90 jours, puis dans le stockage quasi en ligne du système
de gestion des logs pendant deux ans, où il était possible d’effectuer des recherches, et enfin sur des
bandes pendant sept ans au maximum, parfois plus dans certains cas.
La quatrième erreur concerne la hiérarchisation des archives des logs. Même si les entreprises
savent hiérarchiser leurs données afin de mieux organiser leurs efforts d’analyse des logs,
une erreur courante à l’heure actuelle consiste à hiérarchiser les archives de logs avant leur
collecte. En réalité, même certains documents relatifs aux meilleures pratiques recommandent
de recueillir uniquement les données les plus importantes. Mais, quelles sont-elles ? Il s’agit là
d’un manquement des documents d’aide précédemment cités : ils ne définissent pas la notion
d’informations importantes de manière utile. Il existe plusieurs approches à ce problème, mais
elles peuvent mener à des défaillances évidentes en matière de positionnement sur la sécurité
voire saper vos efforts de conformité aux réglementations.
20
Par exemple, de nombreuses entreprises affirmeraient que les logs de prévention et de détection
Vous devez vous assurer
d’intrus sur le réseau sont intrinsèquement plus importants que les logs du concentrateur du
que les logs d’application
réseau privé virtuel (VPN), par exemple. Cela est peut-être vrai dans le monde réel où les menaces
sont recueillis et
disponibles pour l’analyse externes dominent complètement les réseaux et où l’ensemble des employés et des partenaires
mais aussi pour la sont dignes de confiance. Les logs du VPN mais aussi ceux des postes de travail et des serveurs
conservation à long sont les emplacements où vous seriez le plus susceptible de devoir mener une enquête interne
terme. Pour ce faire, vous
en cas de fuite d’informations ou d’infection d’un logiciel malveillant. Par conséquent, les
devez configurer votre
affirmations similaires sur la grande importance d’autres types de logs peuvent être tout autant
logiciel de gestion des
logs afin de les recueillir remises en question. Cela nous amène à réaliser que, malheureusement, vous avez besoin de
et établir une stratégie recueillir la totalité ou la plupart des archives de logs générées. Mais, êtes-vous vraiment en
d’examen des logs qui mesure de le faire ? Avant de répondre à cette question, essayez de savoir si vous pouvez identifier
vous permettra de passer
les logs les plus importants avant même de les consulter. Il vous semblera alors possible de
en revue les logs en cas
résoudre ce problème. En réalité, il existe des solutions économiques pour obtenir ce résultat.
d’incidents, mais aussi
de manière proactive et
périodique. Afin d’éviter de commettre cette erreur, il faut déployer une solution de gestion des logs avant
de mettre en place la technologie SIEM, comme nous l’avons expliqué précédemment. Ainsi,
l’entreprise est assurée que tous les logs requis sont disponibles pour être analysés, même si un
pourcentage seulement est visible à l’aide d’un moteur de corrélation SIEM.
La dernière erreur est d’ignorer les logs provenant des applications pour se concentrer
uniquement sur les périphériques réseaux internes et périmétriques, voire sur les serveurs, sans
aller plus haut dans la pile afin d’examiner la consignation des applications.
Les applications d’entreprise vont des systèmes SAP et PeopleSoft aux petites applications
développées en interne, qui gèrent néanmoins des processus fondamentaux dans de nombreuses
entreprises. Il ne faut pas non plus oublier les applications héritées, exécutées sur des mainframes
et des systèmes de milieu de gamme, qui sont souvent en charge du fonctionnement des
processus métiers essentiels. La disponibilité et la qualité des logs diffèrent énormément d’une
application à l’autre : ils peuvent être inexistants (c’est le cas pour de nombreuses applications
développées en interne) ou extrêmement détaillés et volumineux (c’est le cas pour de nombreuses
applications de mainframe). Le manque de normes de consignation courantes voire même de
conseils en consignation destinés aux développeurs de logiciels génère divers défis concernant
les logs d’application. Heureusement, de futurs projets, comme l’initiative CEE (Common Event
Expression) de MITRE, résoudront ce problème.
Malgré les défis, vous devez vous assurer que les logs d’application sont recueillis et disponibles
pour l’analyse mais aussi pour la conservation à long terme. Pour ce faire, vous devez configurer
votre logiciel de gestion des logs afin de les recueillir et établir une stratégie d’examen des logs
qui vous permettra de passer en revue les logs en cas d’incidents, mais aussi de manière proactive
et périodique. Il est donc conseillé de faire appel à des fournisseurs qui facilitent la configuration
www.netiq.com 21
Livre blanc
Le guide complet de la gestion des logs et événements
de leurs systèmes afin de collecter des logs provenant d’applications personnalisées, étant donné
Avant d’être prête
qu’ils sont souvent les plus importants. Vous pouvez configurer ultérieurement vos outils SIEM
à passer aux outils
afin d’analyser les logs à des fins de sécurité, ainsi que les logs de réseau et autres.
SIEM, votre entreprise
va peut-être devoir
réapprendre les principes
Conclusions de la consignation.
Pour effectuer une telle
transition, vous devez
L’un des conclusions essentielles à tirer de ce livre blanc est de se souvenir que toutes les être capable de répondre
entreprises possèdent des logs. Par conséquent, elles doivent toutes les gérer. Dans sa forme la aux alertes mais aussi de
plus vaste, la gestion des logs consiste simplement à traiter les logs. Si vous possédez des logs, personnaliser et régler
vos produits.
vous devez les gérer, ne serait-ce que pour vous conformer aux nombreuses conditions des
réglementations en vigueur actuellement.
En outre, il est important de ne pas oublier que les logs sont utilisés dans un très grand nombre
de situations, de la réponse aux incidents traditionnels à des cas hautement ésotériques. Les logs
sont généralement utilisés bien après l’événement et sa consignation dans les logs. En effet, il est
bien plus facile de se préparer à fournir une réponse que d’assurer un monitoring.
Avant d’être prête à passer aux outils SIEM, votre entreprise va peut-être devoir réapprendre
les principes de la consignation. Pour effectuer une telle transition, vous devez être capable de
répondre aux alertes mais aussi de personnaliser et régler vos produits.
Une fois la solution de gestion des logs et les outils SIEM mis en oeuvre, votre entreprise peut
progresser sur l’échelle de maturité afin de bénéficier d’une visibilité complète sur le réseau et
les applications, d’un monitoring des activités des utilisateurs et de l’intégration à différents
systèmes.
À propos de l’auteur
Le Dr Anton Chuvakin (www.chuvakin.org) est un expert en sécurité réputé dans le domaine
de la gestion des logs et de la conformité à la norme PCI-DSS. Il a écrit deux livres intitulés
« Security Warrior » (Le guerrier de la sécurité) et « PCI Compliance » (Conformité à la norme
PCI) et a contribué à l’élaboration de plusieurs ouvrages, dont « Know Your Enemy II » (Bien
connaître son ennemi II) et « Information Security Management Handbook » (Guide de la
gestion de la sécurité des informations). M. Chuvakin a publié des dizaines d’articles sur la
gestion des logs, la corrélation, l’analyse des données, la norme PCI-DSS et la gestion de la
sécurité (rendez-vous sur le site www.info-secure.org pour en obtenir la liste). Son blog
www.securitywarrior.org est l’un des plus populaires du secteur. En outre, M. Chuvakin
22
enseigne et participe à de nombreuses conférences sur la sécurité dans le monde entier. Il a
Les clients et partenaires
récemment prononcé des discours aux États-Unis, au Royaume-Uni, à Singapour, en Espagne
choisissent NetIQ pour
et en Russie, entre autres. Il travaille actuellement sur les normes de sécurité émergeantes et est
relever les défis de la
protection économique membre du conseil consultatif de plusieurs startups spécialisées en sécurité.
des informations et de
la simplification de la Actuellement, M. Chuvakin développe son activité de consulting en sécurité, www.
complexité opérationnelle
securitywarriorconsulting.com, en se consacrant particulièrement à la consignation et à la
informatique.
conformité à la norme PCI-DSS pour les fournisseurs de solutions de sécurité et les entreprises
figurant au classement Fortune 500. M. Chuvakin était auparavant directeur des solutions de
conformité à la norme PCI chez Qualys. Auparavant, il a travaillé pour le compte de Log Logic
en tant que promoteur de la consignation. Dans le cadre de ce rôle, il avait pour tâche d’éduquer
les entreprises sur l’importance de la consignation à des fins de sécurité, de conformité et
d’exploitation. Avant de rejoindre Log Logic, M. Chuvakin était responsable de la gestion de
produits stratégiques pour un fournisseur de solutions de sécurité. M. Chuvakin a obtenu son
doctorat de l’université de Stony Brook.
À propos de NetIQ
NetIQ est une société informatique dont les efforts sont constamment axés sur la réussite de
ses clients. Les clients et partenaires choisissent NetIQ pour relever les défis de la protection
économique des informations et de la simplification de la complexité opérationnelle informatique.
Notre portefeuille de solutions de gestion automatisées et évolutives englobe la sécurité et
la conformité, les identités et les accès, et les performances et la disponibilité. De plus, nous
proposons une approche pratique et ciblée de la résolution des défis informatiques. Nos clients en
tirent des avantages stratégiques, leurs activités s’améliorent de façon démontrable et ils réalisent
des économies par rapport aux autres approches existantes.
www.netiq.com 23
NetIQ
France
Tel: +33 (0) 1 55 70 30 13
contact-fr@netiq.com
www.netiq.com/communities
www.netiq.com
www.netiq.com
www.netiq.com
562-FR1003-002 | Q | 06/16 | © 2016 NetIQ Corporation et ses filiales. Tous droits réservés. NetIQ, le logo NetIQ et Sentinel sont des marques commerciales ou déposées
de NetIQ Corporation aux États-Unis. Tous les autres noms de produits et d’entreprises peuvent être des marques commerciales appartenant à leur propriétaire respectif.