Vous êtes sur la page 1sur 53

Security Informations and Events Management

SIEM

MASTER 1 TDSI - FST - UCAD

Présenté Par:
Mr Mabator Ndiaye DIOP
Mlle Yacine SAMB
November 23, 2021 1 / 38
PLAN

1 Introduction

November 23, 2021 2 / 38


PLAN

1 Introduction
2 Historique

November 23, 2021 2 / 38


PLAN

1 Introduction
2 Historique
3 Définition

November 23, 2021 2 / 38


PLAN

1 Introduction
2 Historique
3 Définition
4 Fonctionnement

November 23, 2021 2 / 38


PLAN

1 Introduction
2 Historique
3 Définition
4 Fonctionnement
5 Pourquoi utiliser un SIEM

November 23, 2021 2 / 38


PLAN

1 Introduction
2 Historique
3 Définition
4 Fonctionnement
5 Pourquoi utiliser un SIEM
6 Avantages et inconvénients d’une solution SIEM

November 23, 2021 2 / 38


PLAN

1 Introduction
2 Historique
3 Définition
4 Fonctionnement
5 Pourquoi utiliser un SIEM
6 Avantages et inconvénients d’une solution SIEM
7 Présentation de quelques solutions SIEM

November 23, 2021 2 / 38


PLAN

1 Introduction
2 Historique
3 Définition
4 Fonctionnement
5 Pourquoi utiliser un SIEM
6 Avantages et inconvénients d’une solution SIEM
7 Présentation de quelques solutions SIEM
8 Quelle est la meilleure solution SIEM

November 23, 2021 2 / 38


PLAN

1 Introduction
2 Historique
3 Définition
4 Fonctionnement
5 Pourquoi utiliser un SIEM
6 Avantages et inconvénients d’une solution SIEM
7 Présentation de quelques solutions SIEM
8 Quelle est la meilleure solution SIEM
9 Conclusion

November 23, 2021 2 / 38


Introduction

Pour optimiser leur sécurité informatique, les organisations et entreprises de


toutes tailles doivent pouvoir surveiller leurs réseaux et systèmes
d’information, afin d’identifier les actions malveillantes qui les menacent et se
prémunir de potentielles attaques avant qu’elles ne causent de graves
dommages. Dans cette perspective, le SIEM (pour Security Informations
and Events Management) essaie d’apporter un ensemble de moyens
permettant d’agréger, normaliser, corréler, consolider, superviser, analyser,
notifier et capitaliser les événements de sécurité de l’information.

November 23, 2021 3 / 38


HISTORIQUE

Le terme SIEM a été conçu en 2005 par Mark Nicolett et Amrit


Williams,deux analystes du GARTNER. À l’époque, deux types de solutions
complémentaires mais distinctes géraient les données de sécurité des systèmes
d’information : les S.E.M. et les S.I.M. Mark Nicolett et Amrit Williams ont
noté le rapprochement évident des outils de gestion des journaux ou S.I.M.
(Security Information Management) et des programmes de suivi
d’événements de sécurité ou S.E.M. (Security Event Manager ).

November 23, 2021 4 / 38


HISTORIQUE

Nicolett et Williams mettent en évidence la nécessité de combiner ces deux


outils pour mieux piloter la sécurité et créent le terme SIEM. Le SIEM
devient alors un outil actif de la sécurité. Depuis, les SIEM ont beaucoup
évolué. Par rapport à la définition de 2005, il faut rajouter aujourd’hui dans
les capacités des SIEM des capacités de combinaison avec les C.T.I.(Cyber
Threat Intelligence externe ou encore des fonctionnalités d’Intelligence
Artificielle telles que le machine learning pour améliorer les capacités de
détection.

November 23, 2021 5 / 38


HISTORIQUE
S.E.M

S.E.M. pour Security Event, permet l’analyse des logs en temps réel (ou
quasi réel) en provenance des systèmes de sécurité, réseaux, d’exploitation et
applicatifs.
Le S.E.M. effectue aussi d’autres actions :
il est capable de traiter un volume très important de données en temps réel,

November 23, 2021 6 / 38


HISTORIQUE
S.E.M

S.E.M. pour Security Event, permet l’analyse des logs en temps réel (ou
quasi réel) en provenance des systèmes de sécurité, réseaux, d’exploitation et
applicatifs.
Le S.E.M. effectue aussi d’autres actions :
il est capable de traiter un volume très important de données en temps réel,
lorsqu’il identifie des événements douteux, il les enrichit dans un format dédié
à la détection d’intrusion,

November 23, 2021 6 / 38


HISTORIQUE
S.E.M

S.E.M. pour Security Event, permet l’analyse des logs en temps réel (ou
quasi réel) en provenance des systèmes de sécurité, réseaux, d’exploitation et
applicatifs.
Le S.E.M. effectue aussi d’autres actions :
il est capable de traiter un volume très important de données en temps réel,
lorsqu’il identifie des événements douteux, il les enrichit dans un format dédié
à la détection d’intrusion,
il propose des capacités de corrélation avancées en temps réel des événements,

November 23, 2021 6 / 38


HISTORIQUE
S.E.M

S.E.M. pour Security Event, permet l’analyse des logs en temps réel (ou
quasi réel) en provenance des systèmes de sécurité, réseaux, d’exploitation et
applicatifs.
Le S.E.M. effectue aussi d’autres actions :
il est capable de traiter un volume très important de données en temps réel,
lorsqu’il identifie des événements douteux, il les enrichit dans un format dédié
à la détection d’intrusion,
il propose des capacités de corrélation avancées en temps réel des événements,
il dispose d’outils nécessaires au suivi et à l’exploitation des alertes,

November 23, 2021 6 / 38


HISTORIQUE
S.E.M

S.E.M. pour Security Event, permet l’analyse des logs en temps réel (ou
quasi réel) en provenance des systèmes de sécurité, réseaux, d’exploitation et
applicatifs.
Le S.E.M. effectue aussi d’autres actions :
il est capable de traiter un volume très important de données en temps réel,
lorsqu’il identifie des événements douteux, il les enrichit dans un format dédié
à la détection d’intrusion,
il propose des capacités de corrélation avancées en temps réel des événements,
il dispose d’outils nécessaires au suivi et à l’exploitation des alertes,
enfin, il est capable d’effectuer une réponse aux incidents sur des menaces
internes comme externes.

November 23, 2021 6 / 38


HISTORIQUE
S.I.M

S.I.M. pour Security Information Management.Son rôle par contre est de gérer
l’historique des traces, de fournir des rapports en conformité avec la
réglementation existante au sein de l’entreprise, et de surveiller les menaces
internes.
. Le S.I.M effectue d’autres actions comme :
il permet de stocker des volumes très importants de données brutes peu

November 23, 2021 7 / 38


HISTORIQUE
S.I.M

S.I.M. pour Security Information Management.Son rôle par contre est de gérer
l’historique des traces, de fournir des rapports en conformité avec la
réglementation existante au sein de l’entreprise, et de surveiller les menaces
internes.
. Le S.I.M effectue d’autres actions comme :
il permet de stocker des volumes très importants de données brutes peu
il propose parfois un format de normalisation mais ce format est
généralement très simpliste,

November 23, 2021 7 / 38


HISTORIQUE
S.I.M

S.I.M. pour Security Information Management.Son rôle par contre est de gérer
l’historique des traces, de fournir des rapports en conformité avec la
réglementation existante au sein de l’entreprise, et de surveiller les menaces
internes.
. Le S.I.M effectue d’autres actions comme :
il permet de stocker des volumes très importants de données brutes peu
il propose parfois un format de normalisation mais ce format est
généralement très simpliste,
il offre des capacités d’indexation et de recherche à des fins d’analyse et
d’investigation numérique.

November 23, 2021 7 / 38


DEFINITION

Les systèmes de gestion des événements et des informations de sécurité


(SIEM) sont des systèmes centralisés qui offrent une visibilité totale sur
l’activité de votre réseau et vous permettent ainsi de réagir aux menaces en
temps réel. Ils collectent, lisent et catégorisent les données machine d’une
grande diversité de sources, puis analysent celles-ci pour produire des
renseignements qui vous permettront d’agir.
Ils fournissent une vue globale et centralisée en matière de posture de sécurité
d’une infrastructure IT. Ils donnent aux professionnels de la cybersécurité un
aperçu des activités au sein de leur environnement IT.

November 23, 2021 8 / 38


Pourquoi utiliser un SIEM ?

La solution S.I.E.M. permet de surveiller des


applications, des comportements utilisateurs et des
accès aux données. A travers les fonctionnalités fournis
par cette solution, il est donc possible de collecter, de
mettre dans un format de normalisation, d’agréger, de
corréler et d’analyser les données des événements issus
des machines, systèmes et applications (pare-feu,
systèmes de prévention d’intrusion, machines réseau,
machines de sécurité, applications, bases de données,
serveurs).

November 23, 2021 9 / 38


FONCTIONNEMENT

Pour permettre au système d’identifier des événements anormaux, il est


important que l’administrateur S.I.E.M. élabore en premier lieu un profil du
système dans des conditions normales de fonctionnement.
Au niveau le plus simple, un système S.I.E.M. peut reposer sur des règles ou
utiliser un moteur de corrélation statistique pour établir des relations entre les
entrées du journal des événements. Sur certains systèmes, un pré-traitement
peut intervenir au niveau des collecteurs. Seuls certains événements sont alors
transmis au noeud d’administration centralisé. Ce pré-traitement permet de
réduire le volume d’informations communiquées et stockées. Toutefois, cette
approche comporte le risque de filtrer des événements pertinents de manière
précoce.

November 23, 2021 10 / 38


FONCTIONNEMENT

Les SIEM permettent:


1 La collecte
2 La normalisation
3 L’agrégation
4 La corrélation
5 Le reporting
6 L’archivage
7 le rejeu d’évènements

November 23, 2021 11 / 38


Fonctionnement
La collecte

Le principe de la collecte est de fournir au S.I.E.M. des


données à traiter. Ces données peuvent être de nature
diverse en fonction de l’équipement ou du logiciel, mais
aussi être envoyées de manières tout à fait différentes.
On distingue deux modes de fonctionnement :
1
Mode actif
2
Mode passif

November 23, 2021 12 / 38


Fonctionnement
La collecte

LE MODE ACTIF:
la plupart des S.I.E.M. fonctionnent en déployant une
multitude d’agents de collecte de manière hiérarchique sur
les équipements à superviser. Ces agents ont pour fonction
de récupérer les informations des appareils des utilisateurs,
des serveurs, des équipements réseau, voire des
équipements spécialisés de sécurité, tels que les pare-feu,
ou encore les systèmes antivirus et anti-intrusions, et aussi
des logiciels de sécurité et de les envoyer au S.I.E.M.

November 23, 2021 13 / 38


Fonctionnement
La collecte

LE MODE PASSIF:
le S.I.E.M. est en écoute directe sur les équipements à
superviser. Pour cette méthode, c’est l’équipement ou
le logiciel qui envoie des informations sans
intermédiaire au S.I.E.M.

November 23, 2021 14 / 38


Fonctionnement
La normalisation

Les informations collectées viennent d’équipements et


logiciels hétérogènes ayant pour la plupart leurs propres
moyens de formater les données. Cette étape permet
d’uniformiser les informations selon un format unique
pour faciliter le traitement par le S.I.E.M. Des formats
sont mis au point par l’I.E.T.F. sous forme de R.F.C.
pour structurer les informations de sécurité et pouvoir
les échanger et les traiter plus facilement.
IDMEF (Intrusion Détection Message Exchange
Format)
IODEF (Incident Object Description and
Exchange Format)
November 23, 2021 15 / 38
Fonctionnement
La normalisation

La normalisation permet ainsi de faire des recherches


multi-critères, sur un champ ou sur une date. Ce sont ces
événements qui seront enrichis avec d’autres données puis
envoyés vers le moteur de corrélation.

November 23, 2021 16 / 38


Fonctionnement
L’agrégation

L’agrégation est le premier traitement des évènements de


sécurité. Il consiste en un regroupement d’évènements de
sécurité selon certains critères. Ces critères sont
généralement définis à travers des règles appelées règles
d’agrégation et s’appliquent à des évènements ayant des
similarités. Plusieurs règles de filtrage peuvent être
appliquées. Ils sont ensuite agrégés selon les solutions,
puis envoyés vers le moteur de corrélation.

November 23, 2021 17 / 38


Fonctionnement
La corrélation

La corrélation correspond à l’analyse d’évènements selon


certains critères. Ces critères sont généralement définis à
travers des règles appelées règles de corrélation. Le but
de cette étape est d’établir des relations entre évènements,
pour ensuite pouvoir créer des alertes de corrélations, des
incidents de sécurités, des rapports d’activité. La
corrélation se différencie sur plusieurs points:
1
Auto-apprentissage et connaissances rapportées
2
Temps réel et données retardées
3
Corrélation active et passive

November 23, 2021 18 / 38


Fonctionnement
La corrélation

Auto-apprentissage et connaissances
rapportées:
Pour pouvoir fonctionner, les moteurs de corrélation
ont besoin d’informations sur les systèmes et réseaux de
l’infrastructure. Ces informations peuvent être
collectées automatiquement et/ou saisies manuellement
par un opérateur.

November 23, 2021 19 / 38


Fonctionnement
La corrélation

Temps réel et données retardées:


Dans certains cas, les évènements bruts sont forgés et
envoyés directement pour être corrélés en temps réel.
Dans d’autres cas, les évènements sont d’abord stockés,
et envoyés après un premier traitement (ex :
agrégation), leur envoi peut être alors conditionné.

November 23, 2021 20 / 38


Fonctionnement
La corrélation

Corrélation active et passive:


La corrélation active a la possibilité de compléter les
évènements reçus en recueillant des informations
supplémentaires pour prendre des décisions. La
corrélation passive est une corrélation qui ne peut pas
interagir avec son environnement, elle reçoit des
évènements et prend des décisions.

November 23, 2021 21 / 38


Fonctionnement
La corrélation

Les règles de corrélation permettent d’identifier un


événement qui a causé la génération de plusieurs autres
(un hacker qui s’est introduit sur le réseau, puis a
manipulé tel équipement, etc). Elles permettent aussi
de remonter une alerte via un courriel, SMS ou ouvrir
un ticket si la solution S.I.E.M. est interfacée avec un
outil de gestion de tickets

November 23, 2021 22 / 38


Fonctionnement
Le reporting

Les S.I.E.M. permettent également de créer et générer


des tableaux de bord et des rapports. Ainsi, les
différents acteurs du système d’information,
responsables sécurité du système d’information,
administrateurs, utilisateurs peuvent avoir une visibilité
sur le système d’information (nombre d’attaques,
nombre d’alertes par jour...).

November 23, 2021 23 / 38


Fonctionnement
L’archivage

Les solutions S.I.E.M. sont utilisées également pour des


raisons juridiques et réglementaires. Un archivage à
valeur probante permet de garantir l’intégrité des
traces. Les solutions peuvent utiliser du chiffrement par
exemple pour garantir l’intégrité des traces.

November 23, 2021 24 / 38


Fonctionnement
Le rejeu des évènements

La majorité des solutions permettent également de


rejouer les anciens événements pour mener des enquêtes
post-incidentes. Il est également possible de modifier
une règle et de rejouer les événements pour voir son
comportement.

November 23, 2021 25 / 38


AVANTAGES D’UNE SOLUTION S.I.E.M

Il faut le reconnaı̂tre, s’équiper d’une solution de type


S.I.E.M. nécessite un investissement conséquent en
raison de la complexité de sa mise en oeuvre. Toutefois,
bien qu’initialement destiné aux grandes entreprises, le
S.I.E.M. offre des avantages à tous les types
d’organisations :
Détection proactive d’incidents
Conformité et reporting
Amélioration des activités de gestion des
incidents

November 23, 2021 26 / 38


AVANTAGES D’UNE SOLUTION S.I.E.M

Détection proactive d’incidents:


Un S.I.E.M. s’avère capable de détecter des incidents
de sécurité qui seraient passés inaperçus. Pour une
raison simple : les nombreux hôtes qui enregistrent des
événements de sécurité ne disposent pas de fonctions de
détection d’incidents.

November 23, 2021 27 / 38


AVANTAGES D’UNE SOLUTION S.I.E.M

Conformité et reporting:
textrmÀ l’heure où les normes et certifications de
cyber-sécurité sont de plus en plus nombreuses, le S.I.E.M.
devient un élément clé de tout système d’information.
C’est un moyen relativement simple de répondre à
plusieurs exigences de sécurité (ex : historisation et suivi
des logs, rapports de sécurité, alerting, ...). D’autant que
le S.I.E.M. peut générer des rapports hautement
personnalisables selon les exigences des différentes
réglementations. Ce seul bénéfice suffit à convaincre des
organisations de déployer un S.I.E.M.
November 23, 2021 28 / 38
AVANTAGES D’UNE SOLUTION S.I.E.M

Amélioration des activités de gestion des


incidents:
Un S.I.E.M. contribue aussi à une meilleure réaction
aux incidents. Disposer d’un S.I.E.M. c’est l’assurance
d’identifier rapidement des menaces et de réduire le
temps de réaction avec des ressources réduites.

November 23, 2021 29 / 38


INCONVENIENTS D’UNE SOLUTION SIEM
Déployer un S.I.E.M. ne suffit pas pour autant à
sécuriser complètement votre organisation. Les
solutions S.I.E.M. présentent des limites qui ne les
rendent pas optimales sans un accompagnement à la
hauteur et sans solutions tierces. Contrairement à une
solution de sécurité de type IPS ou Firewall, un
S.I.E.M. ne surveille pas les événements de sécurité
mais utilise les données de fichiers journaux enregistrées
par ces derniers.
Une configuration quelques fois trop complexe
Des coûts de déploiement qui peuvent être
élevés
Un grand volume d’alertes à réguler November 23, 2021 30 / 38
INCONVENIENTS D’UNE SOLUTION SIEM

Une configuration quelques fois trop


complexe:
Les S.I.E.M. sont des produits complexes qui appellent
un accompagnement pour assurer une intégration
réussie avec les contrôles de sécurité de l’entreprise et
les nombreux hôtes de son infrastructure. Il est
important de ne pas se contenter d’installer un S.I.E.M.
avec les configurations du constructeur et/ou par
défaut, car ces configurations sont souvent insuffisantes.
Elles doivent être personnalisées et adaptées aux
besoins des utilisateurs.
November 23, 2021 31 / 38
INCONVENIENTS D’UNE SOLUTION SIEM

Des coûts de déploiement qui peuvent être


élevés:
Réaliser les fonctions des S.I.E.M. par rapport aux
événements de sécurité est une tâche qui semble
relativement simple. Cependant, leur collecte, stockage
et l’exécution des rapports de conformité, l’application
des correctifs et l’analyse de tous les événements de
sécurité se produisant sur le réseau d’une entreprise
n’est pas facile. Taille des supports de stockage,
puissance informatique pour le traitement des
informations, temps d’intégration des équipements de
sécurité, mise en place des alertes, etc.
November 23, 2021 32 / 38
INCONVENIENTS D’UNE SOLUTION SIEM

Un grand volume d’alertes à réguler:


Les solutions S.I.E.M. s’appuient généralement sur des
règles pour analyser toutes les données enregistrées.
Cependant, le réseau d’une entreprise génère un nombre
très important d’alertes (en moyenne 10 000 par jours)
qui peuvent être positives ou non. En conséquence,
l’identification de potentielles attaques est compliquée
par le volume de fichiers journaux non pertinents.

November 23, 2021 33 / 38


Présentation de quelques solutions SIEM

Il existe une panoplie de solutions qui sont proposées


par plusieurs entités avec leurs avantages et leurs
inconvénients. Il existe des solutions qui sont
propriétaires, et donc payantes, et des solutions qui
sont libres et à codes sources ouverts, donc gratuites.
Parmi ces solutions on peut citer:
SPLUNK Enterprise
IBM QRadar
ELK

November 23, 2021 34 / 38


Présentation de quelques solutions SIEM
SPLUNK

L’un des leaders du marché, SPLUNK est un SIEM. propriétaire


mais qui possède une version gratuite. Cette version gratuite
permet de stocker jusqu’à 500Mo de fichiers journaux par jour.
SPLUNK se suffit à lui-même pour ingérer les données, les
transformer et les analyser. De plus SPLUNK rime avec
évolutivité : Votre réseau peut s’agrandir, Splunk suivra.

November 23, 2021 35 / 38


Présentation de quelques solutions SIEM
IBM QRadar

QRadar est une solution plutôt orientée grandes entreprises d’où


peut-être une utilisation un peu plus complexe lorsqu’il s’agit de la
personnaliser. Cependant la solution possède déjà un large choix
de cas prédéfinis. Mais QRadar a un coût plus élevé. IBM QRadar
a la possibilité de collecter les logs et les flux venant d’applications
sur le Cloud. La solution peut être déployée en SaaS grace à
l’offre IBM Cloud .

November 23, 2021 36 / 38


Présentation de quelques solutions SIEM
ELK

ELK est utilisé par des entreprises comme Ebay,


Netflix, Cisco... ELK est composé de trois logiciels
libres et à codes sources ouverts : Logstash,
ElasticSearch et Kibana.

November 23, 2021 37 / 38


Quelle est la meilleure solution SIEM ?

Tout dépend de ce que vous cherchez. L’outil doit


pouvoir traiter les volumes actuels de données, gérer la
sophistication des attaques d’aujourd’hui et déclencher
des réponses intelligentes aux incidents, en temps réel.

November 23, 2021 38 / 38


CONCLUSION

Dans un monde où les cybermenaces sont de plus en plus


vigoureuses – et où l’environnement réglementaire est toujours
plus dur et les conséquences des violations, toujours plus graves –
les équipes de sécurité s’appuient de plus en plus sur la technologie
SIEM pour la corrélation des événements, l’intelligence des
menaces, l’agrégation des données de sécurité et plus encore. La
sécurité des entreprises repose sur l’identification et la prise en
charge rapide des problèmes de sécurité, et toute équipe de sécurité
a intérêt à étudier les capacités des différents systèmes SIEM
disponibles pour identifier celui qui répond le mieux à ses besoins.

November 23, 2021 39 / 38

Vous aimerez peut-être aussi