Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Etude et Mise en place du siem dans système de cyberdéfense Table des matières

Etude et Mise en place du siem dans système de cyberdéfense Table des matières Objectifs: Peut-on en 2019 faire de la SSI sans SIEM ? Peut-on en 2019 faire de la cyberdéfense sans SIEM? Peut-on réussir à ne pas assurer correctement ses objectifs de sécurité avec un SIEM ? Plan: introduction à la cybersécurité logicielle 1. SIEM : le besoin 2. SIEM : définition et produits 3. Les fonctions du SIEM 4. Architectures et composants 5. 4 exemples de corrélations 6. Le SIEM au sein du SOC (Security Operations Center) Les objectifs pédagogiques * Identifier au travers d'exemples de mise en œuvre de SIEM les différentes phases de traitement des évènements de sécurité * Explorer le cœur d'un système de cyberdéfense : le Security Operations Center Dans l’économie numérique mondialisée d’aujourd’hui, il est essentiel de surveiller et de protéger les données de votre entreprise contre les cyber- menaces de plus en plus sophistiquées. Et il y a fort à parier que votre entreprise a plus de données à traiter qu’elle n’en a jamais eu auparavant. Selon International Data Corporation (IDC), entre 2013 et 2020, l’univers numérique passera de 4,4 trillions de gigaoctets de données à 44 trillions de gigaoctets de données. En plus des outils sophistiqués servant à attaquer les entreprises et les administrations, la zone d’attaque s’est considérablement étendue, en raison de l’augmentation du nombre de données traversant nos infrastructures informatiques. La capacité à surveiller toutes ces données devient chaque jour Surveiller les données est une nécessité: Besoin un plus grand défi. Heureusement, la gestion de l’information et des événements de sécurité (SIEM) existe. SIEM signifie Security Information and Event Management ou gestion des informations et des événements de sécurité. On peut définir le SIEM comme la collecte d’événements en temps réel, la surveillance, la corrélation et l’analyse des événements à travers des sources disparates. Table des matières Les Objectifs du SIEM ..............................................................................................................................1 Le Siem Historique et fonctionnement ................................................................................................2 Les avantages du SIEM dans un SSI ..................................................................................................3 Mise en place du SIEM .............................................................................................................................4 Architectures du SIEM ou SIM ..............................................................................................................5 Configuration du SIEM .....................................................................................................................6 Un SIEM encore appelé SIM (Security Information Management) est un outil qui permet d’avoir une vue unique sur tous les événements liés à la sécurité du réseau et des systèmes. Il comprend l’analyse et la corrélation de logs, de gestion des incidents et le reporting basé sur l’analyse d’événements. Un SIEM analyse d’autres données en plus des logs, mais la source de données primaire est le log [12] Le SIEM (Security Information and Event Management) se définit comme la collecte, la surveillance, la corrélation et l’analyse en temps réel des événements provenant de sources disparates. Les solutions SIEM de nouvelle génération d’aujourd’hui permettent à votre entreprise de réagir rapidement et avec précision en cas de menace ou de fuite de données. Une solution SIEM de nouvelle génération assure la gestion, l’intégration, la corrélation et l’analyse en un seul endroit, ce qui facilite la surveillance et la résolution des problèmes de votre infrastructure informatique en temps réel. Définition du SIEM Le SIEM améliore les entreprises: Sans SIEM, un analyste de sécurité doit passer en revue des millions de données non comparables, stockées dans des « silos » pour chaque matériel, chaque logiciel et chaque source de sécurité. En bref, SIEM est synonyme de simplicité. SIEM puisque certains produits proposent les 2 modes et sont capables d’activer la couche « intelligente » par simple ajout de licence. Le SIEM, n’est plus une simple mode. Il doit désormais être inclus dans les solutions de sécurité mises en place au sein d’un SI, au même titre qu’un firewall ou qu’un WAF. Il doit faire partie des investissements à prévoir ou à continuer. Le SIEM sera les yeux des équipes de sécurité IT et permettra aux RSSI d’être plus sereins quant à leur capacité à connaître l’information au bon moment, et autrement que par les médias sociaux ou les journaux télévisés. Le premier de ces points est le fait qu’il faut bien distinguer deux besoins : la gestion des logs et la supervision de la sécurité. La gestion des logs, plus souvent appelée « Log Management », consiste en la mise en place d’une ou plusieurs solutions permettant à une entreprise de collecter, stocker, sécuriser et archiver les journaux d’information provenant des différents équipements de sécurité, d’authentification, d’accès à Internet... Ce besoin fait très souvent suite à des contraintes légales de conservation des « informations de connexion », mais permet également aux équipes IT de faire des recherches a posteriori, et souvent laborieuses, en cas de problème. Cette ou ces solutions peuvent être commerciales, « Open Source » ou « faites maison ». Le seul critère obligatoire qu’il faudra prendre en compte est le fait qu’il devra y avoir un mécanisme assurant le stockage intègre de l’information collectée afin d’en conserver la valeur probante en cas d’enquête judiciaire. La supervision de la sécurité, quant à elle, reflète une réflexion plus avancée sur les besoins de vérifier que « tout va pour le mieux » dans le Système d’Information. En effet, au-delà d’être en capacité de fournir une « information à valeur probante » à la justice, les entreprises qui font le choix de la mise en place d’une solution de supervision de la sécurité expriment un réel besoin de la gestion des logs et la supervision de la sécurité suivre en temps réel l’activité de leur SI, de corréler tous les évènements qui s’y passent et d’être alertés en cas de problème de sécurité. L’implémentation d’un SIEM, puisque c’est de ce type de solution dont on parle lorsque l’on évoque la supervision de la sécurité, implique une organisation et une mobilisation d’un grand nombre d’acteurs si l’on souhaite que le projet réussisse. Du CISO aux équipes IT, en passant par les RSSI et DSI, chaque métier doit être consulté afin que tous les besoins et toutes les contraintes soient respectés, que la PSSI soit implémentée dans la solution et que le SI n’ait pas à pâtir de la mise en place du SIEM. Mais un SIEM impliquera également la création d’une équipe dédiée, capable d’assurer plusieurs niveaux de services autour de l’outil. En effet, il faudra être en capacité de lire, d’analyser, de vérifier, de valider les alertes de sécurité remontées par la solution. Il faudra être en capacité de mobiliser les bons interlocuteurs, d’appliquer les process d’escalade, etc… Bref, il faudra créer un SOC. Vient alors la question du « Heures ouvrées ou 24/7 » ? Très rapidement suivie par « On le fait nous-même ou on le confie à un MSSP ? ». Un SOC, dans une entreprise, désigne une division qui assure la sécurité de l'organisation et surtout le volet sécurité de l'information. Si on fait référence à un SOC dans un bâtiment, il s'agit d'un lieu où est supervisé le site, avec des logiciels de traitement de données spécifiques1. Typiquement, les agents de sécurité vérifient les contrôles d'accès, contrôlent des lumières, des alarmes, des barrières de véhicules etc. source wiki 20/06/2019 01:40 Objectifs Un SOC est lié aux personnes, aux processus et aux technologies utilisées pour s’assurer de la connaissance de la situation grâce à la détection, au confinement et à l'assainissement des menaces informatiques. Un SOC gère les incidents pour l'entreprise en s'assurant qu'ils sont correctement identifiés, analysés, communiqués, actionnés / défendus, enquêtés et signalés. Le SOC surveille également les applications pour identifier une éventuelle SIEM : mobilisation générale ! cyberattaque ou intrusion (événement) et détermine s'il s'agit d'une menace (incident) réelle et malveillante, si cela pourrait avoir un impact sur l'entreprise. Exigences réglementaires L'établissement et l'exploitation d'un SOC est coûteux et difficile. Les organisations doivent avoir besoin de bonnes raisons pour le mettre en place. Cela peut inclure: • Protection des données sensibles • Se conformer aux règles de l'industrie telles que PCI DSS. • Se conformer aux règles gouvernementales, comme la SCEE GPG53 Security information management system Le principe du security information management (SIM, « Gestion de l'information de sécurité ») est de gérer les événements de sécurité du système d'information (SI). Appelés également SEM (security event management, « Gestion des événements de sécurité ») ou SEIM (security event information management, « Gestion de l'information des événements de sécurité ») ou encore SIEM (security information and event management, « Gestion de l'information et des événements de sécurité »), ils permettent de gérer et corréler les journaux. On parle de corrélation car ces solutions sont munies de moteurs de corrélation qui permettent de relier plusieurs événements à une même cause. Face au nombre d'événements générés par les composants d'un système d'information, il est difficile de les traiter à la volée. Les SIEM permettent : 1. la collecte 2. l'agrégation 3. la normalisation 4. la corrélation 5. le reportage 6. l'archivage 7. le rejeu des événements Collecte: Les logiciels de SIEM prennent en entrée les événements collectés du SI, les journaux système des équipements : pare-feux, routeurs, serveurs, bases de données… Ils permettent de prendre en compte différents formats (syslog, Traps SNMP, fichiers plats, OPSEC, formats uploads/Management/ memoire 25 .pdf