20/07/2016

1

Security Information & Event Management

Gestion des informations et événements de sécurité

Anas ABOU EL KALAMPrésident de l’Association Marocaine de confiAnce Numérique

12 mars 2014CISSI

Plan1. Problématique

2. Présentation SIEM

3. Fonctionnement SIEM

4. Solutions du marché SIEM

5. Comparaison des solutions

6. Mettre en place un projet SIEM

7 Conclusion2

Problématique

3

Que se passe‐t‐il sur mon réseau ?

Suis‐je sûr que les employés utilisent  l’infrastructure IT à des 

fins professionnelles ?

Est‐ce que mon infrastructure est  dimensionnée pour nos 

besoins ?

Est‐ce que la politique de sécurité de  l’entreprise correspond 

à la réalité ?

Est‐ce que notre entreprise répond aux  réglementations ?

Problématique

4

• Tendances marché NTIC : "entreprise étendue"

• de + en + ouverts, everywhere, everytime, everydevice

• � Moyen pour

• centraliser la supervision � gestion des événements/incidents

• faire face au volume exorbitant des événements de sécurité

• assurer la conformité par rapport aux exigences réglementaires

• reporting,

• rétention des logs,

• droit à la notification

•…

20/07/2016

2

Besoins fonctionnels

Reporting efficace et à la demande sur équipements hétérogènes 

Firewall, VPN, IDS, Proxy, Serveur Mail, Gateway Anti‐ Virus 

Serveur Web

Réduire le coût de supervision de la sécurité  et automatiser les 

processus.

Assurer et contrôler le bon usage de l’IT par  les employés

Optimiser l’utilisation du réseau

Investiguer facilement les évènements5

SIEM : Pourquoi ?

6

• "Everything the incident response program does, is a gap indicator of

where the rest of security program has failed"

• Tour de contrôle des événements de sécurité

pour alimenter le processus de réponse aux

incidents de sécurité

• Moyen pour mettre le doigt sur le manque

d'efficacité des contrôles de sécurité mis en

place

Présentation SIEM

7

SEM (Security Event

Management)

SIM (Security InformationManagement)

supervision temps réel

corrélation

traitement des événements

rétention des informations

support à l'analyse forensic

reporting des données de logsArchivage, conformité, …

Stockage & archivage 

Signature 

Indexation 

Alertes 

Visibilité 

Rapports 

Conformité  8

Normalisation 

Corrélation 

Temps réel 

Gestion d’incidents 

Géolocalisation 

Pro‐activité 

20/07/2016

3

SIEM : Fonctionnalités de base

9

SIEM : centralisation & archivage

10

• Centralisation en 1 point unique• données centralisées dans BD pour génération des tableaux de bords et pour investigation.

• Format de logs archivables• fichiers logs au format syslog, fichiers à plat, API proprio

• Valeur légales• logs stockés dans format natif afin d’être présentés si nécessaire comme preuve lors d’une enquête ou commission rogatoire.

• Intégrité, Compression, Chiffrement …• fichiers de logs signés, compressés et chiffrés de manière journalière (par type de périphérique et/ou date).

SIEM : Dashboards

11

• Tableaux de bord consolidés• interpréter et présenter les informations dans un format simple, systématiquement catégorisés, graphiques …

• Publication des tableaux de bord• tableaux de bord générés ou planifiés en fonction des paramètres définis au niveau du portail web.

• Drill‐Down• navigation aisée, permettant un véritable drill‐down pour remonter l’information recherchée.

• Fichiers liés chronologiquement• navigation vers les jours ou mois précédant ou suivant le rapport actuellement affiché.

SIEM : architecture de référence

12

20/07/2016

4

SIEM : architecture de référence

13

Fonctionnement SIEM

14

Agrégation

Indexation Normalisation

Corrélation

Le SIEM = point central pour analyser les journaux et autres 

données de sécurité des équipements, des applications, des 

systèmes d'exploitation, etc. 

Pour fonctionner le SIEM va utiliser plusieurs mécanismes

Gestion des alertes

Agrégation

Indexation Normalisation

Corrélation

La collecte Les équipements du Système d information génèrent souvent des

journaux envoyer d une manier ou d une autre au SIEM .

Deux modes de fonctionnement :

Mode Actif : Les SIEM possèdent des agents (deamons) dans

chaque équipement.

Mode Passif : en écoute directe sur les équipements supervisés.

15

La collecte Collecte des informations sans agent : 

Syslog 

SNMP 

WMI 

FTP, SFTP, SCP 

SQL, JDBC 

LEEF 

AXIS 

OPSEC LEA 16

20/07/2016

5

Indexation

Utilisation des indexes dans la recherche

Faciliter l'accès au fichiers ultérieurement

L’accès rapide à des évènements redoutant

Possibilité de rechercher « à la Google » 

Possibilité d’indéxer chaque mot d’un message

17

Agrégation

Trop d’événements � réduire le nombre

d’évènements.

S’appliquent à des événements ayant des

similarités

Regroupement d’évènements de sécurité selon

certains critères.18

Normalisation

Hétérogénéité � Chaque équipement du SI forme de sa propre

manière les informations envoyées.

Champs ajoutés au format brut 

But

Redéfinir les informations reçus sous une forme bien standardisé.

Procédé pour uniformiser les informations 

Format unique pour faciliter le traitement 19

Corrélation

Analyse d’évènements selon certains critères prédéfinis.

� règles de corrélation

� établir des relations entre évènements,

pour ensuite pouvoir créer

des alertes de corrélations,

des incidents de sécurités,

des rapports d’activité.20

20/07/2016

6

Gestion des alertes Reporting

Rapports contenant synthèse alertes & vue

d’ensemble de sécurité

++ types : Rapport de conformité, personnalisés

Stockage

Stocker alertes, incidents, rapports dans BD

pour analyse ultérieure

Réponse21 22

Les apports du SIEM

Archivage 

Visibilité 

Conformité 

Détection des incidents de sécurité 

Réponse aux incidents23

Archivage

Temps de rétention /équipement ou / type d’équipement 

Gestion de millions d’événements par secondes. 

Garantit l’intégrité et la disponibilité des logs 

Preuves recevables par un juge 

24

20/07/2016

7

25 26

Visibilité

Equipements sécurité 

Systèmes Windows, Linux, Unix 

Systèmes virtualisés (Citrix, VMWare, Hyper‐V) 

Equipements réseaux 

Applications 

Les données de sessions (flow) 

Vulnérabilité27

Conformité

Politique de sécurité de l’entreprise (PSSI) 

PCI DSS 

ISO 27002:2005 

28

20/07/2016

8

Incidents : détection, réponse, …

29

SIEM : avantages vs difficultés

Projets SIEM non 

prioritaires 

Dimensionnement 

imprécis 

Sans configuration et sans 

optimisation, le SIEM ne 

sert à rien 

En cas d’inondation  30

• Contrôle TR de l’activité 

• Analyse périodique 

• Détecter des attaques avancées 

•� Analyses forensics et de 

collecter des preuves 

• = système « intelligent » 

SIEM : archi

31

Même entité

Distribuée

Solutions du marché SIEM

32

20/07/2016

9

OSSIM

OSSIM est un SIEM qui effectue ces fonctions à l'aide

d'autres logiciel Open Source de sécurité,

Il les unifie sous une seule interface utilisateur basée sur

un navigateur.

33

Comparaison des solutions

34

Axes de comparaison … Log Management

Enregistrement des événements provenant des différentes sources

Corrélation

Mise en relation enregistrements pour en dégager tendances / events

Analyse Post-Mortem

Recherche et analyse sur l’historique des enregistrements, corrélés dans une optique de pertinence

Reporting & normes

Réalisation de rapports périodique/à la demande sur les analyses 35

Liste des solutions classées

36May 2013

20/07/2016

10

Présentation d’Arcsight

Produit annoncé en 2000 (les débuts du SIEM)

Classé meilleur solution depuis 2010

HP a acheté ArcSight pour environ 1,5 milliard de dollars.

37

Ensemble de produits SIEM ARCSIGHT

38

39

Interface graphique

40

20/07/2016

11

41

Arcsight : bilan

Points Forts 

Répond à beaucoup de besoins 

Corrélation efficace utilisable dans un SOC 

Possibilité de tracer les activités des utilisateurs 

A savoir 

Besoin d’un serveur uniquement pour les connecteurs 

Gros besoins en base de données 42

Loglogic Points Forts 

Très grande capacité de stockage 

Un boitier par fonction 

Beaucoup d’options pour la collecte des logs 

A savoir 

La partie SEM est assez jeune ….

43

LogRythm Points Forts 

Interface unifiée 

Création visuelle de règles 

Rapports de conformités 

A savoir 

Complexe à prendre en main 

Interface neutre 44

20/07/2016

12

Q1 Labs Points Forts 

Moteur de détection avancé 

Fonctionne dès la mise en place 

A savoir

Mauvaise intégration avec SAP

45

Splunk

Points Forts 

Interface de recherche très simple 

Très adaptable 

Communauté active 

A savoir 

Recherches avancées complexes 

Architecture 

F ibl   i  d  l  

46

Comparatif

47

Projet SIEM : Questions …

quels sont mes besoins en termes de gestion des

événements/incidents de la sécurité de l'information ?

quel est l'impact d'une non-détection des

événements/incidents ?

la solution SIEM est elle viable financièrement parlant ?

une gestion efficace des identités et des accès est-elle en place ?

quel volume de données de logs à couvrir ?

l l l i d l i é i d ?

48

20/07/2016

13

Projet SIEM Choisir une solution en fonction de ses besoins 

SIM ou SEM ou SIEM 

Définir le périmètre souhaité 

Evolutivité souhaitée 

Tester une ou plusieurs solutions (PoC) 

Définir une liste d’équipements à tester 

Définir ou non l’installation d’agents 

f  l   l       h  

49

Projet SIEM : dimensionnement

Calculé en fonction du 

nombre d’équipements, 

type d’équipement, 

Nbre d’EPS (Evènements/s)

temps de rétention des logs 

50

Projet SIEM : conseils

Démarrer simple 

Segmenter son réseau 

Ne pas se limiter aux seuls équipements de sécurité

Développer les aspects reporting et corrélation 

Personnaliser les configurations 

Demande un effort pour détecter les attaques avancées 

Consulter les rapports journaliers  51

Projet SIEM : conseils

Auditer les demandes d'authentification 

changement de compte utilisateur

accès utilisateurs

Surveiller trafic important

SMTP sortant, 

IRC, 

DNS, 52

20/07/2016

14

Conclusion : « Risk & Compliance Outlook : 2012 » 

1ères priorités des décideurs …

« sécurité des BD

&

gestion des événements de sécurité (SIEM) 

80 % :  visibilité du risque est importante pour eux …

40 % : prévoient de mettre en place un SIEM 

53

Conclusion

SIEM = véritable interface de management du SI.

avoir la visibilité sur l'intégralité du SI

Choix de la solution la plus adaptable au SI

… évolutive ….

La mise en place d’une solution SIEM nécessite un responsable pour

la surveillance, la maintenance et les mises a jour.

SIEM ne remplace pas les ingénieurs sécurité

� les alertes doivent être analysés par un spécialiste sécurité54

55

Merci pour votre attention