aman - cissi siem 12 mars 2014
Post on 19-Jan-2017
181 Views
Preview:
TRANSCRIPT
20/07/2016
1
Security Information & Event Management
Gestion des informations et événements de sécurité
Anas ABOU EL KALAMPrésident de l’Association Marocaine de confiAnce Numérique
12 mars 2014CISSI
Plan1. Problématique
2. Présentation SIEM
3. Fonctionnement SIEM
4. Solutions du marché SIEM
5. Comparaison des solutions
6. Mettre en place un projet SIEM
7 Conclusion2
Problématique
3
Que se passe‐t‐il sur mon réseau ?
Suis‐je sûr que les employés utilisent l’infrastructure IT à des
fins professionnelles ?
Est‐ce que mon infrastructure est dimensionnée pour nos
besoins ?
Est‐ce que la politique de sécurité de l’entreprise correspond
à la réalité ?
Est‐ce que notre entreprise répond aux réglementations ?
Problématique
4
• Tendances marché NTIC : "entreprise étendue"
• de + en + ouverts, everywhere, everytime, everydevice
• � Moyen pour
• centraliser la supervision � gestion des événements/incidents
• faire face au volume exorbitant des événements de sécurité
• assurer la conformité par rapport aux exigences réglementaires
• reporting,
• rétention des logs,
• droit à la notification
•…
20/07/2016
2
Besoins fonctionnels
Reporting efficace et à la demande sur équipements hétérogènes
Firewall, VPN, IDS, Proxy, Serveur Mail, Gateway Anti‐ Virus
Serveur Web
Réduire le coût de supervision de la sécurité et automatiser les
processus.
Assurer et contrôler le bon usage de l’IT par les employés
Optimiser l’utilisation du réseau
Investiguer facilement les évènements5
SIEM : Pourquoi ?
6
• "Everything the incident response program does, is a gap indicator of
where the rest of security program has failed"
• Tour de contrôle des événements de sécurité
pour alimenter le processus de réponse aux
incidents de sécurité
• Moyen pour mettre le doigt sur le manque
d'efficacité des contrôles de sécurité mis en
place
Présentation SIEM
7
SEM (Security Event
Management)
SIM (Security InformationManagement)
supervision temps réel
corrélation
traitement des événements
rétention des informations
support à l'analyse forensic
reporting des données de logsArchivage, conformité, …
Stockage & archivage
Signature
Indexation
Alertes
Visibilité
Rapports
Conformité 8
Normalisation
Corrélation
Temps réel
Gestion d’incidents
Géolocalisation
Pro‐activité
20/07/2016
3
SIEM : Fonctionnalités de base
9
SIEM : centralisation & archivage
10
• Centralisation en 1 point unique• données centralisées dans BD pour génération des tableaux de bords et pour investigation.
• Format de logs archivables• fichiers logs au format syslog, fichiers à plat, API proprio
• Valeur légales• logs stockés dans format natif afin d’être présentés si nécessaire comme preuve lors d’une enquête ou commission rogatoire.
• Intégrité, Compression, Chiffrement …• fichiers de logs signés, compressés et chiffrés de manière journalière (par type de périphérique et/ou date).
SIEM : Dashboards
11
• Tableaux de bord consolidés• interpréter et présenter les informations dans un format simple, systématiquement catégorisés, graphiques …
• Publication des tableaux de bord• tableaux de bord générés ou planifiés en fonction des paramètres définis au niveau du portail web.
• Drill‐Down• navigation aisée, permettant un véritable drill‐down pour remonter l’information recherchée.
• Fichiers liés chronologiquement• navigation vers les jours ou mois précédant ou suivant le rapport actuellement affiché.
SIEM : architecture de référence
12
20/07/2016
4
SIEM : architecture de référence
13
Fonctionnement SIEM
14
Agrégation
Indexation Normalisation
Corrélation
Le SIEM = point central pour analyser les journaux et autres
données de sécurité des équipements, des applications, des
systèmes d'exploitation, etc.
Pour fonctionner le SIEM va utiliser plusieurs mécanismes
Gestion des alertes
Agrégation
Indexation Normalisation
Corrélation
La collecte Les équipements du Système d information génèrent souvent des
journaux envoyer d une manier ou d une autre au SIEM .
Deux modes de fonctionnement :
Mode Actif : Les SIEM possèdent des agents (deamons) dans
chaque équipement.
Mode Passif : en écoute directe sur les équipements supervisés.
15
La collecte Collecte des informations sans agent :
Syslog
SNMP
WMI
FTP, SFTP, SCP
SQL, JDBC
LEEF
AXIS
OPSEC LEA 16
20/07/2016
5
Indexation
Utilisation des indexes dans la recherche
Faciliter l'accès au fichiers ultérieurement
L’accès rapide à des évènements redoutant
Possibilité de rechercher « à la Google »
Possibilité d’indéxer chaque mot d’un message
17
Agrégation
Trop d’événements � réduire le nombre
d’évènements.
S’appliquent à des événements ayant des
similarités
Regroupement d’évènements de sécurité selon
certains critères.18
Normalisation
Hétérogénéité � Chaque équipement du SI forme de sa propre
manière les informations envoyées.
Champs ajoutés au format brut
But
Redéfinir les informations reçus sous une forme bien standardisé.
Procédé pour uniformiser les informations
Format unique pour faciliter le traitement 19
Corrélation
Analyse d’évènements selon certains critères prédéfinis.
� règles de corrélation
� établir des relations entre évènements,
pour ensuite pouvoir créer
des alertes de corrélations,
des incidents de sécurités,
des rapports d’activité.20
20/07/2016
6
Gestion des alertes Reporting
Rapports contenant synthèse alertes & vue
d’ensemble de sécurité
++ types : Rapport de conformité, personnalisés
Stockage
Stocker alertes, incidents, rapports dans BD
pour analyse ultérieure
Réponse21 22
Les apports du SIEM
Archivage
Visibilité
Conformité
Détection des incidents de sécurité
Réponse aux incidents23
Archivage
Temps de rétention /équipement ou / type d’équipement
Gestion de millions d’événements par secondes.
Garantit l’intégrité et la disponibilité des logs
Preuves recevables par un juge
24
20/07/2016
7
25 26
Visibilité
Equipements sécurité
Systèmes Windows, Linux, Unix
Systèmes virtualisés (Citrix, VMWare, Hyper‐V)
Equipements réseaux
Applications
Les données de sessions (flow)
Vulnérabilité27
Conformité
Politique de sécurité de l’entreprise (PSSI)
PCI DSS
ISO 27002:2005
28
20/07/2016
8
Incidents : détection, réponse, …
29
SIEM : avantages vs difficultés
Projets SIEM non
prioritaires
Dimensionnement
imprécis
Sans configuration et sans
optimisation, le SIEM ne
sert à rien
En cas d’inondation 30
• Contrôle TR de l’activité
• Analyse périodique
• Détecter des attaques avancées
•� Analyses forensics et de
collecter des preuves
• = système « intelligent »
SIEM : archi
31
Même entité
Distribuée
Solutions du marché SIEM
32
20/07/2016
9
OSSIM
OSSIM est un SIEM qui effectue ces fonctions à l'aide
d'autres logiciel Open Source de sécurité,
Il les unifie sous une seule interface utilisateur basée sur
un navigateur.
33
Comparaison des solutions
34
Axes de comparaison … Log Management
Enregistrement des événements provenant des différentes sources
Corrélation
Mise en relation enregistrements pour en dégager tendances / events
Analyse Post-Mortem
Recherche et analyse sur l’historique des enregistrements, corrélés dans une optique de pertinence
Reporting & normes
Réalisation de rapports périodique/à la demande sur les analyses 35
Liste des solutions classées
36May 2013
20/07/2016
10
Présentation d’Arcsight
Produit annoncé en 2000 (les débuts du SIEM)
Classé meilleur solution depuis 2010
HP a acheté ArcSight pour environ 1,5 milliard de dollars.
37
Ensemble de produits SIEM ARCSIGHT
38
39
Interface graphique
40
20/07/2016
11
41
Arcsight : bilan
Points Forts
Répond à beaucoup de besoins
Corrélation efficace utilisable dans un SOC
Possibilité de tracer les activités des utilisateurs
A savoir
Besoin d’un serveur uniquement pour les connecteurs
Gros besoins en base de données 42
Loglogic Points Forts
Très grande capacité de stockage
Un boitier par fonction
Beaucoup d’options pour la collecte des logs
A savoir
La partie SEM est assez jeune ….
43
LogRythm Points Forts
Interface unifiée
Création visuelle de règles
Rapports de conformités
A savoir
Complexe à prendre en main
Interface neutre 44
20/07/2016
12
Q1 Labs Points Forts
Moteur de détection avancé
Fonctionne dès la mise en place
A savoir
Mauvaise intégration avec SAP
45
Splunk
Points Forts
Interface de recherche très simple
Très adaptable
Communauté active
A savoir
Recherches avancées complexes
Architecture
F ibl i d l
46
Comparatif
47
Projet SIEM : Questions …
quels sont mes besoins en termes de gestion des
événements/incidents de la sécurité de l'information ?
quel est l'impact d'une non-détection des
événements/incidents ?
la solution SIEM est elle viable financièrement parlant ?
une gestion efficace des identités et des accès est-elle en place ?
quel volume de données de logs à couvrir ?
l l l i d l i é i d ?
48
20/07/2016
13
Projet SIEM Choisir une solution en fonction de ses besoins
SIM ou SEM ou SIEM
Définir le périmètre souhaité
Evolutivité souhaitée
Tester une ou plusieurs solutions (PoC)
Définir une liste d’équipements à tester
Définir ou non l’installation d’agents
f l l h
49
Projet SIEM : dimensionnement
Calculé en fonction du
nombre d’équipements,
type d’équipement,
Nbre d’EPS (Evènements/s)
temps de rétention des logs
50
Projet SIEM : conseils
Démarrer simple
Segmenter son réseau
Ne pas se limiter aux seuls équipements de sécurité
Développer les aspects reporting et corrélation
Personnaliser les configurations
Demande un effort pour détecter les attaques avancées
Consulter les rapports journaliers 51
Projet SIEM : conseils
Auditer les demandes d'authentification
changement de compte utilisateur
accès utilisateurs
Surveiller trafic important
SMTP sortant,
IRC,
DNS, 52
20/07/2016
14
Conclusion : « Risk & Compliance Outlook : 2012 »
1ères priorités des décideurs …
« sécurité des BD
&
gestion des événements de sécurité (SIEM)
80 % : visibilité du risque est importante pour eux …
40 % : prévoient de mettre en place un SIEM
53
Conclusion
SIEM = véritable interface de management du SI.
avoir la visibilité sur l'intégralité du SI
Choix de la solution la plus adaptable au SI
… évolutive ….
La mise en place d’une solution SIEM nécessite un responsable pour
la surveillance, la maintenance et les mises a jour.
SIEM ne remplace pas les ingénieurs sécurité
� les alertes doivent être analysés par un spécialiste sécurité54
55
Merci pour votre attention
top related