MÉMOIRE DE MASTER II INFORMATIQUE
Spécialité : Réseaux et Télécommunications
Options : Réseaux, Systèmes et Services
Etude et déploiement d’un système de management des logs et de gestion de la sécurité dans un système d’information
Notion de SIEM
Le principe d’un SIEM (Security Information and Event Management) est de gérer les événements d’un système d’information tout en corrélant les fichiers de journalisation appelés Logs. Vue les difficultés rencontrées pour gérer les événements provenant des différents éléments qui le composent. Les différentes fonctionnalités d’un SIEM sont : La collecte : les siem font la collecte des événements d’un SI, les journaux des équipements (pare-feu, serveurs, routeurs, poste de travail…). Ces derniers prennent en compte différents formats de fichiers approuvés par l’IETF. Cette collecte peut se faire de de manière active c’est-à-dire en mode écoute ou de manière active en mettant des agents sur les machines cibles. La normalisation : les traces sont stockées sans modification pour des vérifications judiciaires. Ces dernières sont copiées puis normalisées sous un format lisible. Ces événements seront associés à d’autres données puis envoyés au moteur de corrélation. L’agrégation : on peut appliquer plusieurs règles de filtrage. Ils vont être agrégés puis envoyés au moteur de corrélation. La corrélation : elle permet d’identifier un événement qui a causé une attaque ou des problèmes au niveau du SI. Ces règles permettent de remonter des alertes via un e-mail ; Le reporting : toutes les solutions SIEM génèrent des rapports et des tableaux de bord pour des activités de tous les utilisateurs qui ont accès au SI ; L’archivage : pour des raisons juridiques et de traçabilité, l’archivage permet de garder toutes traces provenant du SI ; Le Rejeu des événements : la plupart des solutions permettent de faire des simulations pour des enquêtes post-incident. Les entreprises utilisent principalement les systèmes de gestion des informations et des événements de sécurité (SIEM) pour établir des rapports de conformité iso27001 ou dans le cadre d’enquêtes après incident. Mais les fournisseurs d’infrastructure essaient de développer une nouvelle génération de plates-formes SIEM puissantes, permettant aux équipes informatiques d’appliquer des analyses de données des systèmes. 9 2017-2018 Thierno Mikayilou DAFF La croissance rapide des réseaux a fait que la surface d’attaque du SI a progressivement augmenté pour les cybercriminels ce qui doit à son tour déclencher une évolution des technologies de corrélation et de détection des menaces. L’enquête menée par LogLogic, a montré que la plupart des rapports générés par les SIEM sont actuellement utilisés par les auditeurs de systèmes d’information, les DSI et autres cadres supérieurs. Ces rapports montrent que les SIEM servent de fondations à des systèmes complets d’analyse des données du système d’information. Les systèmes SIEM regroupent un large éventail d’outils de sécurité informatique tels que les pares-feux, la sécurité des postes de travail, la prévention des intrusions et l’intelligence des menaces. Au lieu qu’un administrateur de sécurité ait à ouvrir plusieurs applications et tenter d’associer les différentes alertes, chaque SIEM fournit une gestion, une intégration, une corrélation et une analyse en un seul endroit. Bien que chaque fournisseur de SIEM dispose de ses propres motivations, une entreprise de référence comme Gartner a donné les principales fonctionnalités d’un siem pour entreprise que sont : l’ingestion de données à partir de sources multiples, l’interprétation des données, l’incorporation des flux de renseignements sur les menaces, la corrélation d’alerte, l’analytique, le profilage, l’automatisation et la synthèse des menaces potentielles. Dans les lignes qui vont suivre nous allons essayer de présenter quelques solutions puis faire un tableau comparatif.
Splunk
Splunk Enterprise Security (ES) est un SIEM fournissant des renseignements sur les données machine générées par des technologies de sécurité, et notamment des informations concernant les réseaux, les terminaux, les accès, les logiciels malveillants, les vulnérabilités et les identités. Elle permet de détecter les attaques internes et externes et d’y réagir rapidement ; les équipes de sécurité peuvent ainsi gérer plus simplement les menaces, minimiser les risques et assurer la protection de leur activité. Splunk Enterprise Security rationalise l’ensemble des processus de sécurité au travers tous types d’organisations quels que soient leur taille et leur domaine d’expertise. Que ce soit pour assurer une surveillance continue en temps réel, pour prendre rapidement en charge les incidents, pour équiper un centre des opérations de sécurité (SOC), ou pour donner aux décideurs une visibilité sur les risques encourus par leur entreprise, Splunk ES offre la flexibilité nécessaire pour personnaliser des recherches de corrélations, des alertes, des rapports et des tableaux de bord, afin de répondre à des besoins spécifiques.
Architecture
Figure 2 : Architecture Splunk Une étude plus détaillée de l’architecture met en évidence trois composants fondamentaux destinés à simplifier une implémentation très distribuée dans un pur esprit « Big Data » : * Les « Splunk Search Heads » jouent le rôle de Master Nodes et concrétisent les recherches à travers tous les « Data Store ». Les Search Heads savent quel nœud « Splunk Indexer » appeler et quel index interroger. Les serveurs « Search Heads » exécutent le CLI et l’interface Web. * Les « Splunk Indexers » sont les « slave nodes » typiques d’une architecture BigData. Typiquement, ils sont dédiés à l’exécution du Daemon Splunk. Ils analysent la donnée reçue, ils l’indexent selon une syntaxe spécifique (transformant le flux de caractère en «évènements») * Les « Splunk Forwarders » sont les agents collecteurs de logs. Installés au plus proche des sources de données, ils sont chargés de transférer les données vers les « Indexers ». Splunk dispose de quelques Forwarders atypiques qui, plutôt que de balayer les journaux, permettent de directement capturer des données sur un flux réseau par exemple. Dans un même ordre d’idées, depuis la version 6.3, Splunk propose des API HTTP/JSON pensées pour l’IoT et les processus DevOps afin d’ingérer directement des données à raison de millions d’évènements par seconde sans passer par des agents. L’implémentation distribuée de Splunk permet ainsi à certaines entreprises d’ingurgiter et indexer quelques 1,2 Pétaoctets de logs par jour. L’une des particularités de Splunk, c’est qu’au final toute opération se concrétise par une requête sur le moteur de recherche sous-jacent, véritable cœur du logiciel, dans le langage propre au logiciel : SPL. Avec le temps, SPL s’est considérablement enrichi et demeure l’un des grands atouts du produit. C’est un langage particulièrement adapté à l’exploration d’une immense collection de données non structurées offrant des opérations statistiques et analytiques avancées (y compris du Machine Learning) applicables à des contextes donnés. Certes, il est aussi possible de se contenter de saisir un mot clé (comme un nom d’utilisateur, un code erreur ou un nom de programme) et découvrir combien de fois il apparaît sur une période donnée. Mais SPL aspire à des requêtes à la fois plus élaborée et plus parlante notamment lorsqu’on combine les 11 2017-2018 Thierno Mikayilou DAFF instructions capables de mettre en exergue d’éventuelles corrélations entre des données de sources aussi variées qu’indépendantes. En pratique, demander à Splunk d’afficher une vue distribuée au fil du temps des applications qui prennent le plus de temps à démarrer, en évaluant la moyenne des temps de démarrage de chaque application. Splunk retourne alors un graphisme dynamique et interactif qui permettra de zoomer, à l’aide de la souris, sur certaines applications ou certaines périodes temporelles et de réaliser de l’analyse en profondeur jusqu’au contenu des Logs. Splunk limite le nombre de nouvelles données pouvant être indexées par jour. Il existe bien une version gratuite mais celleci plafonne à 500 Mo/jours. Lorsque l’on acquiert une licence Splunk Enterprise, on achète un droit d’indexation pour un certain volume de données ajoutées quotidiennement à Splunk, peu importe la durée de rétention des données, le nombre d’utilisateurs ou de serveurs.
Forces
Aujourd’hui, le siem Splunk dispose de quelques atouts qui sont les suivants : L’investissement de Splunk dans les cas d’utilisation de la surveillance de la sécurité permet une visibilité importante. Les fonctionnalités d’analyse de sécurité avancées sont disponibles à partir des fonctionnalités d’apprentissage mécanique natives et de l’intégration avec l’UBA Splunk pour des méthodes plus avancées, offrant aux clients les fonctionnalités nécessaires pour implémenter une surveillance avancée de la détection des menaces et des cas d’utilisation des menaces internes. La présence de Splunk et l’investissement dans les solutions de surveillance des opérations informatiques fournissent aux équipes de sécurité une expérience interne, ainsi que des infrastructures et des données existantes à mettre en place lors de la mise en œuvre de capacités de surveillance et de sécurité
Faiblesses
Splunk Enterprise Security fournit uniquement des corrélations basiques basées sur la prévisualisation des utilisateurs et les exigences en matière de rapports, par rapport à un contenu plus riche pour les cas d’utilisation fournis par les principaux concurrents. Les modèles de licence Splunk sont basés sur le volume de données en giga-octets indexé par jour. Les clients rapportent que la solution est plus coûteuse que les autres produits SIEM où des volumes de données élevés sont attendus et recommandent une planification et une hiérarchisation prioritaires des sources de données afin d’éviter de trop consommer des volumes de données autorisés. Au cours des 12 derniers mois, Splunk a lancé des programmes de licences pour répondre aux utilisateurs de données à volume élevé. 12 2017-2018 Thierno Mikayilou DAFF Les acheteurs potentiels de l’UBA de Splunk devraient planifier de manière appropriée, car cela nécessite une infrastructure distincte et exploite un modèle de licence différent de la façon dont Splunk Enterprise et Enterprise Security sont autorisés
IBM Security QRadar IBM
Security QRadar SIEM est une plate-forme de gestion de la sécurité réseau qui fournit une prise de conscience de la situation et de la conformité. QRadar SIEM utilise une combinaison de la connaissance du réseau basé sur le flux, de la corrélation des événements de sécurité et de l’évaluation de la vulnérabilité basée sur les actifs. Le produit comprend l’ingestion et l’interprétation des journaux (plus de 400 modules de support pour l’ingestion de données), la connexion aux flux de renseignements mis à jour, la corrélation et l’analyse, le profilage, les alertes de sécurité, la présentation des données et la conformité. Il utilise l’automatisation pour détecter les sources de données de journal de sécurité pour découvrir le nouveau trafic de flux du réseau associé à de nouveaux actifs apparaissant sur le réseau. Selon Patrick Vandenberg, directeur de programme, IBM Security QRadar «de nombreuses organisations qui cherchent la gestion des journaux et les produits SIEM essayent simplement d’obtenir une visibilité centralisée sur ce qui se passe dans le réseau ». Un SIEM fait partie d’une plate-forme de sécurité plus intelligente qui aide les clients à détecter les comportements à risque et à gérer de manière proactive les mauvaises configurations des paresfeux, des passerelles, des routeurs et des commutateurs. QRadar emploie un moteur de règles de corrélation et une technologie de profilage comportemental pour réduire jusqu’à des milliards de points de données brutes dans une liste gérable. Sa conception de base de données fédérée empêche le réseau d’être martelé avec des transferts de données ou d’informations qui ne sont pas associés à une recherche d’activité malveillante actuelle. On dit qu’il n’y a pas de limites rigoureuses quant à la quantité de traitement de données de sécurité pouvant être effectuée. Il est conforme à FIPS, Normes de sécurité des données de l’industrie de la carte de paiement (PCI DSS), NERC, GBLA, FISMA, Sarbanes-Oxley (SOx), GPG13, HIPPA, ISO 27001. Les équipes de sécurité affinent ces règles définies pour leurs environnements. La technologie de détection en temps réel avertit l’équipe lorsque des surprises ou des anomalies se produisent. QRadar est capable d’acquérir des données à travers de nombreux mécanismes et peut fonctionner entièrement sans agent si nécessaire. Cependant, il peut également utiliser des agents s’il existe des conditions environnementales qui imposent ou bénéficient de leur utilisation. QRadar repose sur les points suivants : Journalisation (log Activity) : Dans IBM® Security QRadar SIEM, vous pouvez surveiller et afficher des événements réseau en temps réel ou effectuer des recherches avancées. L’onglet Activité de journal affiche les informations d’événement comme des enregistrements provenant d’une source de journal, comme un pare-feu ou un 13 2017-2018 Thierno Mikayilou DAFF périphérique de routeur. À l’aide de l’onglet Activité de journal, vous pouvez effectuer les tâches suivantes : Etudiez les données d’événements Enquêter sur les journaux d’événements qui sont envoyés à QRadar SIEM en temps réel. Rechercher l’événement. Surveiller l’activité du journal en utilisant des tableaux de séries chronologiques configurables. Identifiez les faux positifs pour régler QRadar SIEM Activité Réseau : Dans IBM Security QRadar SIEM, vous pouvez rechercher les sessions de communication entre deux hôtes. L’onglet Activité de réseau affiche des informations sur la communication du trafic réseau et sur ce qui a été communiqué, si l’option de capture de contenu est activée. À l’aide de l’onglet Activité réseau, vous pouvez effectuer les tâches suivantes : Enquêter sur les flux qui sont envoyés à QRadar SIEM en temps réel. Rechercher des flux de réseau Surveiller l’activité du réseau en utilisant des tableaux de séries chronologiques configurables. Asset : QRadar SIEM crée automatiquement des profils d’actifs en utilisant des données de flux passif et des données de vulnérabilité pour découvrir vos serveurs et hôtes de réseau. Les profils d’actifs fournissent des informations sur chaque élément connu de votre réseau, y compris les services en cours d’exécution. L’information sur le profil d’actif est utilisée à des fins de corrélation, ce qui contribue à réduire les faux positifs. À l’aide de l’onglet Assets, vous pouvez effectuer les tâches suivantes : Rechercher les actifs Voir tous les atouts savants Afficher les informations d’identité pour les biens apprises Synchroniser les faux positifs. Infractions : Dans IBM Security QRadar SIEM, vous pouvez enquêter sur les infractions pour déterminer la cause racine d’un problème de réseau. En utilisant l’onglet Infractions, vous pouvez afficher toutes les infractions qui sont sur votre réseau et effectuer les tâches suivantes: Étudier les infractions, les adresses IP source et de destination, les comportements du réseau et les anomalies sur votre réseau, Corriger les événements et les flux de provenance divers vers la même adresse IP Déterminer les événements qui ont causé la dite infraction
2.3.1) Architecture |