SIEM : définition, fonctionnement et pièges à éviter

SIEM : définition, fonctionnement et pièges à éviter

Hossam M.
Calendar picto
18/5/2022
Clock picto
4min

La technologie de gestion des informations et des événements de sécurité (SIEM) fournit un support fondamental pour la détection des menaces.

Qu'est-ce qu'un SIEM ?

Gartner a inventé le terme SIEM en 2005 pour combiner les technologies de gestion des événements de sécurité (SEM) et de gestion des informations de sécurité (SIM). La technologie SIEM a été conçue pour collecter, analyser et stocker les logs générés par les terminaux (généralement des PC).

 

Les logs collectés comprennent désormais généralement les serveurs des centres de données, les ressources du cloud, les équipements réseau et même les appareils qui entrent dans la catégorie de l'Internet des objets (IoT) ou des technologies opérationnelles (OT).

Dans un déploiement idéal, les SIEM s'appuient sur des ordinateurs pour analyser rapidement les dispositifs; détecter rapidement les menaces; et permettre aux ordinateurs ou aux humains qui gèrent les réponses de sécurité de développer ou d'utiliser des réponses de sécurité automatisées, des ressources d'investigation améliorées ou des capacités de reporting robustes.

Comment fonctionne le SIEM ?

Les logs et autres données doivent être exportés de tous vos systèmes de sécurité vers la plateforme SIEM. Cela peut être réalisé par des agents SIEM, ce sont des programmes exécutés sur vos différents systèmes qui analysent et exportent les données vers le SIEM; la plupart des systèmes de sécurité ont également des capacités intégrées pour exporter les données des logs vers un serveur central, et votre plateforme SIEM peut les importer à partir de là.

Il est évident que la quantité de données générées par cette instrumentation SIEM est très importante. La principale valeur apportée par les SIEM est qu'ils appliquent une analyse des données pour s'assurer que seules les informations utiles sont transmises à votre centre d'opérations de sécurité. Ces plateformes utilisent des moteurs de corrélation pour tenter de relier des entrées de logs disparates ou d'autres signaux qui ne semblent pas inquiétants en soi, mais qui, pris ensemble, peuvent poser problème. Ces moteurs, combinés aux techniques spécifiques d'intelligence artificielle et d'apprentissage automatique utilisées pour détecter les attaques, sont ce que les différents fournisseurs de SIEM utilisent pour différencier leurs offres les unes des autres.

Les outils SIEM tirent également des informations des flux de renseignements sur les menaces, c'est-à-dire des flux de données actualisés sur les nouvelles formes de logiciels malveillants et les dernières menaces persistantes avancées.

Cependant, même pour ceux qui ont l'intention de recourir à une externalisation poussée, une compréhension de base de la technologie SIEM permettra de s'assurer que le fournisseur choisi fait bien son travail. Les principes de base s'appliquent à toutes les technologies SIEM :

  • Collecte des logs : Les logs doivent être activés sur tous les appareils que nous avons l'intention de surveiller et nous devons nous assurer que ces logs peuvent être transmis de manière précise et intacte au SIEM.
  • Configuration du SIEM : Le SIEM peut être installé sur des serveurs dans des centres de données locaux, dans des conteneurs, au sein de ressources en nuage, ou livré en tant que service. Dans tous les cas, la configuration du SIEM détermine si les logs seront ingérés, analysés et stockés correctement.
  • Avis d'expert : Même avec une technologie SIEM hautement automatisée, un expert doit superviser les centaines et milliers de logs, d'alertes et de réponses générés par les serveurs et les points d'extrémité pour vérifier qu'aucun logiciel malveillant ne passe inaperçu et que les fausses alertes n'ont pas d'impact significatif sur les opérations commerciales.

Quels sont les pièges courants de SIEM et comment les éviter ?

Dans le déploiement, des problèmes peuvent saper les puissants moteurs d'intelligence artificielle et font que l'équipe de sécurité passe à côté d'attaques.

  1. Garbage In, Garbage Out

Le principe du "Garbage in, garbage out" concerne la qualité des logs. Lors de la mise en œuvre, les équipes informatiques doivent examiner très attentivement les dispositifs générant les logs et les logs eux-mêmes afin de vérifier leur qualité. Si les logs sont générés à partir de terminaux infectés, il y a un risque d'établir un dispositif corrompu comme base de référence et les futures alertes sont compromises.

Cependant, si des logs corrects ou suffisants ne sont pas collectés, le SIEM ne disposera pas des données nécessaires pour générer des alertes ou pour analyser correctement la santé de l'environnement informatique.

  1. La “Fatigue” des alertes

La fatigue des alertes se développe lorsque les alertes sont déclenchées trop facilement par des événements quotidiens dans l'environnement informatique. Un trop grand nombre de fausses alarmes peut rendre une équipe de sécurité incapable de voir les vrais problèmes.

Les tests de pénétration sont un moyen pour les équipes de sécurité de réduire les alertes inutiles et de vérifier les alertes manquantes. En effectuant intentionnellement des activités conçues pour déclencher des alertes, les équipes de sécurité et les responsables SIEM peuvent vérifier que les attaques les plus probables seront correctement alertées et contrées.

  1. Stockage insuffisant des fichiers

Lors de l'élaboration d'une stratégie SIEM, veillez à prendre en compte les besoins de stockage des logs. Certaines solutions SIEM populaires facturent en fonction de la quantité de données traitées et stockées par leur système, et certains centres de données peuvent avoir un stockage interne limité pour les logs.

S'il peut être tentant de réduire les coûts en termes de stockage, en cas d'attaque, les enquêteurs peuvent avoir besoin d'un grand nombre de logs sur une longue période pour suivre les activités de l'attaquant et identifier les points d'entrée originaux.