Découvrez notre société Contactez-nous

e-Xpert Solutions Genève

109, chemin du Pont-Du-Centenaire
CH-1228 Plan-les-Ouates / Genève
SUISSE

Tel. : +41 22 727 05 55 Fax : +41 22 727 05 50

e-Xpert Solutions Lausanne

Avenue de Gratta-Paille 20
CH-1018 Lausanne
SUISSE

Tel. : +41 21 802 26 78 Fax : +41 22 727 05 50
Contactez notre support : +41 22 727 05 56
Envoyez votre message

Swiss Security Hackademy

Suivez notre blog bilingue en sécurité informatique !

Retour aux articles

Solution de log management

Faire ressortir l’essentiel


Auteur : Antoine Valette

Date de publication : 7 octobre 2019 - Dernière mise à jour : 16 octobre 2019


La collecte, la gestion et l’archivage des flux de données machines est devenue une brique indissociable des outils de base pour assurer la sécurité de l’information. L’implémentation d’une solution de log management permet, grâce à une analyse performante et automatisée de milliers/millions d’événements recueillis quotidiennement, la génération de KPI et autres indicateurs utiles à révéler tendances, irrégularités ou anomalies. Ces indicateurs servent ensuite aux équipes IT, aux CISO/RSSI et aux directions à prendre les bonnes décisions. Ce type d’outils est également une solution à mettre en place afin d’assurer un archivage et une protection contre l’altération des logs.

La nette augmentation du nombre de périphériques connectés aux réseaux d’entreprises et directement ou indirectement connectés à internet, multiplie les surfaces d’attaques et les points d’entrée virtuels à surveiller. La corrélation d’événements provenant de différentes sources est souvent le moyen le plus efficace pour faire ressortir de la masse les informations utiles à la protection de l’entreprise, servant par exemple à détecter des tentatives de login suspectes ou encore la présence de processus malveillants sur les périphériques.

Use case

En croisant les informations provenant de la base de données du système de contrôle d’accès physique avec les Windows Event Log Data de type 4624 générés par les contrôleurs de domaine, il serait possible dans le même outil de faire ressortir les activités suspectes des comptes utilisateurs ou de services mais également d’avoir de la matière pour une investigation approfondie. Pour quelle raison est-ce qu’un employé qui n’est pas physiquement dans les locaux de l’entreprise s’est connecté ou a tenté de se connecter depuis une adresse IP interne ? Comment se fait-il que tel ou tel compte ait tenté de se connecter depuis plusieurs succursales dans un laps de temps limité ? Bien que le nombre de variantes du use case soit sans limite, certains contrôles sont essentiels afin d’obtenir une vision précise sur les activités suspectes ou qui sortent de la normale.

Noyées sous des dizaines voire des centaines de gigabytes de données par jour, les entreprises ne sont pas à l’abri de passer à côté d’événements alarmants. Ce n’est qu’à l’aide d’une solution de log management telle que Splunk, que les entreprises soucieuses de leur sécurité peuvent s’offrir une vue centralisée de la santé de leur système d’information.

En effet, d’après un article publié par l’AGEFI en novembre 2018 et titré « la valeur des données, un outil stratégique de la cybersécurité », il en ressort qu’environ 15% des données collectées et stockées par les entreprises ont une réelle valeur. Autrement dit, 85% des données ne sont pas d’une grande utilité d’un point de vue stratégique. Pas d’exception pour la centralisation des données machines (souvent des données non-structurées), où seul un faible pourcentage des événements générés par les outils de sécurité ou autres logs ont une réelle utilité.

Les sources de données

Le schéma ci-dessous illustre quelques exemples de sources de données qu’il est possible d’intégrer dans la solution de log management Splunk.

Solution de log management

En plus des méthodes classiques d’entrée de données (syslog, snmp, etc.), Splunk offre la fonction de Files Monitoring permettant d’ingérer et de monitorer en permanence tout type de fichier texte, qu’il soit structuré (CSV, XML, JSON) ou non, multiligne (Log4J) ou même compressé (gzip).
Deux étapes importantes sont réalisées lors du traitement et de l’importation des données dans Splunk. Lors de la première étape, l’analyse, les données sont transformées en events en suivant un certain nombre d’actions :

  • L’extraction des champs par default, incluant host, source et sourcetype
  • L’identification des timestamps ou leur création (si inexistant)
  • L’identification des règles de linebreaking
  • La définition des caractères de codage(UTF-8, UTF-16LE, Latin-1, BIG5, SHIFT-JIS)

Lors de la seconde étape, l’indexation, les events subissent les traitements suivants :

  • La décomposition des événements en segments utiles aux recherches
  • La construction des structures de données d'index
  • L’écriture des données brutes et des fichiers d’index sur le disque, puis la compression post-indexation

Les apps ou add-ons Splunk fournies par la plupart des éditeurs de solutions de sécurité ou providers Cloud permettent une intégration facilitée dans Splunk de leurs outils et la reconnaissance des formats de données, parfois propriétaire.

Les apps offrent une expérience utilisateur simplifiée et optimisée conçues pour une utilisation utile et pertinente de tableaux de bord, rapports ou alertes, basée sur une analyse approfondie des données. Les add-ons permettent l’importation et l’enrichissement des données de n’importe quelle source.

Toutes ces extensions sont accessibles gratuitement depuis la splunkbase , une base d’applications regroupant plus de 1000 apps et add-ons.

L’utilisation de services Cloud rend le contrôle des services externalisés difficile, d’autant plus si l’entreprise fait appel à différents prestataires. Grâce aux apps ou add-ons développés spécifiquement pour répondre à l’émergence des solutions aaS, les équipes IT ont maintenant une vue centralisée regroupant à la fois les services hébergés on-premise mais également les services externalisés (Azure, AWS, Dropbox & co).

Exemple : L’add-on ci-dessous permet une intégration « plug and play » des services Cloud de Microsoft dans Splunk.

Solution de log management

Comment ça marche ?

Accessible depuis une interface web intuitive, l’utilisation du SPL (Search Processing Language), un langage fort de plus de 140 commandes regroupant les capacités du SQL et la syntaxe de pipeline Unix, offre à Splunk des capacités immenses de recherche, de corrélation, d’analyses et de visualisation des données tout en restant facile à maitriser. Les événements renvoyés par les requêtes sont à la fois dans leur format d’origine (raw data), mais également sous forme d’événements indexés de façon chronologiques incluant l’extraction des champs.

Par exemple, l’événement brut (raw data) suivant,

Solution de log management

devient après indexation dans Splunk une liste de champs ( Field) qui pourront être utilisés afin de filtrer et traiter l’information de façon granulaire, permettant la création de tableaux, graphiques, statistiques ou autres indicateurs.

Solution de log management

Toutes ces données, pour quoi faire ?

Il n’est pas rare que certaines entreprises détournent la fonction initiale de ces outils de centralisation d’événements, à l’origine destinés aux équipes IT, afin d’offrir aux métiers des tableaux de bords précieux et des rapports profitables à différents niveaux hiérarchiques.

Le déclenchement d’alertes avec possibilité d’actions automatisées (envoi d’email, exécution de script, HTTP POST, etc) permet une réactivité sans précédent lors du déclanchement de triggers, améliorant ainsi la réactivité concernant la prise de décisions et les actions qui en découlent.

Historiquement réservé aux larges entreprises et aux secteurs sensibles, l’explosion du nombre de menaces et d’APT (Advanced Persistant Threat) a conduit les organisations de plus petites tailles à adopter des outils SIEM (security information and event management) et leurs bénéfices. Ces outils ont fait leurs preuves au sein des SOC (Security Operations Center), qui utilisent quotidiennement la corrélation d’évènements provenant de sources multiples et variées comme outil principal afin de garantir la surveillance des entreprises et de permettre la détection à des stades précoces d’éventuelles anomalies et ainsi réduire les risques et l’impact d’un incident sur l’entreprise.

Alors que Splunk Entreprise est une plateforme d’analyse de données, la Splunk app Splunk Entreprise Security (ES) est une suite complémentaire d’applications qui vient se greffer à Splunk Entreprise afin d’enrichir le produit. Le résultat est une solution SIEM axée sur une intelligence exploitable et une analyse avancée des données. La prise en charge des menaces et des incidents de sécurité est optimisée grâce à des délais de détection réduits, des investigations simplifiées et des actions rapides et automatisés.

Aujourd’hui, et demain…

Bien plus qu’un simple outil de reporting ou de monitoring, les solutions de log management sont devenues des aides précieuses à l’exploitation des données de masse. On peut citer comme objectifs principaux, l’optimisation des processus métiers, la surveillance de l’état de santé du SI ou encore la génération automatisée de statistiques sur les attaques informatiques ciblant l’entreprise. La liste des bénéfices découlant de l’implémentation de ce type de solution est longue et « presque » sans limite.
L’explosion du volume de données généré en permanence par notre mode de vie nomade et connecté, ainsi que les prévisions de croissance exponentielle du nombre d’appareils connectés, 75.44 milliards en 2025, nous poussent à nous poser la question suivante : Mon entreprise est-elle correctement équipée pour faire face aux défis que représente l’utilisation des données de masse ?

Sources