e-Xpert Solutions Lausanne
Auteur : Antoine Valette
Date de publication : 24 septembre 2020 - Dernière mise à jour : 24 septembre 2020
Les solutions de Log Management apportent aux équipes de sécurité des outils permettant une analyse efficace de grands volumes de logs générés par une multitude de sources de données différentes.
La gestion des logs concerne :
(1) La collecte et l’analyse de tous ces logs apportent de la valeur aux différents métiers de l’entreprise et en particulier aux équipes de sécurité. Ces dernières vont bénéficier de multiples indicateurs (KPI) leur offrant une vue globale sur les différents composants du système d’information, mais pas que …
Splunk, leader mondial de la discipline depuis plusieurs années maintenant, est une entreprise américaine fondée en 2003 par Michael Baum, Rob Das et Erik Swan. Son produit phare, Splunk Enterprise, est le socle commun de toutes les solutions proposées par l’éditeur.
Splunk Enterprise , ou Splunk Core pour les intimes, est une plateforme qui permet la collecte et l’indexation de données de tout format structurés (CSV, JSON, SQL, XML, …) et non structurés (syslog, W3C, Java, Application servers, micro services, cloud platforms, smartphones, …) issues de sources multiples.
Splunk Core a pour vocation première de fournir une vision transverse sur les données à tous les métiers d’une entreprise quelle qu’elle soit. Ainsi nous pourrons facilement exploiter un log de serveur Web par exemple pour répondre aux interrogations de plusieurs métiers comme : le marketing, la sécurité, l’ITOPS, le Développement, etc.
Souvent pointé du doigt pour son mode de licensing basé sur le volume de données indexées par jour, Splunk est en réalité plutôt abordable. L’éditeur a en effet revu sa politique de licensing en 2019 pour passer exclusivement en mode souscription. L’avantage principal de ce changement est de permettre l’acquisition de la solution sur le budget OPEX et pour un prix au Gigaoctet nettement inférieur.
De plus, il est important de souligner que ce n’est que lorsque les données sont envoyées sur la plateforme pour indexation que celles-ci sont assimilées à la licence consommée. En effectuant une analyse préalable des logs à indexer et en filtrant à la source les données nécessaires aux différents usecases, il est possible de considérablement réduire le volume de données indexées et ainsi d’avoir une réelle maitrise des coûts.
Concernant le processus d’intégration et de normalisation des données dans Splunk Enterprise, là aussi l’éditeur se démarque nettement de la concurrence. Il existe tout un écosystème d’add-ons et d’applications prêts à l’emploi développés par la communauté d’utilisateurs et par les partenaires technologiques disponibles sur la Splunkbase (https://www.splunkbase.com).
Parmi les milliers d’apps disponibles sur la SplunkBase, Splunk Security Essentials (SSE) est une application gratuite qui ravira les équipes Sécurité. Celle-ci facilite l’implémentation de usecases fondamentaux de sécurité basés sur le framework ATT&CK du MITRE. Le classement par niveau des quelques cinq cent usecases offerts par Splunk SSE permet une recherche facilitée ainsi qu’une évaluation rapide du niveau de maturité de l’organisation de la Sécurité au sein d’une entreprise. Plus le niveau augmente, plus les usecases font appels à une intégration et une agrégation complexe des flux et données.
Ces add-ons et applications permettent de faciliter et d’accélérer la mise à disposition de dashboards de rapports et d’alertes aux utilisateurs. Ainsi, en quelques minutes, un administrateur pourra déployer un ou plusieurs use case à conditions bien entendu de disposer des sources de données adéquates.
Le travail de préparation des données étant déjà effectué cela permet aux analystes de bénéficier de rapports et d’alertes de qualités et d’augmenter leur productivité.
Nombre de usecases par niveau:
Splunk ESS offre des usecases dans les domaines suivants :
Nous retrouvons également sur la SplunkBase d’autres apps et add-on fournis par Splunk et/ou directement par les éditeurs et supporté par Splunk. Les add-ons vont permettre une normalisation des données sur un modèle sémantique commun développé par Splunk : Common Information Model (CIM). L’objectif de ce modèle est de rendre les données exploitables par toutes les solutions prémiums de Splunk telles qu’Enterprise Security ou ITSI. Prenons l’exemple d’une entreprise qui utilise différentes technologies de firewalls et qui envoie toutes les logs dans Splunk. La technologie A utilise une nomenclature de champs différentes de la technologie B dans ses logs : sourceip pour A et source pour B. Le problème que nous rencontrons dans ce cas de figure est qu’il n’est pas possible de faire une recherche simultanée dans les 2 sources de logs pour les corréler. Plus exactement, corréler plusieurs sources de logs est un vrai casse-tête.
Avec CIM sourceip et source deviennent src_ip. Dès lors corréler plusieurs sources de données devient un jeu d’enfant !
Splunk Enterprise Security (ES), le best-seller des SIEM en tête du Gartner depuis de nombreuses années, est une solution SIEM venant se greffer sur Splunk Enterprise. Elle permet aux équipes de sécurité d’une organisation d’avoir une surveillance continue des événements grâce à des tableaux de bord, des KPI ainsi que des tendances. Un système de workflows intégré permet une automatisation et une réponse aux incidents en fournissant alertes, journaux centralisés ou encore rapports prédéfinis. La recherche ad-hoc ainsi que la corrélation d’évènements provenant des différentes sources permet une investigation et une détection efficace des potentielles activités malveillantes. La recherche d’activités associées aux systèmes compromis sera également grandement facilitée grâce à la possibilité de retracer le cycle de vie des attaques.
Le module Splunk Enterprise Security Content Update (ESCU) vient enrichir Splunk ES en fournissant des mises à jour régulières du contenu de sécurité pour aider les entreprises à faire face aux menaces urgentes et aux nouvelles méthodes d'attaque. ESCU alimente des guides d’analyse appelés Splunk Analytic Stories qui fournissent tactiques et méthodes permettant aux entreprises de détecter, investiguer et répondre à des évènements suspicieux. Ces guides vont permettre de démontrer la valeur d’une exploitation rapide des données, de prioriser l’ingestion des données, de comprendre la valeur de ces données dans une posture défensive mais surtout d’aider les analystes à résoudre les incidents de manière plus efficace. Chacun de ces guides (Stories) est basé sur divers framework comprenant entre autres MITRE ATT&CK, Lockheed Martin Cyber Kill Chain, CIS ou encore NIST et comprennent trois étapes:
Les Stories sont classés par cas utilisation et sont accessibles au travers de Splunk Enterprise Security (ES) ou via l’app Splunk Enterprise Security Content Updates (ESCU). L’implémentation de Splunk Analytic Stories va permettre de mettre en avant vos forces mais surtout vos faiblesses et de mettre en place les étapes nécessaires afin d’optimiser le travail des analystes réduisant les coûts et en augmentant la productivité.
Splunk Phantom, outils SOAR (Security Orchestration, Automation and Response) va venir compléter la solution Splunk en combinant des capacités d'orchestration et d'automatisation. Splunk Phantom utilise des playbooks (scripts Python) qui seront interprétés afin d’exécuter des actions et des processus répétables et auditables. Splunk Phantom s’intègre à plus de 300 outils de sécurité et 1900 applications via API et offre entre autres les actions automatiques suivantes : exécution de fichier dans une sandbox, lookup d’une adresse IP, recherche de fichiers spécifiques sur les postes de travail, blocage d’URL, mise en quarantaine de périphériques, déconnection d’une machine d’un réseau, etc. Cette fonctionnalité SOAR va permettre aux équipes SOC de répondre aux incidents de manière quasiment instantanée grâce aux performances et à la vitesse d’automatisation de Splunk Phantom pouvant traiter jusqu’à 50 000 évènements par heure.
Projet Sigma : Sigma est un format standard ouvert d’alertes pour SIEM. Maintenu sur GitHub sigma le projet est mis à jour régulièrement par ses contributeurs avec de nouvelles règles de détection. Ces règles peuvent être converties facilement à l’aide de l’outil SIGMAC en langage SPL (Splunk Processing Language) et être intégrées facilement dans Splunk.
En plus de répondre aux besoins des RSSI et des analyses SOC, la complémentarité de ces outils va permettre de répondre au plus haut niveau de compliance imposés par les différents régulateurs (FINMA, RGPD, etc).
Laurent Zannettacci & Antoine Valette
Events
Archives