Gestion des informations et événements de sécurité: Gérer votre infrastructure informatique peut être incroyablement difficile. C’est la raison pour laquelle nous disposons de systèmes gérés de manière centralisée, tels que Active Directory, VMware vSphere, etc. Malgré leur gestion centralisée, ils génèrent tous leurs propres données de journal correspondant à leurs propres événements. Plus votre infrastructure est grande, plus vous aurez à passer par les journaux dont vous aurez besoin. Même si vous filtrez dans les journaux, vous êtes toujours bloqué pour vous connecter à chaque ordinateur. Sauf si, bien entendu, vous envoyez les journaux à un emplacement central avec un SIEM (gestion des informations et événements de sécurité) .
La journalisation centralisée existe depuis assez longtemps (voir RFC 3164 et RFC 5424). Sous Linux et autres systèmes UNIX et similaires, nous utilisons syslog-ng et rsyslog depuis un moment. Cela fait l’affaire, nous avons tout au même endroit pour l’analyse, mais c’est du texte brut. Nous pouvons faire beaucoup mieux, que ce soit pour l’envoi ou la réception.
Vous vous demandez peut-être pourquoi la collecte de vos données de journal est importante. De nombreuses informations peuvent être extraites des journaux, même les plus banals. Une augmentation des données de journal sur une période de temps indique des charges ou une utilisation plus élevées, des erreurs peuvent vous informer de problèmes au sein de vos applications et de votre infrastructure, et les journaux peuvent vous aider lors des enquêtes post-factum sur les défaillances du système. Les journaux sont une ressource incroyable qui n’est limitée que par la verbosité que vous configurez (ou qui est prise en charge sur la plate-forme particulière) .
Une gestion des informations et événements de sécurité est une suite qui combine la centralisation des données de journal avec l’analyse. Des produits plus performants intégreront même une analyse de sécurité automatisée pour la détection / prévention des intrusions, la corrélation des incidents, la prévision de charge et même des visualisations sophistiquées de vos données de journalisation.
Nous examinerons rapidement quelques produits SIEM différents, mais nous nous en tiendrons aux produits open source percutants. Il existe de nombreuses piles SIEM différentes, toutes avec des approches et des priorités différentes. Certains se concentreront sur la sécurité, d’autres sur l’analyse des incidents ou même sur des statistiques et des rapports en temps réel. Quoi qu’il en soit, les plates-formes open source nécessitent souvent un peu de configuration pour obtenir des informations significatives, mais elles sont incroyablement flexibles.
Graylog:
Graylog est un bon endroit pour commencer. Grâce à son OVA, vous pouvez être opérationnel en quelques minutes sans vous soucier de l’installation de toutes les dépendances. Graylog 3 est sorti il y a environ deux semaines. Il est donc presque sorti de presse avec de nombreuses fonctionnalités. Graylog est packagé pour Linux, et je suppose que l’archive ne fonctionnerait pas bien sur d’autres systèmes UNIX ou similaires, mais malgré son écriture en Java, Graylog ne peut pas fonctionner correctement sous Windows en raison de la manière dont Windows gère le verrouillage des fichiers.
Graylog accepte une grande variété d’envoyeurs de journaux et fournit de nombreuses méthodes pour extraire les données dont vous avez besoin à partir des messages de journaux, même si elles ne sont que du texte brut. De plus, Graylog permet de créer des «pipelines» pour analyser vos journaux et en extraire davantage d’informations.
Graylog est une courbe d’apprentissage, mais il est très facile de commencer.
ELK Stack:
ELK n’est pas un projet unique, mais plutôt ELK est ElasticSearch (que Graylog utilise également) , Logstash et Kibana. Ils appartiennent tous à la même famille de projets sous Elastic.co . ElasticSearch est l’arrière-plan de stockage qui sous-tend les incroyables capacités d’indexation de Graylog et d’ELK Stack. Logstash est le récepteur de journal proprement dit, qui est également capable de recevoir une variété de formats. Enfin, Kibana est un moteur d’analyse et de génération de rapports capable de générer des images très attrayantes.
Contrairement à Graylog, le ELK Stack n’est pas facile à utiliser. Il nécessite une configuration initiale importante. ELK Stack est toutefois capable de fonctionner sous Windows, ce qui peut plaire à certains.
La pile ELK peut sembler être un investissement de temps considérable en termes d’apprentissage et de configuration, mais elle peut être très bénéfique compte tenu de l’évolutivité et de la flexibilité de la pile. Des sociétés comme Netflix et eBay utilisent la pile ELK pour la journalisation. Cette plate-forme flexible a beaucoup à offrir et ne profite que de son développement en cours.
SIEMonster:
SIEMonster (prononcer ‘monstre marin’) est un nouveau SIEM et il est intéressant de noter qu’il regroupe une grande variété de projets de journalisation et de sécurité open source indépendants dans un ensemble intégré. SIEMonster fonctionne également sur ElasticSearch (vous voyez un motif?) Mais ne vous arrêtez pas là. SIEMonster utilise en réalité la pile entière d’ELK, ce qui en fait une base très puissante pour la construction au sommet. Outre ELK, SIEMonster utilise Wazuh pour l’analyse de la sécurité et la sécurité, Wazuh pour la détection des intrusions sur l’hôte et plusieurs composants qui étendent les fonctionnalités d’ElasticSearch.
Dès le départ, SIEMonster pourrait sembler être un gagnant clair étant donné qu’il se veut une suite d’analyse de sécurité clé en main. C’est un paquet incroyablement riche en fonctionnalités. Bien que SIEMonster soit spécialement conçu pour Linux, il est difficile de casser la tête pour un paquet aussi robuste simplement à cause de la plate-forme sur laquelle il tourne ou non.
Expédition de vos les journaux:
Ainsi, une fois votre serveur opérationnel, comment y obtenez-vous réellement vos les journaux? La plupart des systèmes d’exploitation UNIX et de type UNIX ont la possibilité d’envoyer leurs journaux sur le réseau directement dans leurs démons de journalisation. Que se passe-t-il si votre système d’exploitation ne prend pas en charge la journalisation que vous souhaitez? Eh bien, vous pouvez probablement utiliser l’un des Beats d’ Elastic.co , et si aucun ne vous convient, vous pouvez utiliser leur libbeat et créer un client de journalisation qui répond parfaitement à vos besoins.
De plus, il y a les clients HIDS d’OSSEC et beaucoup, beaucoup plus de clients disponibles, même pour Windows.
Comme vous l’avez probablement remarqué, la sécurité est au centre de nos préoccupations. Si un assaillant obtient une entrée sur votre serveur et le fait avec le privilège de supprimer vos journaux, vous aurez peut-être peu de choses à explorer après. Cela pose non seulement un angle mort potentiel, mais aussi un très grand trou de sécurité. En envoyant vos journaux au serveur de journalisation centralisé, vous pouvez toujours en avoir une copie pour une analyse ultérieure. De plus, vous pouvez surveiller ces journaux en temps réel pour détecter les intrusions et alerter le personnel de sécurité, voire même prendre automatiquement des mesures de précaution.
Un système de journalisation centralisé ou un package SIEM constitue un ajout précieux à votre infrastructure informatique ou applicative et peut vous faire économiser beaucoup de temps et de maux de tête.
Vous aimerez peut-être aussi lire: Les causes d’échec d’une API – Mesures de sécurité
