LOG MANAGEMENT
LOG MANAGEMENT1 ère étape : La Centralisation
AGENDA
DÉFINITION D’UN LOG
POURQUOI LES LOGSONT-ILS IMPORTANTS ?
Vous ne pouvez pas contrôlerce que vous ne voyez pas !
DÉFINITION D’UN LOG
POUR QUI LES LOGS SONT-ILS IMPORTANTS ?
LE LOG MANAGEMENT
QU’ENTEND-ON PAR LOG MANAGEMENT ?
LOG MANAGEMENT ET SEM,EST-CE LA MÊME CHOSE ?  •  •
LOG MANAGEMENT ET SEM,EST-CE LA MÊME CHOSE ?
LOG MANAGEMENT ET SEM,EST-CE LA MÊME CHOSE?
LOG MANAGEMENT,LES DIFFÉRENTES ÉTAPES
COMMENT ET POURQUOI LE MARCHÉA-T-IL REVU SA COPIE RÉCEMMENT ?
LA COLLECTE,LA CENTRALISATION,LA RÉTENTION
QUELQUES AVANTAGES DES SOLUTIONSDE CENTRALISATION
LE FONCTIONNEMENT DES SOLUTIONSDE CENTRALISATION                           LOG                        WAREHOUSE
LA COLLECTE  •  •  •  •  •  •  •  •
L’ALERTING  •  •  •  •  •
LA RECHERCHE
LE REPORTING
EXEMPLE DE POINTS COUVERTS POUR PCI
CONCLUSION
Séminaire Log Management
Prochain SlideShare
Chargement dans…5
×

Séminaire Log Management

1 720 vues

Publié le

Séminaire e-Xpert Solutions : Log Management

La centralisation des logs, 1ère étape avant la corrélation
Définition d’un log
Pourquoi les logs sont-ils si importants ?
Définition du terme Log Management
Log Management / SEM, quelles différences ?
Evolutions / Tendances
Les fonctionnalités premières d’un bon Log Management
Conclusion

Publié dans : Technologie
0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 720
Sur SlideShare
0
Issues des intégrations
0
Intégrations
49
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • Mine d’informationFormat pas toujours digeste Pas de norme ou presque (W3C)
  • On ne peut contrôler ce qu’on ne voit pas. Mais y-a-t-il beaucoup à voir? Est-ce si important que cela?So what business problem do we solve?In order to control you environment you first need to have an accurate baseline of user and system activityWe all have the best of intentions – we lay out a security policy, a network topology but real-life is infinitely more complexPeople make mistakes – do stupid things, leave the door open, misconfigure a systemMachines behave erraticlyControlling your environment starts with understanding what is really going onThen you can adjust policies, procedures, configurations100% Regulations Require Log Monitoring(PCI, SOX, HIPAA, NERC, ISO, NIST, GLBA)71% Fail PCI because of lack of tracking62% of security incidents are due to human error (Verizon study) – such as miconfigurations
  • Preuves de l’activité informatique d’une entreprisePermettent la tracabilitéQui s’est connecté où, depuis où, quand, pour faire quoi.Quelle modification a été faite sur ces équipements et par qui, suite à quel numéro de changeCes informations permettent de prendre des mesures proactives ou correctives!Représentent 30% des données des entreprisesEt ces informations sont sensibles vu leur contenu Mais qui intéressent-elles?So, why all this interest in logs? You’ve been collecting them for years. In fact, in a recent study we conducted with SANS we determined that Global 2000 corporations are spending over $1bn USD on Log Management and Intelligence – and that log data could account for up to 30% of all Enterprise data.The reason is simple – As IT log files are generated by homegrown applications, databases, networks, servers and even handheld devices -- they form an immutable fingerprint of user and systems activity. They are the record of everything that has occurred in your Enterprise.As such, logs are critical to ensuring and attesting to compliance with SOX, PCI, IT controls and business policies.Through log data you can see what systems users access, what files they view, what e-mails are sent, what applications used, etc. Similarly log data can identify successful and failed transactions as well as system configuration changes in real-time.Given that Logs contain sensitive information such as log-ins, passwords and a fingerprint of confidential activity – it is essential that they are secured and managed with complete chain of custody. Therefore, log data isn’t just critical to compliance – it’s critical data in its own right.
  • Les logs sous différentes formes peuvent intéresser bien des personnes.Les formes:Rapport de type volumétrie / métriqueRapport de type compliance (SOX, HIPAA, ITIL, …)Rapport de type Post-mortemRapport de type analyse de risqueRapport technique pour le dépannage et le diagnostiqueLes logs sont importants pour TOUT le monde, pour TOUTES les équipes d’une entreprise,Pas seulement les informatitiens (les régulations on amené un changement ici) LA solution à cela est donc une bonne solution de Log Management
  • Qui dans la salle fait ou pense faire du log Mgt?
  • Pas le temps de creuser la question avec vous mais on se rend compte que la définition change d’une personne à l’autreNormal, le terme à varié au cours de ces dernières années.
  • Les définitions divergent, tout le monde possède la sienneLogique car le terme a évolué dans le temps
  • Division entre 2 termes surtout: Log ManagementSEM-SIEMLog management = Terme générique = comprend toutes les approches concernant les logSEM = petite exception = très orienté sécurité = idée principale est le traitement en temps réel des logs afin de détecter des attaques par exemple.C’est souvent représenté sous la forme d’un diagramme qui montre un million de log réduit à un seul!  Comparaison des 2 mondes
  •  Mais il y a un point très important à retenir!!
  • Pas de SEM sans une bonne gestion des logs bruts !!  On le voit ici dans un schéma bien connu…
  • Graphe du Dr Anton Chuvakin http://chuvakin.blogspot.com/2010/02/logging-log-management-and-log-review.htmlOn voit que certaines cases sont couvertes par le LM et d’autres par le SIEMIl est TRES important de respecter les étapes!Analogie: Velo à 6 vitesses dans une côte avec une forte pente: vouloir passer de la première à la 6ème est certainement le meilleur moyen de ne pas franchir la ligne d’arrivée DU TOUT!!Les étapes n’ont pas le même poids = Pour les 2 dernières étapes, PLUS de travail que pour les 4 premières.  c’est la complexité et les ressources nécessaires pour arriver à cette dernière étape qui à donné une mauvaise image du SEM
  • Exemple du même style: SSO, PKI Ce concentrer donc sur les solutions qui couvrent les 5 premiers points du schéma précédent: les solutions de centralisation
  • On ne peut contrôler ce qu’on ne voit pas. Mais y-a-t-il beaucoup à voir? Est-ce si important que cela?So what business problem do we solve?In order to control you environment you first need to have an accurate baseline of user and system activityWe all have the best of intentions – we lay out a security policy, a network topology but real-life is infinitely more complexPeople make mistakes – do stupid things, leave the door open, misconfigure a systemMachines behave erraticlyControlling your environment starts with understanding what is really going onThen you can adjust policies, procedures, configurations100% Regulations Require Log Monitoring(PCI, SOX, HIPAA, NERC, ISO, NIST, GLBA)71% Fail PCI because of lack of tracking62% of security incidents are due to human error (Verizon study) – such as miconfigurations
  • Lister les points Principe de fonctionnement des solution de centralisation
  • TOUTcollecter de manière à TOUT conserver et à TOUTpouvoiranalyser (important en cas de recherche, forensic)Stocker au format brut: IMPORTANT pour des raisons légalesEvitertoutealtération(avantagesupplémentaire)Analyse: faire l’indexation pour unerecherchetrèsrapide (google-like)Possibilitéd’analyse en temps réel et pour des historiques.UtiliseR:Faire des recherchesbaséessur des mots clefs, des expressions régulières, oumulticritèresFaire du reporting de tout type, technique, oubasésur les régulationsimportantes pour l’entreprise.Générer des alertessurl’apparition en temps réels de mots-clefs et ce pourl’ENSEMBLEdes logsOn voitbienqueces solutions répondent à bien des besoins et sont tout de mêmeassezévoluées.Regardons de plus près les points importants qui constituent une solution de log managementWhile the MX appliances are easy to use and affordable for the mid-market, they are also fully-featured. All core functionality that made LogLogic appliances the solution of choice among Fortune 500 organizations are also available in the MX appliances.For starters, the LogLogic infrastructure provides end-to-end log lifecycle management.(click to build)Log data is collected through a drop in appliance that can collect all log data from all log sources across the enterprise. Little configuration is required, as the appliance will automatically identify the type of log data being sent to it.(click to build)The log data warehouse automatically analyzes the log data through a combination of indexing and parsing/normalization. Algorithms are available for both known and unknown log data and can be applied to real-time or historical information. (click to build)Search, reporting and alerting come out of the box and are exposed through open APIs to be used by the LogLogic application internally as well as third party developed applications.(click to build)Lastly, the log warehouse provides a secure archive for raw log data. Log data is protected for immutability so it can safely be used as evidence in court.Log data from the archives can be re-analyzed at any given time.Si on ne veutrienperdre et tout pouvoiranalyser, la logiqueveut de tout archiver.
  • Sur les rapports liés à la régulation, les p
  • stockage_: il est clair que si l’on veut corréler ds évènements venant de sources différentes (exemple de l’attaque venant d’Internet et allant en DMZ), seul le SEM peut le faire.Besoins couramment exprimés: simplicité, stockage, recherche, rapports techniques et sur la régulation, alerting
  • Séminaire Log Management

    1. 1. LOG MANAGEMENT
    2. 2. LOG MANAGEMENT1 ère étape : La Centralisation
    3. 3. AGENDA
    4. 4. DÉFINITION D’UN LOG
    5. 5. POURQUOI LES LOGSONT-ILS IMPORTANTS ?
    6. 6. Vous ne pouvez pas contrôlerce que vous ne voyez pas !
    7. 7. DÉFINITION D’UN LOG
    8. 8. POUR QUI LES LOGS SONT-ILS IMPORTANTS ?
    9. 9. LE LOG MANAGEMENT
    10. 10. QU’ENTEND-ON PAR LOG MANAGEMENT ?
    11. 11. LOG MANAGEMENT ET SEM,EST-CE LA MÊME CHOSE ? • •
    12. 12. LOG MANAGEMENT ET SEM,EST-CE LA MÊME CHOSE ?
    13. 13. LOG MANAGEMENT ET SEM,EST-CE LA MÊME CHOSE?
    14. 14. LOG MANAGEMENT,LES DIFFÉRENTES ÉTAPES
    15. 15. COMMENT ET POURQUOI LE MARCHÉA-T-IL REVU SA COPIE RÉCEMMENT ?
    16. 16. LA COLLECTE,LA CENTRALISATION,LA RÉTENTION
    17. 17. QUELQUES AVANTAGES DES SOLUTIONSDE CENTRALISATION
    18. 18. LE FONCTIONNEMENT DES SOLUTIONSDE CENTRALISATION LOG WAREHOUSE
    19. 19. LA COLLECTE • • • • • • • •
    20. 20. L’ALERTING • • • • •
    21. 21. LA RECHERCHE
    22. 22. LE REPORTING
    23. 23. EXEMPLE DE POINTS COUVERTS POUR PCI
    24. 24. CONCLUSION

    ×