Séminaire e-Xpert Solutions : Log Management
La centralisation des logs, 1ère étape avant la corrélation
Définition d’un log
Pourquoi les logs sont-ils si importants ?
Définition du terme Log Management
Log Management / SEM, quelles différences ?
Evolutions / Tendances
Les fonctionnalités premières d’un bon Log Management
Conclusion
Mine d’informationFormat pas toujours digeste Pas de norme ou presque (W3C)
On ne peut contrôler ce qu’on ne voit pas. Mais y-a-t-il beaucoup à voir? Est-ce si important que cela?So what business problem do we solve?In order to control you environment you first need to have an accurate baseline of user and system activityWe all have the best of intentions – we lay out a security policy, a network topology but real-life is infinitely more complexPeople make mistakes – do stupid things, leave the door open, misconfigure a systemMachines behave erraticlyControlling your environment starts with understanding what is really going onThen you can adjust policies, procedures, configurations100% Regulations Require Log Monitoring(PCI, SOX, HIPAA, NERC, ISO, NIST, GLBA)71% Fail PCI because of lack of tracking62% of security incidents are due to human error (Verizon study) – such as miconfigurations
Preuves de l’activité informatique d’une entreprisePermettent la tracabilitéQui s’est connecté où, depuis où, quand, pour faire quoi.Quelle modification a été faite sur ces équipements et par qui, suite à quel numéro de changeCes informations permettent de prendre des mesures proactives ou correctives!Représentent 30% des données des entreprisesEt ces informations sont sensibles vu leur contenu Mais qui intéressent-elles?So, why all this interest in logs? You’ve been collecting them for years. In fact, in a recent study we conducted with SANS we determined that Global 2000 corporations are spending over $1bn USD on Log Management and Intelligence – and that log data could account for up to 30% of all Enterprise data.The reason is simple – As IT log files are generated by homegrown applications, databases, networks, servers and even handheld devices -- they form an immutable fingerprint of user and systems activity. They are the record of everything that has occurred in your Enterprise.As such, logs are critical to ensuring and attesting to compliance with SOX, PCI, IT controls and business policies.Through log data you can see what systems users access, what files they view, what e-mails are sent, what applications used, etc. Similarly log data can identify successful and failed transactions as well as system configuration changes in real-time.Given that Logs contain sensitive information such as log-ins, passwords and a fingerprint of confidential activity – it is essential that they are secured and managed with complete chain of custody. Therefore, log data isn’t just critical to compliance – it’s critical data in its own right.
Les logs sous différentes formes peuvent intéresser bien des personnes.Les formes:Rapport de type volumétrie / métriqueRapport de type compliance (SOX, HIPAA, ITIL, …)Rapport de type Post-mortemRapport de type analyse de risqueRapport technique pour le dépannage et le diagnostiqueLes logs sont importants pour TOUT le monde, pour TOUTES les équipes d’une entreprise,Pas seulement les informatitiens (les régulations on amené un changement ici) LA solution à cela est donc une bonne solution de Log Management
Qui dans la salle fait ou pense faire du log Mgt?
Pas le temps de creuser la question avec vous mais on se rend compte que la définition change d’une personne à l’autreNormal, le terme à varié au cours de ces dernières années.
Les définitions divergent, tout le monde possède la sienneLogique car le terme a évolué dans le temps
Division entre 2 termes surtout: Log ManagementSEM-SIEMLog management = Terme générique = comprend toutes les approches concernant les logSEM = petite exception = très orienté sécurité = idée principale est le traitement en temps réel des logs afin de détecter des attaques par exemple.C’est souvent représenté sous la forme d’un diagramme qui montre un million de log réduit à un seul! Comparaison des 2 mondes
Mais il y a un point très important à retenir!!
Pas de SEM sans une bonne gestion des logs bruts !! On le voit ici dans un schéma bien connu…
Graphe du Dr Anton Chuvakin http://chuvakin.blogspot.com/2010/02/logging-log-management-and-log-review.htmlOn voit que certaines cases sont couvertes par le LM et d’autres par le SIEMIl est TRES important de respecter les étapes!Analogie: Velo à 6 vitesses dans une côte avec une forte pente: vouloir passer de la première à la 6ème est certainement le meilleur moyen de ne pas franchir la ligne d’arrivée DU TOUT!!Les étapes n’ont pas le même poids = Pour les 2 dernières étapes, PLUS de travail que pour les 4 premières. c’est la complexité et les ressources nécessaires pour arriver à cette dernière étape qui à donné une mauvaise image du SEM
Exemple du même style: SSO, PKI Ce concentrer donc sur les solutions qui couvrent les 5 premiers points du schéma précédent: les solutions de centralisation
On ne peut contrôler ce qu’on ne voit pas. Mais y-a-t-il beaucoup à voir? Est-ce si important que cela?So what business problem do we solve?In order to control you environment you first need to have an accurate baseline of user and system activityWe all have the best of intentions – we lay out a security policy, a network topology but real-life is infinitely more complexPeople make mistakes – do stupid things, leave the door open, misconfigure a systemMachines behave erraticlyControlling your environment starts with understanding what is really going onThen you can adjust policies, procedures, configurations100% Regulations Require Log Monitoring(PCI, SOX, HIPAA, NERC, ISO, NIST, GLBA)71% Fail PCI because of lack of tracking62% of security incidents are due to human error (Verizon study) – such as miconfigurations
Lister les points Principe de fonctionnement des solution de centralisation
TOUTcollecter de manière à TOUT conserver et à TOUTpouvoiranalyser (important en cas de recherche, forensic)Stocker au format brut: IMPORTANT pour des raisons légalesEvitertoutealtération(avantagesupplémentaire)Analyse: faire l’indexation pour unerecherchetrèsrapide (google-like)Possibilitéd’analyse en temps réel et pour des historiques.UtiliseR:Faire des recherchesbaséessur des mots clefs, des expressions régulières, oumulticritèresFaire du reporting de tout type, technique, oubasésur les régulationsimportantes pour l’entreprise.Générer des alertessurl’apparition en temps réels de mots-clefs et ce pourl’ENSEMBLEdes logsOn voitbienqueces solutions répondent à bien des besoins et sont tout de mêmeassezévoluées.Regardons de plus près les points importants qui constituent une solution de log managementWhile the MX appliances are easy to use and affordable for the mid-market, they are also fully-featured. All core functionality that made LogLogic appliances the solution of choice among Fortune 500 organizations are also available in the MX appliances.For starters, the LogLogic infrastructure provides end-to-end log lifecycle management.(click to build)Log data is collected through a drop in appliance that can collect all log data from all log sources across the enterprise. Little configuration is required, as the appliance will automatically identify the type of log data being sent to it.(click to build)The log data warehouse automatically analyzes the log data through a combination of indexing and parsing/normalization. Algorithms are available for both known and unknown log data and can be applied to real-time or historical information. (click to build)Search, reporting and alerting come out of the box and are exposed through open APIs to be used by the LogLogic application internally as well as third party developed applications.(click to build)Lastly, the log warehouse provides a secure archive for raw log data. Log data is protected for immutability so it can safely be used as evidence in court.Log data from the archives can be re-analyzed at any given time.Si on ne veutrienperdre et tout pouvoiranalyser, la logiqueveut de tout archiver.
Sur les rapports liés à la régulation, les p
stockage_: il est clair que si l’on veut corréler ds évènements venant de sources différentes (exemple de l’attaque venant d’Internet et allant en DMZ), seul le SEM peut le faire.Besoins couramment exprimés: simplicité, stockage, recherche, rapports techniques et sur la régulation, alerting