2. Le SIEM (définition)
Security Incident & Event Management
• Collecte les journaux (multi formats)
• Normalise les événements
(taxonomie)
• Corrèle et Reporte (tableaux de bords
techniques, de pilotage et
managériaux, synchrone et
asynchrone)
• Archive (au sein mémoriel et légal du
terme)
• Rejoue des événements (dans le cadre
d’une analyse post mortem par
exemple)
• Gère le suivi (I)
Objectifs métiers
•Technique et/ou juridique :
Collecte et centralisation de logs
avec quelques règles de
corrélations
•Besoin : investigation technique
interne, statistiques d’usages et
détection d’usages anormaux
•Conformité : Répondre à des
besoins réglementaires (CNIL, PCI
DSS, RDBF, etc.)
•Besoin : indicateurs issus de
corrélations visant à surveiller
des données et/ou des
traitements
•Proactif : détection de
comportements anormaux
•Besoin : suivi d’utilisation,
détection d’APT, etc.
3. Physionomie d’une attaque
L’attaquant scanne le périmètre pour découvrir une
faille dans le périmètre
L’attaquant traverse les lignes de défenses et
compromet un équipement en exploitant une
vulnérabilité
Depuis l’équipement compromis l’attaquant cible des
données confidentielles (SGBD, collaboratif, etc.)
L’attaquant déploit des backdoors pour exfiltrer les
données sensibles et élargir sa surface d’attaque
Les équipements d’interfaces journalisent les scans
horizontaux et verticaux
Les IDS/IPS détectent les signatures d’attaques et
contrôlent l’effectivité des barrières
Les serveurs journalisent les accès
Les bases de données journalisent les requêtes
Le SIEM corrèle et détecte les attaques
5. Evénements pondérés
Faux positifs, recorrélation, etc.
Corrélation
Agrégationdelogs
Corrélationd’événement
Corrélationvulnérabilité
Corrélationd’inventaire
Gestionderisques
Alerte
Gestion de crise
Retour à la normale
1012
109
106
103
10
1
6. Les modèles SOCs
Opérations
Gestion des
événements
Gestion des
vulnérabilités
Gestion des
opérations
Gestion des
référentiels
Technologique
Gestion des
configurations
Gestion et
MCO de la
solution
Gestion des
infrastructure
s
Métiers
Gestion des
escalades
Gestion de la
disponibilité
PRA/PCA
Gestion des
évolutions
Gestion des
KPI et SLA
Analyse
Gestion des
incidents
Gestion des
investigations
Gestion des
problèmes
Gestion des
indicateurs
PAQ, PAS, Plan de Management, Catalogue de Services, etc.
Des équipes organisées et indépendantes
7. Les modèles de delivery
Intégration
•Accompagnement à Maitrise d’Ouvrage(aide au choix, rédaction de RFI, RFP, etc.)
•Installation (POC, Pilote, déploiement, maintenance, etc.)
•Mise en œuvre des processus (RACI, Plan de management, catalogue de services,
etc.)
Infogérance
•Suite à une intégration ou à une réversibilité
•Mise en place d’équipes N1/N2 chez les clients N3 en base arrière sur base horaire
contractuelle
•Organisation 24/7/365 sur site ou en mode bascule sur SOC interne maitrisé
(FRA/IND)
Services
Managés
•Modèle SIEM as a Service
•Intégration dans l’infrastructure du client ou modèle externe
•Equipe dédiée ou mutualisée
•Choix d’une technologie ou d’un modèle en Unités d’Œuvres
8. Les + de notre offre: Plan Do Check Act
Il s’agit, sur la base d’une quantité significative de logs et en
complément des solutions existantes:
• De réaliser
– l’identification et la collecte les données
– la modélisation (schéma en étoile, KPI, dimensions)
– la visualisation et l’analyse des données.
• D’identifier
– les comportements atypiques et les zones cachées dans
les épaisseurs de trait,
– les groupes (clusters) de données ayant des
comportements proches et des paramètres explicatifs à
ces clusters.
– les tendances.
Approche progressive :
• Data exploration Recherche de singularités
• Data control Recherche focalisée à partir
des singularités et des d’input métiers
• Data Mining Corrélation des données
9. Conclusion
Une démarche SIEM réussie c’est :
• La fourniture d'indicateurs opérationnels et métiers nouveaux et la détection incidents méconnus
auparavant.
• Un mode de gouvernance sécurité plus réactif et plus précis basé sur un contrôle permanent
extrêmement fin des systèmes d’information
• Un procédure et des réactions, testés et déroulées avec la même rigueur que les PCA ou PRA.
• Une baisse des coûts d’audits périodiques (données d'audits exploitables au niveau des SOC)
10. Les erreurs à éviter
Défaut de continuité dans la chaine de transport du log
Objectifs de surveillance mal ciblés
• Faible diversité des événements détectés (seuils trop élevés, donc sans intérêt pour les acteurs)
• Complexité mail maîtrisée (impossible à corréler)
• Finalité sécurité (améliorer des investissements sécurité, pratiques dangereuses)
Focaliser la surveillance sur les équipements de sécurité ou la DMZ au détriment des serveurs et des
postes de travail (Approche Jéricho)
Négligence dans les objectifs de détection
• Comportements des usagers internes (signaux faibles et APT)
• Préservation des biens et des fonctions sensibles
Défaut de vérification de l’effectivité des corrélations (PDCA)
11. Les facteurs clés
Paradigme
•la sécurité est une
activité pilotée par
l’entreprise
•Le SIEM facilite la
lecture
SIEM et pas SEM
•engagements
d’interventions voire
de résolutions sur les
alertes
•RACI l’organisation
Périmètre
•intégrer le GT-BC
•les systèmes
industriels
•les accès aux locaux,
Communiquer et
accompagner
•Les avantages
(dissocier
l’intentionnel de
l’accidentel)
•Indicateurs de succès
des taches
quotidiennes
•Alertes avancées
Reporting
•Temps réel (remontée
d’alertes rapides sur
détection proactive)
•Périodique (vision
synthétique
hebdomadaire ou
mensuelle)
•Type de projet (solution, logiciel, infogérance, MSSP, etc. )
•Les finalités
•Le périmètre (technique et fonctionnel)
•L’équipe projet en charge du déploiement, du MCO et de l’exploitation
Objectifs
•Pré requis (synchronisation temporelle, standardisation des types de journaux, etc.)
•Conception, construction et opération (différents périmètres)
•Organisation des équipes (niveaux, plages horaires, etc.
Planifier
•Ne pas se restreindre (le diable est dans les détails)
•Partager un référentiel commun de temps
•Sécuriser et sceller l’archivage
•Vérifier périodiquement l’effectivité de la corrélation (PDCA)
Ne pas oublier
12. Le marché SIEM sur 3 ans (source Gartner)
• Consolidation du marché de 25 acteurs à 16
• Seuls les produits mures technologiquement et avec une roadmap ambitieuse sont
leaders
13. Cliquez pour modifier le style du titre
David.Maillard@Sogeti.Com
+33 6 24 13 32 03
ENVIE D’EN PARLER OU D’ALLER PLUS LOIN
WANT TO GO DEEPER OR FORWARD