Présentation
La gestion des informations et des événements de sécurité, ou SIEM (Security Information and Event Management) renvoie aux solutions visant à aider les entreprises à résoudre leurs problèmes de sécurité et de vulnérabilités avant qu'ils n'affectent leur activité.
Grâce à l'automatisation, les entreprises peuvent utiliser les systèmes SIEM pour rationaliser un grand nombre de processus manuels qui permettent de détecter des menaces et de répondre aux incidents. Les logiciels SIEM compilent et regroupent les données d'événements issues de dispositifs de sécurité, de l'infrastructure réseau, des systèmes informatiques et des applications, de manière à ce qu'elles puissent être utilisées pour générer rapidement des réponses de sécurité automatisées ou manuelles.
Composantes d'un système SIEM
Si les systèmes SIEM diffèrent sensiblement d'un fournisseur ou un déploiement à un autre, ils fonctionnent généralement avec d'autres solutions de sécurité telles que les systèmes de prévention et de détection des intrusions (IDPS). Les systèmes SIEM reposent sur quatre piliers :
- Gestion des journaux : processus de collecte, de stockage et d'analyse des fichiers journaux générés par l'ordinateur afin de surveiller et d'examiner l'activité du système.
- Mise en corrélation et analyse des événements : analyse en temps réel et référence croisée des données des journaux et des événements afin d'identifier des schémas, des anomalies et des menaces potentielles pour la sécurité.
- Surveillance des incidents et alertes de sécurité : consolidation des processus actifs pour détecter les activités non autorisées et en informer les administrateurs via un tableau de bord unique.
- Gestion de la conformité et création de rapports : processus systématique de collecte et d'analyse des données pour assurer la conformité à des normes réglementaires spécifiques et générer des rapports pour la certifier. Puisque la plupart des données d'une entreprise passent par son système SIEM, celui-ci peut produire des rapports de conformité à jour.
Fonctionnement d'un système SIEM
De la compilation à l'alerte
Tout système SIEM commence par surveiller les journaux d'événements des appareils matériels et logiciels, qui enregistrent un événement à chaque fois que les appareils détectent un changement. Pour ce faire, le système SIEM accède aux fichiers journaux dans l'espace de stockage de l'appareil, ou il utilise un protocole de flux d'événement pour surveiller les données du réseau.
Une fois qu'il a récupéré les données d'événements, le système SIEM effectue les tâches suivantes :
- Tri et compilation des données dans un processus de flux de journaux. Bien qu'il diffère d'un système SIEM à un autre, ce processus commence généralement par écarter les informations inutiles, par exemple les rapports d'appareils qui fonctionnent selon les paramètres prévus.
- Indexation des journaux d'événements pour regrouper les données dans des catégories, permettre la recherche et relier les événements.
- Analyse des données d'événements collectées pour identifier des tendances et établir des relations qui permettent de détecter les vulnérabilités et les événements suspects.
- Mise en corrélation des données analysées avec les menaces de sécurité en fonction de règles, souvent fournies manuellement par les administrateurs. Chaque étape du processus (tri, indexation et analyse) conduit à la mise en corrélation, qui est la fonction de sécurité centrale des systèmes SIEM.
Par exemple, si un système SIEM détecte un échec de tentative de connexion à 1 000 reprises en raison d'une erreur de mot de passe, il peut associer cette activité à un type de menace de sécurité et générer une alerte, qui pourra ensuite être traitée par une personne spécialisée ou un système automatisé.
Types d'hébergement des systèmes SIEM
En raison du caractère sensible des données qu'ils recueillent, les systèmes SIEM ont longtemps été hébergés sur site. Leur maintenance sur site s'avère toutefois très coûteuse, car ces systèmes nécessitent l'utilisation de logiciels spécialisés et l'intervention d'une équipe de sécurité pour leur surveillance.
Face à cette complexité, de nombreuses entreprises se sont tournées vers d'autres solutions. Comme la plupart des systèmes disponibles dans le monde actuel du cloud hybride, la gestion des informations et des événements de sécurité peut être assurée par le biais de logiciels installés sur site, de processus autogérés dans le cloud, ou de services gérés (SIEM-as-a-Service) par l'intermédiaire d'un fournisseur de cloud ou de services de sécurité gérés. De nombreuses solutions SIEM peuvent aussi reposer sur un modèle hybride, avec des données (probablement les plus sensibles) stockées sur site et d'autres dans le cloud.
Par exemple, une entreprise peut utiliser un service sur site pour recueillir et compiler des données de sécurité, et une solution SIEM-as-a-Service hébergée dans le cloud pour effectuer les processus de mise en corrélation.
Il n'existe pas de méthode unique et idéale pour héberger une solution SIEM. C'est pourquoi, lorsqu'elles réfléchissent à leur stratégie, les entreprises doivent tenir compte des aspects suivants :
- L'entreprise dispose-t-elle déjà d'une infrastructure SIEM, et est-elle compatible avec les services hébergés ?
- L'entreprise est-elle confrontée à des problèmes de sécurité ou à des réglementations qui l'empêchent de migrer des données vers des environnements cloud ?
- L'entreprise dispose-t-elle de spécialistes des systèmes SIEM, ou de personnel de sécurité informatique qui pourrait être formé pour le devenir ? Ou serait-il plus judicieux d'opter pour une solution SIEM-as-a-Service ?
- L'entreprise dispose-t-elle d'une solution d'automatisation qui fonctionne de façon native dans tout l'environnement de cloud hybride, des datacenters sur site jusqu'en périphérie du réseau, en passant par le cloud ?
Avantages
Détection des menaces
Les systèmes SIEM analysent continuellement les données de journaux et d'événements pour générer des alertes, ce qui leur permet d'identifier les activités inhabituelles ou potentiellement malveillantes. Grâce à cette approche, les équipes de sécurité peuvent détecter les menaces (accès non autorisés, fuites de données ou attaques de logiciels malveillants par exemple) pour réagir rapidement et limiter les problèmes.
Regroupement des données
Les solutions SIEM regroupent les données issues de différents systèmes et applications pour fournir une vue unifiée sur l'environnement informatique de l'entreprise, ce qui simplifie l'audit des systèmes, l'optimisation du réseau et la résolution des problèmes. Ces solutions fournissent également des renseignements sur les performances et l'intégrité des ressources technologiques, bien souvent accessibles via un tableau de bord unique, qui facilitent la prise de décisions adaptées et la planification à long terme.
Gestion de la conformité
De nombreuses exigences réglementaires imposent des conditions strictes de journalisation et de création de rapports pour les données sensibles. Les systèmes SIEM automatisent la collecte de données et génèrent des rapports de conformité exhaustifs pour aider les entreprises à respecter les exigences légales et réglementaires.
Qualité de la résolution des incidents
Les systèmes SIEM accélèrent la résolution des incidents et renforcent la qualité des réponses apportées. Lorsqu'un incident de sécurité survient, il est essentiel de comprendre le contexte pour le traiter efficacement. Les systèmes SIEM fournissent des informations détaillées, sur ce qui s'est produit avant, pendant et après l'événement par exemple, que les équipes peuvent utiliser pour mener des actions ciblées et résoudre les problèmes plus efficacement.
SIEM et automatisation de la sécurité
Les équipes de sécurité peuvent parfois être accablées par le grand volume de données que gèrent et compilent les solutions SIEM, en particulier si elles constatent qu'elles perdent du temps à analyser des incidents qui s'avèrent être de faux positifs. Pour exploiter tout le potentiel des systèmes SIEM, les alertes qu'ils génèrent doivent être vérifiées efficacement et traitées rapidement.
L'automatisation de la sécurité permet de faciliter l'exploitation et la gestion des solutions SIEM. Elle permet de réduire le nombre de tâches manuelles et de renforcer l'efficacité du système, en évitant les erreurs. Elle permet également de traiter plus rapidement les menaces détectées et de renforcer la cohérence des processus de sécurité. En éliminant le facteur humain et ses erreurs potentielles, l'automatisation garantit un suivi plus rigoureux des protocoles de sécurité, ce qui améliore la fiabilité globale des systèmes SIEM.
En outre, l'automatisation facilite la collaboration entre les équipes responsables des opérations de sécurité (SecOps) et celles chargées de l'analyse de la sécurité. Parce qu'elle regroupe les journaux et les informations en temps réel au même endroit, l'automatisation permet aux équipes d'analyse d'accéder directement aux données utiles et de corriger les problèmes, pour ainsi traiter plus rapidement les incidents.
Red Hat, un partenaire de choix en matière d'automatisation de la sécurité
La solution Red Hat® Ansible® Automation Platform est un outil sans agent qui facilite l'automatisation des processus dans toute l'entreprise. Elle utilise des playbooks, des services d'annuaire local, des journaux consolidés et des applications externes pour aider les équipes informatiques à automatiser leurs solutions de sécurité. Avec Ansible Automation Platform, les équipes ont plus d'outils à leur disposition pour analyser et traiter les menaces d'une manière unifiée et coordonnée.
Les entreprises ont ainsi plus de possibilités pour exploiter leurs systèmes SIEM, notamment aux niveaux suivants :
- Correction : Ansible Automation Platform permet aux entreprises d'automatiser les tâches d'analyse et de correction à partir du système SIEM.
- Interopérabilité : Ansible Automation Platform relie de nombreuses composantes des systèmes SIEM. Grâce à l'automatisation des différentes fonctionnalités de sécurité, les entreprises peuvent répondre de manière rapide et unifiée aux cyberattaques en coordonnant diverses solutions de sécurité.
- Consolidation et regroupement des journaux : l'intégration d'Ansible Automation Platform à des services externes de compilation de journaux tiers aide les équipes de sécurité à identifier les tendances, à analyser les événements liés à l'infrastructure, à surveiller les anomalies et à mettre en corrélation des événements disparates.
- Simplification :Ansible Automation Platform utilise un langage simple et facile à lire, ce qui élimine le besoin de recourir à des compétences de codage spécialisées pour exécuter les tâches dans le bon ordre. Grâce à cette approche, les équipes responsables de la sécurité peuvent interagir avec les systèmes SIEM sans avoir besoin de formation spécifique.
- Efficacité : les architectures sans agent permettent aux entreprises de déployer des solutions plus rapidement sans subir la vulnérabilité des agents à exploiter ou à mettre à jour. Cette approche permet de réduire l'exposition aux menaces de sécurité des systèmes SIEM.
- Modernisation :Ansible Automation Platform permet aux entreprises d'intégrer une solution SIEM à leurs workflows DevSecOps.
Event-Driven Ansible
Parce que les systèmes SIEM génèrent un grand volume d'analyses, il est nécessaire de mettre en place une solution pour traiter toutes ces données. Solution d'automatisation orientée événements, Event-Driven Ansible comprend des fonctions très utiles aux systèmes SIEM :
- Le contrôleur Event-Driven Ansible, qui permet d'orchestrer divers rulebooks Ansible et offre une interface unique pour gérer et surveiller chaque réponse pour toutes les sources d'événements, telles que les systèmes SIEM.
- L'intégration à Automation Controller dans Ansible Automation Platform, qui permet aux entreprises d'utiliser les workflows déjà créés et ainsi de transformer des processus automatisés fiables en scénarios d'automatisation orientée événements.
- La limitation d'événements, qui permet de gérer les « tempêtes d'événements » en adoptant une approche réactive ou passive. Les entreprises peuvent ainsi mieux contrôler quand et comment les actions sont exécutées en réponse à de nombreux événements, comme lorsqu'un système SIEM génère de nombreux événements lors d'un incident de sécurité.