Guide complet du SIEM de nouvelle génération
Découvrez comment moderniser votre SOC avec des solutions SIEM de nouvelle génération. Découvrez les principales fonctionnalités et les avantages de la gestion des événements et des informations de sécurité.
Télécharger votre guide
Guide complet du SIEM de nouvelle génération
Découvrez comment moderniser votre SOC avec des solutions SIEM de nouvelle génération. Découvrez les principales fonctionnalités et les avantages de la gestion des événements et des informations de sécurité.
Télécharger votre guide
Définition
Un log est un fichier contenant des métadonnées pouvant servir à contextualiser un événement qui s'est produit à un moment donné.
Les logs constituent un registre historique de tout ce qui se passe au sein d'un système. Ils recensent notamment des événements tels que des transactions, des erreurs et des intrusions. Ces données, qui peuvent être transmises de diverses manières, se présentent dans différents formats : structuré, semi-structuré ou non structuré.
Un log de base est principalement constitué des éléments suivants :
- Horodatage : l'heure exacte à laquelle l'événement enregistré s'est produit
- Informations sur l'utilisateur
- Informations sur l'événement : la mesure prise
Cependant, en fonction du type de source, le log contiendra également une multitude d'autres données pertinentes. Par exemple, les logs de serveur consignent notamment la page web concernée, le code de statut http, le nombre d'octets mobilisés, les agents utilisateur, etc.
D'où les logs proviennent-ils ?
Un log est généré pour toutes sortes d'éléments au sein d'un système, notamment :
- Applications
- Conteneurs
- Bases de données
- Pare-feux
- Endpoints
- Terminaux IoT
- Réseaux
- Serveurs
- Services web
La liste est encore longue, mais le fait est que presque toutes les infrastructures avec lesquelles vous interagissez au quotidien génèrent des logs.
Qui utilise les logs ?
Les logs peuvent fournir de précieuses informations à quasiment toute personne en poste au sein d'une entreprise. Voici quelques-uns des cas d'usage les plus fréquents, présentés par rôle :
ITOps
- Identifier le point d'équilibre de l'infrastructure
- Gérer les workloads
- Maintenir la disponibilité des systèmes/gérer les pannes
- Assurer la continuité des activités
- Réduire les coûts et les risques
DevOps
- Gérer l'intégration continue (CI) et la distribution continue (CD)
- Maintenir la disponibilité des applications
- Détecter les erreurs critiques des applications
- Identifier les domaines d'optimisation des performances des applications
DevSecOps
- Encourager la responsabilité partagée en ce qui concerne le développement et la sécurité des applications
- Économiser du temps/de l'argent et réduire les risques pour la réputation en identifiant les problèmes potentiels avant le déploiement
SecOps/Sécurité
- Repérer les indices d'une attaque (« qui, quand, où »)
- Identifier les activités suspectes
- Identifier les pics de trafic (blocage/autorisation)
- Implémenter des méthodologies telles que la boucle OODA
Analystes informatiques
- Assurer la gestion de la conformité et la génération de rapports
- Gérer les dépenses d'exploitation et d'investissement
- Obtenir des informations stratégiques
Types de logs
Pratiquement tout composant réseau génère un type particulier de données, qu'il collecte dans son propre log. De ce fait, il existe de nombreux types de log :
- Log d'événement : log de haut niveau qui enregistre des informations sur le trafic et l'utilisation du réseau, telles que les tentatives de connexion, les saisies de mots de passe erronés et les événements des applications.
- Log de serveur : document au format texte contenant un enregistrement des activités associées à un serveur particulier au cours d'une période donnée.
- Log système (syslog) : enregistrement des événements en lien avec le système d'exploitation. Ce log consigne les messages de démarrage, les modifications système, les arrêts inattendus, les erreurs et les avertissements, ainsi que d'autres processus importants. Windows, Linux et macOS génèrent tous des syslogs.
- Logs d'autorisation et logs d'accès : logs contenant la liste des personnes ou des robots qui accèdent à certaines applications ou à certains fichiers.
- Logs des modifications : logs contenant une liste chronologique des modifications apportées à une application ou à un fichier.
- Logs de disponibilité : logs conçus pour suivre les performances, l'activité et la disponibilité du système.
- Logs de ressources : logs contenant des informations sur les problèmes de connectivité et les limites de capacité.
- Logs de cybermenaces : logs contenant des informations sur le trafic du système, des fichiers ou des applications correspondant à un profil de sécurité prédéfini au sein d'un pare-feu.
L'importance de la gestion des logs
Bien que les logs puissent fournir une multitude d'informations, plusieurs défis de taille empêchent les entreprises de tirer pleinement parti de leur valeur.
Défi n° 1 : le volume
Avec l'essor du cloud, des réseaux hybrides et de la transformation numérique, le volume de données collectées par les logs a explosé. Dans la mesure où des logs sont créés pour pratiquement tout, comment une entreprise peut-elle gérer ce volume considérable de données et bénéficier rapidement de tous les avantages que les logs peuvent offrir ?
Défi n° 2 : la normalisation
Malheureusement, les logs n'utilisent pas tous le même format. Selon le type de log, les données peuvent être structurées, semi-structurées ou non structurées. Pour que les entreprises puissent absorber et dériver en temps réel des informations utiles de l'ensemble des logs, un certain degré de normalisation des données est nécessaire, ce qui facilitera leur analyse.
Défi n° 3 : la transformation numérique
D'après Gartner, de nombreuses entreprises, en particulier les moyennes entreprises et celles dont les opérations de sécurité sont moins matures, présentent des lacunes en matière de surveillance et d'investigation des incidents. Leur approche décentralisée de la gestion des logs au sein de leurs environnements informatiques rend presque impossibles la détection et la réponse aux cybermenaces.
Par ailleurs, de nombreuses entreprises s'appuient sur des solutions SIEM qui présentent des limites en matière de coûts et de capacités. Les modèles de licence SIEM reposent sur le volume de données ingérées ou la vitesse d'ingestion, ce qui augmente souvent le coût de cette technologie. Dès lors, la collecte de données à grande échelle a un coût souvent prohibitif (même si la plupart des outils de gestion des logs présentent des modèles de tarification similaires). Par ailleurs, à mesure que les données se multiplient, les outils SIEM peuvent rencontrer des problèmes de performances, de même qu'accroître le coût des opérations d'optimisation et de prise en charge.
Découvrez la première plateforme IA native au monde pour le SIEM et la gestion des logs nouvelle génération
Renforcez votre cybersécurité avec CrowdStrike Falcon®, la première plateforme basée sur l'IA pour le SIEM et la gestion des logs. Bénéficiez de la journalisation de sécurité à l'échelle du pétaoctet. Choisissez entre des options de déploiement cloud natives ou autohébergées. Journalisez vos données grâce à une architecture puissante, sans index ni goulot d'étranglement. Cette solution permet d'ingérer plus de 1 Po de données par jour et facilite le Threat Hunting. Devancez vos cyberadversaires en effectuant des recherches en temps réel en moins d'une seconde pour les requêtes complexes. Obtenez une visibilité complète en consolidant les données pour éliminer les silos. Les équipes de sécurité, informatiques et DevOps peuvent ainsi traquer les cybermenaces, surveiller les performances et assurer la conformité de manière transparente sur 3 milliards d'événements en moins d'une seconde.
Arfan Sharif est responsable du marketing produits pour le portefeuille d'observabilité chez CrowdStrike. Il possède plus de 15 ans d'expérience dans les solutions de gestion des logs, ITOps, d'observabilité, de sécurité et d'expérience client pour des entreprises telles que Splunk, Genesys et Quest. Arfan est titulaire d'un diplôme en informatique de la Buckinghamshire New University, et a travaillé aussi bien dans le marketing produits que dans l'ingénierie commerciale.
