Sponsorisé par LogRhythm Les renseignements de sécurité en action : Un essai de la plate-forme SIEM 2.0 de LogRhythm dédiée Décembre 2012 Un livre blanc de SANS Écrit par : Dave Shackleford L interface de LogRhythm PAGE 2 Recherche et analyse approfondies PAGE 4 Fonctionnalités avancées PAGE 8 Modules de la base de connaissances PAGE 11
Introduction Un nombre croissant d organisations collecte aujourd hui, à différentes fins, les données d événements de sécurité et les fichiers journaux de leurs systèmes et applications. Selon le document d étude «SANS 8th Annual Log Management Survey» publié en 20121, la majorité des organisations sondées utilisent les fichiers journaux de sécurité et les données d événements pour les raisons suivantes : Détection et localisation des comportements suspects Facilitation des analyses et de la corrélation dans un cadre judiciaire Prévention des incidents Obtention/démonstration de la conformité aux exigences réglementaires Les fichiers journaux constituent un excellent point de départ pour optimiser l efficacité de la gestion des informations et événements de sécurité (SIEM, «Security Information and Event Management»). Toutefois et pour la première fois dans les huit années d existence de l étude, la capacité des organisations interrogées dans le document d étude «SANS 8th Annual Log Management Survey» à appréhender les menaces complexes a régressé. Pourquoi cela? Parce que les organisations ont trop de données à analyser, et ne parviennent pas à distinguer les problèmes du «bruit environnant». Le principal problème, identifié dans plus de 600 réponses à l étude, est «la différentiation des événements essentiels et de l activité normale en arrière-plan». «L absence de corrélation» constitue le deuxième écueil cité, tandis que «l absence de capacités d analyse» occupe la troisième place2. Le personnel informatique et de sécurité doit disposer d outils aussi avancés que ceux qu utilisent les auteurs des menaces. En cas d événement, le personnel chargé de défendre le réseau doit être en mesure de trier, normaliser et analyser rapidement et précisément de grands ensembles d informations concernant l événement, provenant d équipements multiples. Ces capacités doivent également être disponibles dans le cadre des procédures d alerte et d analyse à postériori L analyse des grandes quantités de données issues des fichiers journaux constitue un problème de «données volumineuses» classique, compliqué par la nécessité d une analyse avancée en temps réel et après l incident. Un outil d analyse adapté à cette tâche est LogRhythm version 6.1, que SANS a eu l opportunité de tester la veille de sa parution. Ce produit peut analyser les données de sécurité et générer des rapports de différentes manières, et propose en outre des fonctionnalités simples d utilisation. Les nouvelles fonctionnalités de cette version se concentrent sur les données analytiques et les tâches d analyse plus complexes, ainsi que sur la gestion de listes blanches et l analyse comportementales. Ce test s intéresse aux fonctionnalités fondamentales de LogRhythm, que devraient proposer toutes les plates-formes de gestion de fichiers journaux et d événements, ainsi qu à certaines des fonctionnalités plus innovantes incluses dans la nouvelle version du logiciel. 1 www.sans.org/reading_room/analysts_program/sortingthrunoise.pdf 2 www.sans.org/reading_room/analysts_program/sortingthrunoise.pdf, page 6 1
L interface de LogRhythm Lors de la connexion à la console LogRhythm, le premier écran affiché est le tableau de bord personnel. Cet écran propose une interface réellement personnalisable, qui permet aux analystes de la sécurité de choisir parmi différentes vues et représentations graphiques des données de sécurité, ainsi que différents événements de sécurité et lignes de référence. Les catégories d analyses sont présentées sur le côté gauche de l écran, et peuvent être affichées rapidement sur le tableau de bord. Parmi ces catégories figurent les éléments suivants : General Analysis (Analyse générale) : les opérations essentielles pour un analyste de la sécurité et notamment l agrégation de fichiers journaux et d événements, les audits, les opérations et les fichiers journaux et événements de sécurité sont regroupées par catégories de classification et dans des fichiers journaux par type et par direction du trafic. Time Analysis (Analyse temporelle) : dans cette section, les analystes peuvent facilement consulter les fichiers journaux et les événements par heure d apparition de l événement. Ces éléments sont en outre répartis par type, par direction du trafic et selon des options temporelles à granularité variable (par exemple, par semaine ou par jour). Statistical Analysis (Analyse statistique) : cette catégorie permet aux analystes de la sécurité de visualiser des données granulaires et des graphiques concernant les fichiers journaux et les événements de l environnement. Les catégories d analyses incluent les statistiques concernant les sources des fichiers journaux, les statistiques concernant l origine des connexions et les hôtes (c est-à-dire les informations des systèmes et des utilisateurs), les hôtes et applications affectés et même les codes des messages des équipements, qui peuvent être détaillés, puis analysées. TopX Analysis (Analyse TopX) : Les catégories TopX sont des conteneurs ouverts et flexibles, que les analystes peuvent renseigner avec les principaux événements dans de nombreuses catégories par exemple, les 10 premiers types de paquets entrants et sortants, les 10 premiers comptes d utilisateur apparaissant dans les événements de fichiers journaux ou les 20 premiers noms de domaine présents dans des événements. Ces catégories peuvent être ajoutées au tableau de bord personnel au choix de l utilisateur, permettant ainsi aux analystes de créer des options de surveillance complexes et adaptatives. La Figure 1 présente un exemple de configuration personnalisée du tableau de bord personnel. Figure 1. Tableau de bord personnel de LogRhythm 2
L interface de LogRhythm (SUITE) La prochaine fonction de l interface que nous avons étudiée a été la capacité d utiliser la fonctionnalité de création de listes de LogRhythm pour constituer des rapports de conformité, des alertes et des ensembles de règles de corrélation complexes. Ces listes constituent un groupement logique de nombreux types de données ou éléments de règle dans le produit, et peuvent être créées par une procédure de renseignement automatique depuis les API ou par une importation manuelle. Ces listes peuvent considérablement simplifier la création de règles et les investigations, grâce au regroupement d éléments communs. Par exemple, la Figure 2 présente une liste simple d hôtes sur liste noire. Figure 2. Une liste simple 3
Recherche et analyse approfondies (SUITE) L interface de LogRhythm propose des fonctionnalités de recherche approfondie et d analyse enrichies. Aux fins de cet essai, nous avons examiné la capacité de ces fonctionnalités à approfondir les événements, à analyser les entrées de fichiers journaux et les événements surveillés, à créer différents types d investigations ciblées et à spécifier les données pouvant être fournies en temps réel. Approfondissement d événements Bien que l analyse et la surveillance avancées d événements de sécurité ne comportent pas de mode «facile», l interface de LogRhythm s avère réellement intuitive, et dénuée de détails fantaisistes. Par exemple, pour approfondir un événement depuis le tableau de bord personnel, il suffit de double-cliquer sur une partie d un graphique ou d un tableau ; une page plus détaillée s affiche alors, permettant de lancer l investigation. Comme illustré sur la Figure 3, nous avons approfondi les fichiers journaux d événements de sécurité par classification, afin d afficher les 60 dernières minutes d activité. Figure 3. Approfondissement basique d événements depuis le tableau de bord Nous avons également pu approfondir des événements dans le graphique chronologique, et nous avons utilisé différents filtres pour consulter les sources des fichiers journaux, les principaux hôtes incriminés et les systèmes et applications affectés. Enfin, nous avons regardé une visualisation en réseau indiquant les principales sources d événements, comme illustré sur la Figure 4. Figure 4. Visualisation en réseau des sources d événements 4
Recherche et analyse approfondies (SUITE) Analyse Nous avons exploré deux fonctions dans le détail : les fonctionnalités Tail (Liste de surveillance) et Investigations, qui autorisent la surveillance d événements en temps réel et l analyse détaillée des événements prioritaires. La fonctionnalité Tail (Liste de surveillance) permet de créer simplement une vue actualisée en temps réel des fichiers journaux spécifiés. Cette vue est représentée sur la Figure 5. Figure 5. Configuration de la fonction Tail (Liste de surveillance) 5
Recherche et analyse approfondies (SUITE) Un autre exemple de l utilisation de la fonction Tail (Liste de surveillance) est fourni à la Figure 6 ; ici, nous surveillons une série d événements de connectivité du réseau. Figure 6. Utilisation de la fonctionnalité Tail (Liste de surveillance) 6
Recherche et analyse approfondies (SUITE) Les analystes peuvent utiliser l outil Tail (Liste de surveillance) pour obtenir rapidement une «vue d ensemble» de tous les événements présents dans l environnement, au niveau des fichiers journaux comme au niveau des événements, sur différentes sources de fichiers journaux. La fonction Tail (Liste de surveillance) permet également de filtrer le flux de données en direct, pour obtenir des vues ciblées. Ce filtrage permet aux analystes de la sécurité d afficher tous les détails de l activité, tout en surveillant les séquences particulièrement intéressantes, pour pouvoir ensuite réaliser des analyses plus ciblées avec la fonction Investigations. La fonction Investigations était également simple d utilisation ; elle comporte un assistant intuitif, qui guide les analystes tout au long du procédé de sélection des sources de fichiers journaux et d événements, des plages d heures et de dates, des systèmes spécifiques, des listes et des autres critères de règles. Nous avons rapidement pu créer une Investigation concernant tous les événements provenant d une liste d hôtes sur liste noire que nous avons définie. En quelques minutes seulement, nous avons obtenu de très nombreuses données concernant les motifs et la direction du trafic, les hôtes impliqués, les applications affectées et bien davantage encore. La Figure 7 présente une vue de cette investigation. Figure 7. Un exemple d Investigation Grâce à ces informations, les groupes informatiques peuvent cibler plus précisément leurs réponses et leurs mesures correctives. Ces fonctions ont démontré, en peu de temps, la puissance des fonctionnalités analytiques intégrées à LogRhythm pour le personnel non spécialisé. L interface utilisateur est simple d utilisation et cohérente sur l ensemble des outils et des fonctionnalités, et l utilisateur peut rapidement créer des ensembles de règles complexes à l aide d assistants et de listes. Cet outil permet en outre de définir toutes les recherches et fonctions comme privées ou publiques, selon la confidentialité de l analyse effectuée. En outre, LogRhythm 6.1 s est montré d une simplicité d utilisation exemplaire, remédiant ainsi à un inconvénient significatif des systèmes SIEM conventionnels une courbe d apprentissage escarpée. Les outils de ce type doivent également permettre aux organisations de remédier à leurs difficultés à analyser les événements de sécurité un problème épineux pour les 600 professionnels interrogés dans le cadre de l étude de SANS consacrée à la gestion des fichiers journaux. 7
Fonctionnalités avancées Dans la version 6.1 de ce logiciel, LogRhythm a intégré plusieurs fonctions analytiques avancées, qui permettent aux analystes d évaluer en profondeur les événements dans l environnement. Une des fonctionnalités les plus intéressantes est la gestion comportementale de listes blanches. La gestion comportementale de listes blanches aide les analystes à automatiser la découverte «d événements normaux» en autorisant des recherches et la définition de lignes de références pour différents utilisateurs, réseaux, hôtes et applications, mais également dans des contextes externes et internes. La création de lignes de référence constitue une première étape critique dans tous les programmes de sécurité mais elle représente traditionnellement un défi pour les organisations qui possèdent de grands réseaux distribués. Grâce à ses robustes fonctions de gestion comportementale des listes blanches, associées aux puissantes fonctionnalités de renseignement, d analyse et de création de rapports, LogRhythm 6.1 dispose des outils requis pour réagir aux problèmes de «données volumineuses» qu ont rapporté les professionnels interrogés dans l étude dédiée à la gestion des fichiers journaux. Le moteur Advanced Intelligence Engine Pour accéder aux profils de création de listes blanches, nous avons dû nous familiariser avec le moteur Advanced Intelligence (AI) Engine de LogRhythm. Ce moteur rassemble de nombreuses fonctionnalités analytiques sophistiquées intégrées au produit. Le moteur AI Engine se concentre sur les profils comportementaux et la corrélation avancée entre des sources de données et d événements extrêmement disparates. Cette association permet aux analystes de réaliser des analyses de données volumineuses plus abouties qu auparavant. Le moteur AI Engine propose des fonctions et des capacités d analyse, de détection et de réponse en temps réel ; il permet en outre de réaliser rapidement des recherches historiques approfondies dans l ensemble des données de fichiers journaux, de flux et d événements reconnues par la plate-forme LogRhythm. En résumé, le moteur AI Engine permet de détecter, dans les ensembles de données, des conditions qui pourraient échapper aux ensembles de règles et aux méthodes de corrélation des systèmes SIEM conventionnels. Gestion des règles L interface frontale du moteur AI Engine est le gestionnaire de règles AI Engine Rule Manager, qui contient un ensemble de règles prédéfinies. La capture d écran de la Figure 8 affiche différentes règles correspondant aux catégories Connections (Connexions), Behavior (Comportement), Critical Events (Événements critiques), entre autres. Figure 8. Gestionnaire de règles AI Engine Rule Manager 8
Fonctionnalités avancées (SUITE) Cette section permet d ajouter ou de modifier facilement des règles et d afficher les paramètres des règles existantes, ainsi que leur configuration. Un ensemble de règles comportementales de base est intitulé «Behavior: Baseline Target Hosts» (Comportement : hôtes cibles de la ligne de référence) ; celui-ci permet aux utilisateurs de constituer un profil de trafic de réseau correspondant à des systèmes spécifiques définis dans des listes. Un autre exemple, l ensemble «External: Account Compromise: Account Scan on Multiple Hosts» (Externe : compte compromis : sondage de comptes sur plusieurs hôtes) informe spécifiquement les utilisateurs en cas d événements tels que les attaques par estimation lancées contre des comptes d utilisateur sur différents systèmes. Ensuite, nous avons exploré l assistant de création de règles AI Engine Rule Wizard, accessible depuis l écran Deployment Manager (Gestionnaire de déploiement). La configuration de cet assistant est unique, dans la mesure où l on peut choisir des représentations graphiques des différents éléments de règles, en se concentrant sur les éléments de règles présents ou non présents. Ceci facilite la gestion des lignes de référence comportementales et des fonctionnalités de création de listes blanches dans le moteur de LogRhythm. L écran de l assistant de création de règles AI Engine Rule Wizard est représenté sur la Figure 9 ; cet écran affiche une analyse simple, sous forme de blocs, d une règle comportant une Configuration et un filtre défini pour inclure des hôtes cibles. Figure 9. Assistant de création de règles AI Engine Rule Wizard Toutes les sources de fichiers journaux sont incluses, et le bloc de règles a été défini de manière à déclencher un événement lorsqu une modification de la configuration est détectée sur les hôtes spécifiés, préalablement inclus dans une liste de LogRhythm. Dans l ensemble, le moteur de gestion de règles a fourni des fonctionnalités de corrélation sophistiquées, associées à une interface simple d utilisation. Le moteur graphique autorisant l ajout d événements observés ou non observés et de types d événements s est montré simple d utilisation, et nous avons pu créer des règles de corrélation très complexes en quelques minutes seulement. 9
Fonctionnalités avancées (SUITE) Analyse comportementale Nous avons ensuite pu accéder aux fonctionnalités de gestion comportementale des listes blanches en sélectionnant l onglet Behavioral (Comportemental), puis en créant des profils de listes blanches sur la base de certains types de trafic, de données de flux de réseau ou de listes ou d événements spécifiques. La gestion comportementale des listes blanches permet aux analystes d utiliser les règles de corrélation sophistiquées du moteur AI Engine et de les compléter avec des profils de création de listes blanches. Ceci nous renvoie à un problème auxquels sont confrontés de nombreux analystes de la sécurité : définir une ligne de référence «normale» pour le trafic et le comportement. Les fonctionnalités d analyse comportementale de LogRhythm aident à automatiser le procédé d évaluation des comportements d utilisateurs, de systèmes et d applications au fil du temps en établissant des lignes de référence, puis en identifiant les événements ou les comportements divergents. À mesure que des périodes de collecte d événements sont définies, elles peuvent être identifiées comme «normales» ou «anormales» après la collecte des données. Cette détermination repose sur des filtres d inclusion et d exclusion, des informations d horodatage, des informations de fichiers journaux et bien davantage, comme illustré sur la Figure 10. Figure 10. Configuration de profils de listes blanches 10
Modules de la base de connaissances Parmi les nouvelles fonctions que nous avons évaluées figurent également les modules de la base de connaissances. Ces modules fournissent aux analystes un système expert dédié à l évaluation de la sécurité et de la conformité. Leurs fonctions incluent notamment : Des infrastructures approuvées par l auditeur permettant de cartographier tous les équipements et les applications concernés Des alertes, des investigations et des rapports prêts à l emploi Une association de fonctions d alerte à base d exceptions, avec création de rapports d assurance de conformité Classification d événements et création d alertes Une des fonctions les plus impressionnantes dans cette catégorie est le module Common Event Manager (Gestionnaire d événements communs), qui permet aux analystes de définir des événements et des catégories d événements personnalisés, conformément aux critères de création d alertes de leur organisation. Un exemple d événement de test simple est illustré sur la Figure 11, qui présente des événements de modification de comptes, couronnés d un ID BugTraq. L ID BugTraq est visible sur l onglet Associated Knowledge Base Artifacts (Artefacts associés de la base de connaissances). Figure 11. Exemple d entrée du gestionnaire Common Event Manager 11
Modules de la base de connaissances (SUITE) Création de rapports LogRhythm 6.1 inclut également de nombreux rapports généraux et spécifiques à la conformité. L aspect le plus utile de cette fonctionnalité est l élément Knowledge Base Modules (Modules de la base de connaissances). Cette base de connaissances exploite l expérience de l équipe de LogRhythm, mais également d autres entreprises utilisant le produit, pour définir des rapports et des critères d événements conformes à des exigences de conformité spécifiques. Les modules de la base de connaissances sont illustrés sur la Figure 12. Figure 12. Modules de la base de connaissances Pour analyser les menaces de manière plus performante, les nombreux types de corrélations et fonctions de surveillance d événements doivent permettre au personnel de réponse aux incidents et des centres de sécurité opérationnelle de réagir rapidement aux problèmes signalés, afin d en limiter la gravité. Partager les connaissances Le langage Universal Descriptor Language (UDL) de LogRhythm est une autre fonctionnalité intéressante. Ce langage est un format de définition de règles et de modules simple, qui permet au logiciel de créer des rapports, des modules de règles et des procédures de corrélation nouveaux, tout comme le langage de définition standard utilisé par l outil ouvert IDS/IPS Snort. Grâce au langage UDL, tous les clients de LogRhythm rejoignent une vaste communauté dont les membres peuvent partager leurs connaissances et recevoir des renseignements de l équipe de LogRhythm et plus rapidement qu avec la plupart de plates-formes SIEM. Cette méthode de retransmission dans la communauté ne nécessite pas le partage de données propriétaires ou la diffusion de secrets commerciaux ; concrètement, elle transforme toute la clientèle de LogRhythm en un système d avertissement précoce. Les attaques par sondage qui pourraient autrement passer inaperçues ou être ignorées peuvent être corrélées avec une population d utilisateurs plus vaste, permettant à chaque participant de se préparer plus efficacement. 12
Conclusion Cet essai ne fait qu effleurer la surface des fonctionnalités d analyse avancées de Log- Rhythm. Le produit est remarquablement simple d utilisation ; les analystes peuvent se mettre au travail très rapidement, en collectant et en corrélant rapidement des données et en associant des ensembles de règles à de puissantes fonctions de création de rapports et tout cela, dans un délai relativement réduit. Le logiciel autorise la création d ensembles de règles complexes, à base de signatures ou de modèles comportementaux, pour la corrélation et la création de rapports. Après avoir exploré la nouvelle version 6.1 de LogRhythm pendant plusieurs semaines, nous avons été impressionnés par sa vaste sélection de fonctions. L utilité de ces fonctions deviendra apparente aux organisations qui les utiliseront pour détecter et réagir à des menaces plus automatisées et plus complexes, que leurs systèmes de surveillance autonomes ne peuvent détecter. Certaines nouvelles fonctionnalités de la version 6.1 méritent une attention particulière, et notamment : L analyse comportementale des événements liés aux utilisateurs, aux systèmes et aux applications Les modules de création de rapports simples et experts prêts à l emploi La capacité à définir des alertes normalisées et personnalisées Les modules de connaissances experts facilitant les analyses Bien que ce produit propose bien d autres fonctionnalités nouvelles et utiles, celles-ci sont les plus essentielles, compte tenu des problèmes auxquels sont confrontés les professionnels interrogés dans le cadre l étude de SANS. Le moteur de corrélation d événements, d analyse et d extraction de données de cette nouvelle version se montre beaucoup plus évolué que celui de nombreux outils comparables actuellement disponibles. Grâce à l ajout des modules de création de rapports de la base de connaissances, les analystes peuvent créer de nombreux rapports et éléments de tableau de bord aux fins des analyses. La plate-forme SIEM de LogRhythm 6.1 ne lésine pas sur les fonctions. Ces nouvelles fonctions devraient aider les équipes informatiques à mieux surveiller les menaces complexes, afin d y réagir plus rapidement et plus efficacement. 13
À propos de l auteur Dave Shackleford, fondateur et consultant principal auprès de Voodoo Security, est analyste, instructeur et auteur de formations de SANS, mais également directeur technique de GIAC. Il a conseillé des centaines d organisations dans les domaines de la sécurité, de la conformité réglementaire et de l architecture et l ingénierie des réseaux. Il possède une certification VMware vexpert, et a acquis une solide expérience de la conception et la configuration d infrastructures virtualisées sécurisées. Il a occupé les postes de directeur de la sécurité de Configuresoft et directeur technique du Center for Internet Security. Dave est l auteur de l ouvrage Virtualization Security: Protecting Virtual Environments de Sybex. Il a récemment coécrit le premier cours dédié à la sécurité de la virtualisation pour l institut SANS. Dave dirige actuellement la branche d Atlanta de la Cloud Security Alliance, et siège au conseil du SANS Technology Institute. SANS souhaite remercier son sponsor : LogRhythm 14