Les renseignements de sécurité en action :



Documents pareils
Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

Livre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés

Contrôle de l Activité et Gestion des Menaces dans un environnement Réseau Distribué. INTERDATA Présentation Q1Labs

Pentaho Business Analytics Intégrer > Explorer > Prévoir

UserLock Quoi de neuf dans UserLock? Version 8.5

Service On Line : Gestion des Incidents

IBM Tivoli Compliance Insight Manager

Découverte et investigation des menaces avancées PRÉSENTATION

Sécurité sur le web : protégez vos données dans le cloud

ÉTAT DES LIEUX DE LA GESTION DE LA SÉCURITÉ ET DU BIG DATA

Comment choisir la solution de gestion des vulnérabilités qui vous convient?

Découvrir les vulnérabilités au sein des applications Web

SOLUTIONS TRITON DE WEBSENSE

RSA ADVANCED SECURITY OPERATIONS CENTER SOLUTION

UserLock Guide de Démarrage rapide. Version 8.5

DES ANALYTIQUES EXPLOITABLES POUR AMÉLIORER LA DISPONIBILITÉ ET LES PERFORMANCES DES APPLICATIONS

RSA ADAPTIVE AUTHENTICATION

Ocularis. NOVADIS 14 place Marie Jeanne Bassot Levallois Perret Tel : +(33) Fax : +(33)

Meilleures pratiques de l authentification:

Gestion des incidents de sécurité. Une approche MSSP

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.

Créer et partager des fichiers

transformer en avantage compétitif en temps réel vos données Your business technologists. Powering progress

Solutions de sécurité des données Websense. Sécurité des données

Symantec Endpoint Protection Fiche technique

L'évolution de VISUAL MESSAGE CENTER Architecture et intégration

Retour d expérience sur Prelude

WebSpy Analyzer Giga 2.1 Guide de démarrage

CA Mainframe Application Tuner r8.5

QUI SOMMES-NOUS? Cette solution s adresse aussi bien aux PME/PMI qu aux grands groupes, disposant ou non d une structure de veille dédiée.

Gestion des journaux Comment élaborer la bonne stratégie en matière d activités et de conformité

CA Mainframe Chorus for Security and Compliance Management version 2.0

IMPLÉMENTATION D'UNE ARCHITECTURE ANALYTIQUE DE SÉCURITÉ

Haka : un langage orienté réseaux et sécurité

Revue de Presse ACIERNET Année 2014

Garantir une meilleure prestation de services et une expérience utilisateur optimale

But du papier : Paramétrer WSUS pour récupérer les mises à jour et administrer le serveur WSUS

Efficace et ciblée : La surveillance des signaux de télévision numérique (2)

PageScope Suite L accélérateur de workflow * L essentiel de l image

MASTER SIS PRO : logique et sécurité DÉTECTION D INTRUSIONS. Odile PAPINI, LSIS. Université de Toulon et du Var. papini@univ-tln.

Sécurisation du réseau

Comment gérer votre relation donateurs?

CommandCenter Secure Gateway

HSM, Modules de sécurité matériels de SafeNet. Gestion de clés matérielles pour la nouvelle génération d applications PKI

Fiche Technique. Cisco Security Agent

Trend Micro Deep Security

IBM Business Process Manager

Une représentation complète

HelpDesk. Sept avantages de HelpDesk

Libérez votre intuition

Mesurer le succès Service Desk Guide d évaluation pour les moyennes entreprises :

UltraBackup NetStation 4. Guide de démarrage rapide

Surveillance de réseau : un élément indispensable de la sécurité informatique

La reconnaissance de plaques d immatriculation qui vous facilite la tâche. Solutions innovatrices

Modernisation et gestion de portefeuilles d applications bancaires

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

SECURIDAY 2013 Cyber War

Microsoft Office system Février 2006

Altiris Helpdesk Solution 6.0 SP4 - Aide

S e r v i r l e s clients actuels de maniè r e e f f ic a ce grâce a u «Co n s u m er Insight»

CLOUD PUBLIC, PRIVÉ OU HYBRIDE : LEQUEL EST LE PLUS ADAPTÉ À VOS APPLICATIONS?

S organiser pour le Cloud

Introduction à la B.I. Avec SQL Server 2008

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

KASPERSKY SECURITY FOR BUSINESS

agility made possible

Cette solution s adresse aussi bien aux PME/PMI qu aux grands groupes, qu ils disposent ou non d une structure de veille dédiée.

1 La visualisation des logs au CNES

Whitepaper. Méthodologie de création de rapports personnalisés SQL Server Reporting Services

CA Automation Suite for Data Centers

HySIO : l infogérance hybride avec le cloud sécurisé

Rapport de certification

Gérez vos coûts de projet intelligemment

TP redondance DHCP. Gillard Frédéric Page 1/17. Vue d ensemble du basculement DHCP

Dix bonnes raisons d essayer Office Professionnel Plus 2010

Trusteer Pour la prévention de la fraude bancaire en ligne

GOUVERNANCE DES IDENTITES ET DES ACCES ORIENTEE METIER : IMPORTANCE DE CETTE NOUVELLE APPROCHE

Ne laissez pas le stockage cloud pénaliser votre retour sur investissement

ComplianceSP TM sur SharePoint 2010 CONTRÔLE CONFORMITÉ PERFORMANCES

Audits de sécurité, supervision en continu Renaud Deraison

ANNEXE 2 DESCRIPTION DU CONTENU DE L OFFRE BUSINESS INFORMATION AND ANALYSIS PACKAGE

LeaderSHIP BPM TIBCO iprocess Suite The Forrester Wave : Human-Centric Business Process Management Suites, Q TIBCO Software Inc

Alcatel OmniPCX Office

Business Intelligence

Guide d installation

Découvrez la nouvelle version de HelpDesk! HelpDesk De nouvelles fonctions, plus de contrôle, mais toujours aussi simple!

Que rechercher dans une application de gestion de la relation client (CRM, Customer Relationship Management) pour petites entreprises

Déploiement de l iphone et de l ipad Gestion des appareils mobiles (MDM)

Fiche technique RDS 2012

Solutions McAfee pour la sécurité des serveurs

SolarWinds Virtualization Manager

KASPERSKY SECURITY FOR BUSINESS

Business & High Technology

Transcription:

Sponsorisé par LogRhythm Les renseignements de sécurité en action : Un essai de la plate-forme SIEM 2.0 de LogRhythm dédiée Décembre 2012 Un livre blanc de SANS Écrit par : Dave Shackleford L interface de LogRhythm PAGE 2 Recherche et analyse approfondies PAGE 4 Fonctionnalités avancées PAGE 8 Modules de la base de connaissances PAGE 11

Introduction Un nombre croissant d organisations collecte aujourd hui, à différentes fins, les données d événements de sécurité et les fichiers journaux de leurs systèmes et applications. Selon le document d étude «SANS 8th Annual Log Management Survey» publié en 20121, la majorité des organisations sondées utilisent les fichiers journaux de sécurité et les données d événements pour les raisons suivantes : Détection et localisation des comportements suspects Facilitation des analyses et de la corrélation dans un cadre judiciaire Prévention des incidents Obtention/démonstration de la conformité aux exigences réglementaires Les fichiers journaux constituent un excellent point de départ pour optimiser l efficacité de la gestion des informations et événements de sécurité (SIEM, «Security Information and Event Management»). Toutefois et pour la première fois dans les huit années d existence de l étude, la capacité des organisations interrogées dans le document d étude «SANS 8th Annual Log Management Survey» à appréhender les menaces complexes a régressé. Pourquoi cela? Parce que les organisations ont trop de données à analyser, et ne parviennent pas à distinguer les problèmes du «bruit environnant». Le principal problème, identifié dans plus de 600 réponses à l étude, est «la différentiation des événements essentiels et de l activité normale en arrière-plan». «L absence de corrélation» constitue le deuxième écueil cité, tandis que «l absence de capacités d analyse» occupe la troisième place2. Le personnel informatique et de sécurité doit disposer d outils aussi avancés que ceux qu utilisent les auteurs des menaces. En cas d événement, le personnel chargé de défendre le réseau doit être en mesure de trier, normaliser et analyser rapidement et précisément de grands ensembles d informations concernant l événement, provenant d équipements multiples. Ces capacités doivent également être disponibles dans le cadre des procédures d alerte et d analyse à postériori L analyse des grandes quantités de données issues des fichiers journaux constitue un problème de «données volumineuses» classique, compliqué par la nécessité d une analyse avancée en temps réel et après l incident. Un outil d analyse adapté à cette tâche est LogRhythm version 6.1, que SANS a eu l opportunité de tester la veille de sa parution. Ce produit peut analyser les données de sécurité et générer des rapports de différentes manières, et propose en outre des fonctionnalités simples d utilisation. Les nouvelles fonctionnalités de cette version se concentrent sur les données analytiques et les tâches d analyse plus complexes, ainsi que sur la gestion de listes blanches et l analyse comportementales. Ce test s intéresse aux fonctionnalités fondamentales de LogRhythm, que devraient proposer toutes les plates-formes de gestion de fichiers journaux et d événements, ainsi qu à certaines des fonctionnalités plus innovantes incluses dans la nouvelle version du logiciel. 1 www.sans.org/reading_room/analysts_program/sortingthrunoise.pdf 2 www.sans.org/reading_room/analysts_program/sortingthrunoise.pdf, page 6 1

L interface de LogRhythm Lors de la connexion à la console LogRhythm, le premier écran affiché est le tableau de bord personnel. Cet écran propose une interface réellement personnalisable, qui permet aux analystes de la sécurité de choisir parmi différentes vues et représentations graphiques des données de sécurité, ainsi que différents événements de sécurité et lignes de référence. Les catégories d analyses sont présentées sur le côté gauche de l écran, et peuvent être affichées rapidement sur le tableau de bord. Parmi ces catégories figurent les éléments suivants : General Analysis (Analyse générale) : les opérations essentielles pour un analyste de la sécurité et notamment l agrégation de fichiers journaux et d événements, les audits, les opérations et les fichiers journaux et événements de sécurité sont regroupées par catégories de classification et dans des fichiers journaux par type et par direction du trafic. Time Analysis (Analyse temporelle) : dans cette section, les analystes peuvent facilement consulter les fichiers journaux et les événements par heure d apparition de l événement. Ces éléments sont en outre répartis par type, par direction du trafic et selon des options temporelles à granularité variable (par exemple, par semaine ou par jour). Statistical Analysis (Analyse statistique) : cette catégorie permet aux analystes de la sécurité de visualiser des données granulaires et des graphiques concernant les fichiers journaux et les événements de l environnement. Les catégories d analyses incluent les statistiques concernant les sources des fichiers journaux, les statistiques concernant l origine des connexions et les hôtes (c est-à-dire les informations des systèmes et des utilisateurs), les hôtes et applications affectés et même les codes des messages des équipements, qui peuvent être détaillés, puis analysées. TopX Analysis (Analyse TopX) : Les catégories TopX sont des conteneurs ouverts et flexibles, que les analystes peuvent renseigner avec les principaux événements dans de nombreuses catégories par exemple, les 10 premiers types de paquets entrants et sortants, les 10 premiers comptes d utilisateur apparaissant dans les événements de fichiers journaux ou les 20 premiers noms de domaine présents dans des événements. Ces catégories peuvent être ajoutées au tableau de bord personnel au choix de l utilisateur, permettant ainsi aux analystes de créer des options de surveillance complexes et adaptatives. La Figure 1 présente un exemple de configuration personnalisée du tableau de bord personnel. Figure 1. Tableau de bord personnel de LogRhythm 2

L interface de LogRhythm (SUITE) La prochaine fonction de l interface que nous avons étudiée a été la capacité d utiliser la fonctionnalité de création de listes de LogRhythm pour constituer des rapports de conformité, des alertes et des ensembles de règles de corrélation complexes. Ces listes constituent un groupement logique de nombreux types de données ou éléments de règle dans le produit, et peuvent être créées par une procédure de renseignement automatique depuis les API ou par une importation manuelle. Ces listes peuvent considérablement simplifier la création de règles et les investigations, grâce au regroupement d éléments communs. Par exemple, la Figure 2 présente une liste simple d hôtes sur liste noire. Figure 2. Une liste simple 3

Recherche et analyse approfondies (SUITE) L interface de LogRhythm propose des fonctionnalités de recherche approfondie et d analyse enrichies. Aux fins de cet essai, nous avons examiné la capacité de ces fonctionnalités à approfondir les événements, à analyser les entrées de fichiers journaux et les événements surveillés, à créer différents types d investigations ciblées et à spécifier les données pouvant être fournies en temps réel. Approfondissement d événements Bien que l analyse et la surveillance avancées d événements de sécurité ne comportent pas de mode «facile», l interface de LogRhythm s avère réellement intuitive, et dénuée de détails fantaisistes. Par exemple, pour approfondir un événement depuis le tableau de bord personnel, il suffit de double-cliquer sur une partie d un graphique ou d un tableau ; une page plus détaillée s affiche alors, permettant de lancer l investigation. Comme illustré sur la Figure 3, nous avons approfondi les fichiers journaux d événements de sécurité par classification, afin d afficher les 60 dernières minutes d activité. Figure 3. Approfondissement basique d événements depuis le tableau de bord Nous avons également pu approfondir des événements dans le graphique chronologique, et nous avons utilisé différents filtres pour consulter les sources des fichiers journaux, les principaux hôtes incriminés et les systèmes et applications affectés. Enfin, nous avons regardé une visualisation en réseau indiquant les principales sources d événements, comme illustré sur la Figure 4. Figure 4. Visualisation en réseau des sources d événements 4

Recherche et analyse approfondies (SUITE) Analyse Nous avons exploré deux fonctions dans le détail : les fonctionnalités Tail (Liste de surveillance) et Investigations, qui autorisent la surveillance d événements en temps réel et l analyse détaillée des événements prioritaires. La fonctionnalité Tail (Liste de surveillance) permet de créer simplement une vue actualisée en temps réel des fichiers journaux spécifiés. Cette vue est représentée sur la Figure 5. Figure 5. Configuration de la fonction Tail (Liste de surveillance) 5

Recherche et analyse approfondies (SUITE) Un autre exemple de l utilisation de la fonction Tail (Liste de surveillance) est fourni à la Figure 6 ; ici, nous surveillons une série d événements de connectivité du réseau. Figure 6. Utilisation de la fonctionnalité Tail (Liste de surveillance) 6

Recherche et analyse approfondies (SUITE) Les analystes peuvent utiliser l outil Tail (Liste de surveillance) pour obtenir rapidement une «vue d ensemble» de tous les événements présents dans l environnement, au niveau des fichiers journaux comme au niveau des événements, sur différentes sources de fichiers journaux. La fonction Tail (Liste de surveillance) permet également de filtrer le flux de données en direct, pour obtenir des vues ciblées. Ce filtrage permet aux analystes de la sécurité d afficher tous les détails de l activité, tout en surveillant les séquences particulièrement intéressantes, pour pouvoir ensuite réaliser des analyses plus ciblées avec la fonction Investigations. La fonction Investigations était également simple d utilisation ; elle comporte un assistant intuitif, qui guide les analystes tout au long du procédé de sélection des sources de fichiers journaux et d événements, des plages d heures et de dates, des systèmes spécifiques, des listes et des autres critères de règles. Nous avons rapidement pu créer une Investigation concernant tous les événements provenant d une liste d hôtes sur liste noire que nous avons définie. En quelques minutes seulement, nous avons obtenu de très nombreuses données concernant les motifs et la direction du trafic, les hôtes impliqués, les applications affectées et bien davantage encore. La Figure 7 présente une vue de cette investigation. Figure 7. Un exemple d Investigation Grâce à ces informations, les groupes informatiques peuvent cibler plus précisément leurs réponses et leurs mesures correctives. Ces fonctions ont démontré, en peu de temps, la puissance des fonctionnalités analytiques intégrées à LogRhythm pour le personnel non spécialisé. L interface utilisateur est simple d utilisation et cohérente sur l ensemble des outils et des fonctionnalités, et l utilisateur peut rapidement créer des ensembles de règles complexes à l aide d assistants et de listes. Cet outil permet en outre de définir toutes les recherches et fonctions comme privées ou publiques, selon la confidentialité de l analyse effectuée. En outre, LogRhythm 6.1 s est montré d une simplicité d utilisation exemplaire, remédiant ainsi à un inconvénient significatif des systèmes SIEM conventionnels une courbe d apprentissage escarpée. Les outils de ce type doivent également permettre aux organisations de remédier à leurs difficultés à analyser les événements de sécurité un problème épineux pour les 600 professionnels interrogés dans le cadre de l étude de SANS consacrée à la gestion des fichiers journaux. 7

Fonctionnalités avancées Dans la version 6.1 de ce logiciel, LogRhythm a intégré plusieurs fonctions analytiques avancées, qui permettent aux analystes d évaluer en profondeur les événements dans l environnement. Une des fonctionnalités les plus intéressantes est la gestion comportementale de listes blanches. La gestion comportementale de listes blanches aide les analystes à automatiser la découverte «d événements normaux» en autorisant des recherches et la définition de lignes de références pour différents utilisateurs, réseaux, hôtes et applications, mais également dans des contextes externes et internes. La création de lignes de référence constitue une première étape critique dans tous les programmes de sécurité mais elle représente traditionnellement un défi pour les organisations qui possèdent de grands réseaux distribués. Grâce à ses robustes fonctions de gestion comportementale des listes blanches, associées aux puissantes fonctionnalités de renseignement, d analyse et de création de rapports, LogRhythm 6.1 dispose des outils requis pour réagir aux problèmes de «données volumineuses» qu ont rapporté les professionnels interrogés dans l étude dédiée à la gestion des fichiers journaux. Le moteur Advanced Intelligence Engine Pour accéder aux profils de création de listes blanches, nous avons dû nous familiariser avec le moteur Advanced Intelligence (AI) Engine de LogRhythm. Ce moteur rassemble de nombreuses fonctionnalités analytiques sophistiquées intégrées au produit. Le moteur AI Engine se concentre sur les profils comportementaux et la corrélation avancée entre des sources de données et d événements extrêmement disparates. Cette association permet aux analystes de réaliser des analyses de données volumineuses plus abouties qu auparavant. Le moteur AI Engine propose des fonctions et des capacités d analyse, de détection et de réponse en temps réel ; il permet en outre de réaliser rapidement des recherches historiques approfondies dans l ensemble des données de fichiers journaux, de flux et d événements reconnues par la plate-forme LogRhythm. En résumé, le moteur AI Engine permet de détecter, dans les ensembles de données, des conditions qui pourraient échapper aux ensembles de règles et aux méthodes de corrélation des systèmes SIEM conventionnels. Gestion des règles L interface frontale du moteur AI Engine est le gestionnaire de règles AI Engine Rule Manager, qui contient un ensemble de règles prédéfinies. La capture d écran de la Figure 8 affiche différentes règles correspondant aux catégories Connections (Connexions), Behavior (Comportement), Critical Events (Événements critiques), entre autres. Figure 8. Gestionnaire de règles AI Engine Rule Manager 8

Fonctionnalités avancées (SUITE) Cette section permet d ajouter ou de modifier facilement des règles et d afficher les paramètres des règles existantes, ainsi que leur configuration. Un ensemble de règles comportementales de base est intitulé «Behavior: Baseline Target Hosts» (Comportement : hôtes cibles de la ligne de référence) ; celui-ci permet aux utilisateurs de constituer un profil de trafic de réseau correspondant à des systèmes spécifiques définis dans des listes. Un autre exemple, l ensemble «External: Account Compromise: Account Scan on Multiple Hosts» (Externe : compte compromis : sondage de comptes sur plusieurs hôtes) informe spécifiquement les utilisateurs en cas d événements tels que les attaques par estimation lancées contre des comptes d utilisateur sur différents systèmes. Ensuite, nous avons exploré l assistant de création de règles AI Engine Rule Wizard, accessible depuis l écran Deployment Manager (Gestionnaire de déploiement). La configuration de cet assistant est unique, dans la mesure où l on peut choisir des représentations graphiques des différents éléments de règles, en se concentrant sur les éléments de règles présents ou non présents. Ceci facilite la gestion des lignes de référence comportementales et des fonctionnalités de création de listes blanches dans le moteur de LogRhythm. L écran de l assistant de création de règles AI Engine Rule Wizard est représenté sur la Figure 9 ; cet écran affiche une analyse simple, sous forme de blocs, d une règle comportant une Configuration et un filtre défini pour inclure des hôtes cibles. Figure 9. Assistant de création de règles AI Engine Rule Wizard Toutes les sources de fichiers journaux sont incluses, et le bloc de règles a été défini de manière à déclencher un événement lorsqu une modification de la configuration est détectée sur les hôtes spécifiés, préalablement inclus dans une liste de LogRhythm. Dans l ensemble, le moteur de gestion de règles a fourni des fonctionnalités de corrélation sophistiquées, associées à une interface simple d utilisation. Le moteur graphique autorisant l ajout d événements observés ou non observés et de types d événements s est montré simple d utilisation, et nous avons pu créer des règles de corrélation très complexes en quelques minutes seulement. 9

Fonctionnalités avancées (SUITE) Analyse comportementale Nous avons ensuite pu accéder aux fonctionnalités de gestion comportementale des listes blanches en sélectionnant l onglet Behavioral (Comportemental), puis en créant des profils de listes blanches sur la base de certains types de trafic, de données de flux de réseau ou de listes ou d événements spécifiques. La gestion comportementale des listes blanches permet aux analystes d utiliser les règles de corrélation sophistiquées du moteur AI Engine et de les compléter avec des profils de création de listes blanches. Ceci nous renvoie à un problème auxquels sont confrontés de nombreux analystes de la sécurité : définir une ligne de référence «normale» pour le trafic et le comportement. Les fonctionnalités d analyse comportementale de LogRhythm aident à automatiser le procédé d évaluation des comportements d utilisateurs, de systèmes et d applications au fil du temps en établissant des lignes de référence, puis en identifiant les événements ou les comportements divergents. À mesure que des périodes de collecte d événements sont définies, elles peuvent être identifiées comme «normales» ou «anormales» après la collecte des données. Cette détermination repose sur des filtres d inclusion et d exclusion, des informations d horodatage, des informations de fichiers journaux et bien davantage, comme illustré sur la Figure 10. Figure 10. Configuration de profils de listes blanches 10

Modules de la base de connaissances Parmi les nouvelles fonctions que nous avons évaluées figurent également les modules de la base de connaissances. Ces modules fournissent aux analystes un système expert dédié à l évaluation de la sécurité et de la conformité. Leurs fonctions incluent notamment : Des infrastructures approuvées par l auditeur permettant de cartographier tous les équipements et les applications concernés Des alertes, des investigations et des rapports prêts à l emploi Une association de fonctions d alerte à base d exceptions, avec création de rapports d assurance de conformité Classification d événements et création d alertes Une des fonctions les plus impressionnantes dans cette catégorie est le module Common Event Manager (Gestionnaire d événements communs), qui permet aux analystes de définir des événements et des catégories d événements personnalisés, conformément aux critères de création d alertes de leur organisation. Un exemple d événement de test simple est illustré sur la Figure 11, qui présente des événements de modification de comptes, couronnés d un ID BugTraq. L ID BugTraq est visible sur l onglet Associated Knowledge Base Artifacts (Artefacts associés de la base de connaissances). Figure 11. Exemple d entrée du gestionnaire Common Event Manager 11

Modules de la base de connaissances (SUITE) Création de rapports LogRhythm 6.1 inclut également de nombreux rapports généraux et spécifiques à la conformité. L aspect le plus utile de cette fonctionnalité est l élément Knowledge Base Modules (Modules de la base de connaissances). Cette base de connaissances exploite l expérience de l équipe de LogRhythm, mais également d autres entreprises utilisant le produit, pour définir des rapports et des critères d événements conformes à des exigences de conformité spécifiques. Les modules de la base de connaissances sont illustrés sur la Figure 12. Figure 12. Modules de la base de connaissances Pour analyser les menaces de manière plus performante, les nombreux types de corrélations et fonctions de surveillance d événements doivent permettre au personnel de réponse aux incidents et des centres de sécurité opérationnelle de réagir rapidement aux problèmes signalés, afin d en limiter la gravité. Partager les connaissances Le langage Universal Descriptor Language (UDL) de LogRhythm est une autre fonctionnalité intéressante. Ce langage est un format de définition de règles et de modules simple, qui permet au logiciel de créer des rapports, des modules de règles et des procédures de corrélation nouveaux, tout comme le langage de définition standard utilisé par l outil ouvert IDS/IPS Snort. Grâce au langage UDL, tous les clients de LogRhythm rejoignent une vaste communauté dont les membres peuvent partager leurs connaissances et recevoir des renseignements de l équipe de LogRhythm et plus rapidement qu avec la plupart de plates-formes SIEM. Cette méthode de retransmission dans la communauté ne nécessite pas le partage de données propriétaires ou la diffusion de secrets commerciaux ; concrètement, elle transforme toute la clientèle de LogRhythm en un système d avertissement précoce. Les attaques par sondage qui pourraient autrement passer inaperçues ou être ignorées peuvent être corrélées avec une population d utilisateurs plus vaste, permettant à chaque participant de se préparer plus efficacement. 12

Conclusion Cet essai ne fait qu effleurer la surface des fonctionnalités d analyse avancées de Log- Rhythm. Le produit est remarquablement simple d utilisation ; les analystes peuvent se mettre au travail très rapidement, en collectant et en corrélant rapidement des données et en associant des ensembles de règles à de puissantes fonctions de création de rapports et tout cela, dans un délai relativement réduit. Le logiciel autorise la création d ensembles de règles complexes, à base de signatures ou de modèles comportementaux, pour la corrélation et la création de rapports. Après avoir exploré la nouvelle version 6.1 de LogRhythm pendant plusieurs semaines, nous avons été impressionnés par sa vaste sélection de fonctions. L utilité de ces fonctions deviendra apparente aux organisations qui les utiliseront pour détecter et réagir à des menaces plus automatisées et plus complexes, que leurs systèmes de surveillance autonomes ne peuvent détecter. Certaines nouvelles fonctionnalités de la version 6.1 méritent une attention particulière, et notamment : L analyse comportementale des événements liés aux utilisateurs, aux systèmes et aux applications Les modules de création de rapports simples et experts prêts à l emploi La capacité à définir des alertes normalisées et personnalisées Les modules de connaissances experts facilitant les analyses Bien que ce produit propose bien d autres fonctionnalités nouvelles et utiles, celles-ci sont les plus essentielles, compte tenu des problèmes auxquels sont confrontés les professionnels interrogés dans le cadre l étude de SANS. Le moteur de corrélation d événements, d analyse et d extraction de données de cette nouvelle version se montre beaucoup plus évolué que celui de nombreux outils comparables actuellement disponibles. Grâce à l ajout des modules de création de rapports de la base de connaissances, les analystes peuvent créer de nombreux rapports et éléments de tableau de bord aux fins des analyses. La plate-forme SIEM de LogRhythm 6.1 ne lésine pas sur les fonctions. Ces nouvelles fonctions devraient aider les équipes informatiques à mieux surveiller les menaces complexes, afin d y réagir plus rapidement et plus efficacement. 13

À propos de l auteur Dave Shackleford, fondateur et consultant principal auprès de Voodoo Security, est analyste, instructeur et auteur de formations de SANS, mais également directeur technique de GIAC. Il a conseillé des centaines d organisations dans les domaines de la sécurité, de la conformité réglementaire et de l architecture et l ingénierie des réseaux. Il possède une certification VMware vexpert, et a acquis une solide expérience de la conception et la configuration d infrastructures virtualisées sécurisées. Il a occupé les postes de directeur de la sécurité de Configuresoft et directeur technique du Center for Internet Security. Dave est l auteur de l ouvrage Virtualization Security: Protecting Virtual Environments de Sybex. Il a récemment coécrit le premier cours dédié à la sécurité de la virtualisation pour l institut SANS. Dave dirige actuellement la branche d Atlanta de la Cloud Security Alliance, et siège au conseil du SANS Technology Institute. SANS souhaite remercier son sponsor : LogRhythm 14

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back