Les audits logs / SIEM expliqués
by Alexandre Dedourges, DevSec
Quand une grande entreprise a de plus en plus de services et s’agrandit, de nombreux événements ont lieu au sein de l’infrastructure. De plus, quand vous utilisez des logiciels, il est aussi parfois utile d’avoir une trace de ce qu’il se passe. Plus particulièrement quand un problème survient. C’est dans cette optique que les logs trouvent toute leur utilité. Grâce aux logs, vous allez pouvoir surveiller le fonctionnement de vos systèmes, afin d’être certains que ceux-ci fonctionnent correctement. De plus, en cas d’attaques informatiques, les logs peuvent être utilisés pour comprendre ce qu’il se passe ou ce qu’il s’est passé. Les logs offrent donc de nombreuses et précieuses informations. De plus, certains outils peuvent être utilisés pour traiter au mieux toutes ces informations, c’est par exemple le cas du SIEM (Security Information & Event Management). Celui-ci va vous aider à traiter toutes ces données. En effet, les logs peuvent être très lourds à gérer.
Les Audits Logs pour surveiller votre activité
Les Audits Logs sont très utiles pour les entreprises. Que vous ayez une grosse infrastructure ou de nombreux logiciels SaaS, mettre en place un audit des logs peut s’avérer intéressant. Surtout dans un contexte où de plus en plus de services, de machines et d'employés s’ajoutent à votre infrastructure. On remarque que pour certaines entreprises, la mise en place d’une gestion des logs est considérée comme une tâche secondaire. Or, gérer les logs dès le début de vos projets ou de votre activité est très important. En effet, les logs sont des enregistrements chronologiques de ce qu’il se passe au sein de votre infrastructure. Ceux-ci peuvent concerner plusieurs éléments, que ce soit une opération, une procédure, un événement, ou même un appareil. Ils sont particulièrement utiles pour s’assurer que tout fonctionne correctement sur votre système et qu’aucun événement inattendu ne survient. En effet, chaque élément informatique peut créer des logs, que ce soit un ordinateur de bureau, un pare-feu, un service SaaS… Ces logs vont, par exemple, concerner une connexion utilisateur à un appareil, une connexion entrante vers un appareil du réseau, etc. Tous ses événements sont des éléments qui seront répertoriés dans vos logs. Bien entendu, chaque appareil ou service ne renvoie pas les mêmes logs. Néanmoins, la plupart du temps, les éléments renseignés dans les logs répertorient au moins la personne ou l’objet ayant effectué l’action, l'action effectuée et enfin, si celle-ci a abouti ou non.
Prenons par exemple la connexion d’un utilisateur à un poste de travail.
On pourra voir dans les logs :
QUI/QUOI : Le nom/l’id d’un utilisateur et le nom/l’id d’un poste de travail
ACTION : Tentative de connexion à une session
RÉPONSE : « Succès » si la connexion réussit, « Échec » si la connexion n'aboutit pas (mauvais mot de passe…)
Il est possible d’ajouter bien plus de détails dans les logs, mais ces 3 champs sont les plus importants.
Toutes ces informations vont alors vous permettre de détecter des anomalies ou des attaques par exemple, ce qui s’avère très pratique. Une anomalie pourra vite être détectée et il vous sera possible d’en connaître la source via les fichiers logs.
Si vous constatez qu’un utilisateur a tenté de se connecter à sa session des centaines de fois sans succès dans un laps de temps très court, vous pouvez considérer une potentielle attaque par « brute force ».
De plus, dans le cas d’une attaque, les logs peuvent vous servir de preuves si vous venez à porter plainte ou si votre entreprise est tenue par l’ANSSI, de communiquer des informations sur celle-ci.
La plupart du temps, les logs se présentent simplement comme un fichier de texte. Ceux-ci regroupent des informations sur les différents événements qui se sont déroulés au sein de votre système. Ces informations sont rangées par ordre chronologique afin de garder une cohérence des données. Avoir un bon formatage des logs est nécessaire pour pouvoir les traiter correctement. En effet, il peut être compliqué de les lire et il faut les rendre le plus lisibles possible.
Les logs permettent donc de retracer tous les événements qui se sont produits sur le système. Ils sont surtout utilisés par les administrateurs ou des auditeurs afin de vérifier que votre système a bien le comportement attendu. De plus, ils sont très utiles dans le cas d’une attaque ou d’un dysfonctionnement. Néanmoins, devoir gérer toutes ces données soi-même peut s’avérer extrêmement long et fastidieux. En effet, les fichiers de logs peuvent vite devenir volumineux et cela rend la tâche complexe pour un humain. Les lire en temps réel est encore plus complexe. C’est pourquoi il existe des solutions qui vont vous permettre de gérer vos logs plus facilement. C’est le cas du SIEM par exemple.
Le SIEM, pour une gestion des logs automatisée
La gestion des logs devient de plus en plus complexe au fur et à mesure que vous évoluez et si vous avez des milliers d'utilisateurs il devient vite alors impossible de retrouver les informations dont vous avez besoin. Imaginez retrouver un incident à l’heure où tous vos employés arrivent. Vous allez vite vous retrouver avec des milliers de lignes de logs à vérifier, ce qu’il n’est pas possible de faire. C’est donc là qu’intervient le SIEM qui est la fusion de deux outils, le SEM (Security Event Management) et le SIM (Security Information Management). Les logiciels SIEM vont permettre de regrouper et de collecter l’ensemble des fichiers de logs de votre infrastructure. Que ce soit au niveau de vos applications, de votre système ou tout autre dispositif comme votre pare-feu, un logiciel SIEM pourra tout collecter et ceci que ce soit depuis une application ou service dans le Cloud ou en local.
Via les logs récupérés, il sera désormais possible de réaliser des recherches sur des événements spécifiques. Il sera aussi possible de regrouper certains événements par type. Par exemple, regrouper tous les événements d’utilisateurs qui se sont trompés de mot de passe au cours des 3 dernières heures. En effet, le SIEM permet d’identifier, d’analyser et de regrouper les événements ayant eu lieu. On peut alors imaginer regrouper les éléments par gravité ou par importance. Mais certains logiciels de SIEM peuvent faire encore mieux puisque certains d’entre eux permettent d’envoyer des alertes quand des événements de logs semblent anormaux. Certains d’entre eux permettent de plus de créer des graphiques ou encore de générer des rapports. Grâce aux SIEM, il est dès lors possible d’étudier les logs de façon optimale. Répondre aux menaces devient alors beaucoup plus aisé et celles-ci sont détectées beaucoup plus rapidement.
Mettre en place des logs offre une meilleure visibilité et une meilleure sécurité. L’utilisation d’un SIEM donne une visibilité encore meilleure et donc une sécurité renforcée. Enfin, il existe d'autres solutions qui permettent de renforcer encore d’un cran la sécurité : le SOAR.
Le SOAR pour une réponse immédiate aux menaces.
Il existe donc une solution encore plus intéressante intégrée à certains SIEM : le SOAR (Security Orchestration, Automation and Response). Le SOAR va en effet permettre de protéger votre système des menaces. Celui-ci va répondre de manière automatique à ce que le SIEM juge dangereux. De ce fait, la réponse sera rapide et même si les mesures prises ne sont que minimes, cela limitera l’impact que pourrait avoir l’attaque. On peut imaginer par exemple que si un utilisateur se trompe de mot de passe plusieurs fois d’affilée, le SOAR bloquera l’accès à son compte. Cela pour contrer une attaque par brute force par exemple. De même s’il se connecte depuis un endroit qui n’est pas autorisé, etc. C’est ce type de protection préventive que le SOAR peut lancer automatiquement. Ce qui ajoute une sécurité non négligeable à votre système puisque la réponse sera quasiment immédiate.
L’ISO 27001 et les logs
L’annexe de l’ISO 27001 comporte 4 grands points concernant la gestion des logs.
1.Journalisation des événements
L’ISO 27001 précise qu’une génération et une gestion des logs doivent être mises en place. Ces logs doivent être conservés pendant un certain temps et doivent être vérifiés.
De plus, il est recommandé quand c’est possible d’inclure les éléments suivants dans les logs.
1.IDs de l’utilisateur ;
2.Activité du système ;
3.Les dates, les heures et les détails des événements clés, tels que la connexion et la déconnexion ;
4.Identification du système ou emplacement de l'appareil si possible ;
5.Les enregistrements des tentatives d'accès au système avec succès ainsi que celles rejetées ;
6.Enregistrements de données réussis et infructueux et autres tentatives d'accès aux ressources ;
7.Modifications de la configuration du système ;
8.Utilisation des privilèges ;
9.L'application et l'utilisation des systèmes ;
10.Fichiers consultés et types d'accès ;
11.Adresses et protocoles réseau ;
12.Avertissements du système de gestion ;
13.Les mécanismes de protection telle que les systèmes antivirus et de détection d'intrusion sont activés et désactivés selon les besoins ;
14.Enregistrements de transaction effectués dans les applications par les utilisateurs.
1.Protection des logs
Il est aussi précisé dans l’ISO 27001 que les logs doivent être protégés. En effet, la première chose que tentera de faire un attaquant en rentrant dans un système sera d’altérer ou de supprimer les logs pour supprimer sa trace.
Dès lors, il est nécessaire de ne pas accorder des droits de suppression ou modification des logs à n’importe quel utilisateur. Puis il faut empêcher l’altération des messages de logs et enfin s’assurer que les logs pourront être stockés (pas de suppression ou de perte de log dû à un stockage maximum atteint).
1.Journaux des logs pour les administrateurs et opérateur
Les administrateurs ou utilisateurs ayant des privilèges élevés ne doivent pas avoir de traitements de faveur concernant les logs. Tous les utilisateurs, peu importe leur droit, doivent faire l’objet d’une journalisation des événements.
1.Synchronisation de l’horloge
Enfin, tous les services et toutes les machines doivent être synchronisés entre eux pour avoir les mêmes dates et heures. Si ce n’est pas le cas, la gestion des logs sera grandement dégradée et ne permettra pas une résolution rapide des problèmes.
De nombreuses solutions SIEM sont disponibles sur le marché
Parmi les solutions SIEM, certaines sont plus populaires que d’autres. On peut par exemple penser à celles-ci :
-
DataDog Cloud SIEM
-
Splunk Enterprise Security
-
Solar Winds Security Event Manager
-
Sentinel (seulement compatible avec Azure)
-
LogPoint
Ces solutions ne sont que quelques exemples parmi tant d'autres ! Il en existe de nombreuses autres sur le marché.
Le SIEM et les audits logs pour une meilleure visibilité et une meilleure sécurité
Le SIEM offre donc une meilleure visibilité sur votre infrastructure ainsi qu’une meilleure sécurité. Mais il offre par la même occasion un gain en temps et en « workforce ». Vos équipes pourront se libérer du temps pour faire d’autres tâches. L’automatisation des tâches de surveillance et de protection pouvant être prise en charge par le SIEM et le SOAR. Que vous soyez un SaaS, une petite entreprise ou un grand groupe, la journalisation des événements est une tâche importante qui devrait être prise en considération rapidement. De plus, certaines entreprises requièrent, avant de travailler avec des SaaS ou d’autres entreprises, que celles-ci aient une politique de gestion des logs efficace. Dès lors, avoir un SIEM en place peut s'avérer très utile et intéressant pour votre expansion. De plus, posséder une gestion des logs va permettre de débloquer des certifications comme l’ISO 27001 par exemple.
Alors prêt à en apprendre plus sur les Audits logs et le SIEM ? On vous en dit plus chez Cryptr.
Add enterprise SSO for free
Cryptr simplifies user management for your business: quick setup, guaranteed security, and multiple free features. With robust authentication and easy, fast configuration, we meet businesses' security needs hassle-free.