Beruflich Dokumente
Kultur Dokumente
INTRODUCTION
Depuis quelques annes, les entreprises peroivent l'intrt d'exploiter les nombreuses traces, vnements et autres donnes d'audit logicielles, pour obtenir une image plus objective de leur scurit informatique. A ce besoin, les diteurs ont rpondu par une gamme de produits communment appels SIEM. Sans entrer dans le dbat smantique consistant utiliser cette appellation gnrique ou une typologie plus pointue distinguant les SEM (Security Event Management) qui n'exploitent que des donnes vnementielles (logs), des SIM (Security Information/Incident Management) qui prennent en compte d'autres sources (rsultats de scans par l'antivirus, par exemple), le SIEM-type est une couche de collecte filtrant diffrentes sources pour ne conserver que les vnements de scurit informatique. C'est aussi une couche de stockage souvent centralis, une couche de valorisation (corrlation, alerte, reporting) permettant d'exploiter les vnements de scurit et une couche de prsentation. Les SIEM ont une architecture souvent complexe, une centralisation frquente des donnes qui n'est pas toujours compatible avec les contraintes d'utilisation d'une grande entreprise (organisation gographiquement distribue) et une orientation trop SSI, limitant le ROI la source (filtrage lors de la collecte), mme si les SIEM ont trouv un second souffle bienvenu, avec les grands projets de conformit de type SOX. Ces critiques rcurrentes ont conduit l'mergence des solutions dites de Log Management ou Gestion des Logs, conciliant des possibilits de collecte beaucoup plus larges, des capacits de stockage ad hoc et des fonctionnalits basiques de requte et de reporting. Ce nouveau march s'articule aussi bien autour de pure players - LogLogic tant le plus connu d'entre eux - que d'diteurs de SIEM ayant senti la tendance et compltant leur offre avec des composants ddis au log management : ArcSight avec ArcSight Logger et ArcSight Connectors,CS-MARS avec certaines appliances de la srie, Log One, etc. Malgr cette effervescence marketing, les diffrents acteurs du march semblent converger plus ou moins rapidement vers une architecture gnrique qui s'appuie sur des appliances plutt que sur des composants logiciels (simplicit d'installation puis d'administration, rduction des cots matriels et de fonctionnement). Nous dans les lignes qui suivent allons faire une tudes comparative des differentes solution SIEM
1. LOGLOGIC
A. PRESENTATION
Loglogic, anciennement Exaprotect a t cr en 2004 par la socit franaise Exaprotect. Celle-ci a t rachete en 2009 par l entreprise amricaine LogLogic et est donc devenu LogLogic par la mme occasion. De plus, LogLogic est une appliance , c'est--dire que le logiciel est indissociable du matriel.
B. COLLECTE
Loglogic fonctionne en mode actif, il faut donc dployer des agents sur les quipements surveiller pour qu ils ralisent la collecte. Les agents n ont presque pas de configuration, ils dterminent lors de l installation le format des logs collecter et agissent ensuite en autonomie. C'est--dire qu ils collectent les logs, les normalisent, puis les envoient de faon scurise au SIEM. Si un agent n est pas nativement compatible avec un quipement, il faut alors configurer l agent pour qu il puisse comprendre ceux-ci l aide de rgles pour parser ceux-ci. L avantage de Loglogic est sa simplicit de mise en oeuvre. Les agents s installent facilement et la configuration est simplifie. La configuration peut de surcroit tre ralise distance depuis le manager de Loglogic. Les changes entre les agents et le SIEM sont scuriss par TLS.
C. NORMALISATION
Loglogic utilise le format normalis IDMEF. Les Logs sont normaliss par les agents avant qu ils envoient les alertes au manager. Le choix d un format normalis (IDMEF) permet que les logs soient comprhensibles par le SIEM et facilement trait par celui-ci.
D. AGREGATION
LogLogic possde un moteur d agrgation paramtrable l aide de rgles. C est une tape importante qui dtermine comment les vnements seront regroups avant d tre envoys au corrlateur. En plus d tre affichs dans la console graphique de LogLogic, les vnements agrgs sont regroups par critres dfinis au pralable, ce qui permet une meilleure corrlation car les vnements sont dj rassembls pour tre corrls, et peuvent mme tre fusionns ou redfinis.
E. CORRELATION
Toutes les alertes reues par LogLogic sont transmises au moteur d agrgation, puis au corrlateur et celui-ci les traite en fonction de ses rgles de corrlation. Quand une alerte de corrlation est cre, elle est stocke dans la base de donnes et est affiche dans la console graphique. LogLogic permet de dfinir des scnarios qui sont des regroupements d alertes de corrlation. Cela ajoute un traitement supplmentaire par le SIEM.
2. PRELUDE
A. PRESENTATION
Prelude est un SIEM issu d un projet open source qui fut cr en 1998 par Yoann Vandoorselaere. Ce projet est n de l ide que le nombre de systmes de dtection d intrusion augmentait mais qu il n existait pas de systme pour les faire communiquer entre eux, ce qui diminuait leur efficacit.
B. COLLECTE
Prelude fonctionne en mode actif, c est dire qu il utilise des agents qui sont installs sur les systmes surveiller et qui vont s occuper de la phase de collecte. Dans un premier temps, l agent (appel Prelude-LML) doit tre configur, Il faut indiquer celui-ci les formats de logs des logiciels surveiller pour que celui-ci puisse les prendre en compte. Ensuite, l agent dmarr peut collecter les logs de deux faons diffrentes : soit il surveille les journaux systmes de l hte sur lequel il est install, soit il reoit les journaux venant de diffrentes machines places sur le rseau. Ces messages sont scuriss (en TLS) et possdent un mcanisme d'autorgulation pour ne pas surcharger le rseau. L intrt de cette deuxime mthode est de permettre aux systmes ne supportant pas l agent Prelude de pouvoir tre surveills en envoyant leurs logs un agent distant. Une fois les informations rcupres, l agent les compare avec ses jeux de rgles (bass sur des expressions rgulires) et si une condition prcise est reconnue, un vnement de scurit est cr. L avantage de cette mthode de collecte est la flexibilit par rapport au rseau. Les mcanismes mis en place empchent la perte de paquet (autorgulation, rmission) et assurent leurs intgrits. Par contre, la confidentialit (chiffrement TLS) n est pas assure totalement car seuls les changes entre l agent et le manager sont scuriss, contrairement aux changes entre l agent et les systmes distants, qui lui envoient leurs logs. Un autre avantage est le mode sonde : ce mode permet qu un agent soit directement patch au code source d un logiciel de scurit (ils sont alors indissociables).
C. NORMALISATION
Prelude a particip au projet Intrusion Detection Message Exchange Format (IDMEF). C est donc evidement ce format qui fut choisit pour le SIEM. La normalisation est ralise par l agent Prelude-LML qui formate les vnements avant de les envoyer au manager. L IDMEF est un format de message pour les vnements de scurit et les alertes de corrlation. Il sert donc uniquement mettre en forme ceux-ci. Les vnements et alertes sont donc dcrits par ce format de manire tre trait plus facilement par le SIEM. L atout principal de faire normaliser les logs par l agent est d allger le traitement ralis par le manager. De plus, le choix d un format normalis permet une comprhension simplifie et une plus grande adaptabilit.
D. AGREGATION
Prelude ne fait pas d agrgation car il n y a aucun traitement sur les vnements, cependant il possde un systme pour amliorer le traitement des informations par les utilisateurs.
E. CORRELATION
Tous les vnements envoys au manager sont stocks puis transmis au moteur de corrlation appel Prelude-Correlator. Ce moteur se base sur des rgles (crites en langage python) pour analyser les vnements de scurit et ainsi crer des alertes de corrlation . Ces alertes sont alors renvoyes au manager qui les stocke. Le systme de corrlation est encore instable, on pourra mettre en avant que l criture des rgles est complexe, car elle demande une bonne comprhension du langage python, de la norme IDMEF, du rseau surveill et des attaques surveilles.
3. NET REPORT
A. PRESENTATION
La socit Net Report a t cre en 2001 dans le but de fournir une solution globale l exploitation des vnements logs et pour donner une lisibilit aux vnements. En 2003, Net Report a fusionn avec la socit DataSet. DataSet est spcialise dans les solutions de Business Intelligence depuis plus de 10 ans. En 2004, Net Report fournit : Des solutions complte d exploitation des logs : produits Net Report. Outils d analyse de logs et gestion proactive des vnements de scurit. Il offre deux offres pour les entreprises :
Net Report Log Analyser Net Report Monitoring Center Net Report Tool Kit Net Report appliance
Net Report Log Analyser permet de centraliser et stocker l ensemble de vos logs en un point central, c est l outil indispensable pour l analyse de l activit de vos quipements Firewalls, IPS, UTM, Proxy, Web, Domains Windows, Serveur de Messagerie et Serveur Anti-Virus... Avec plus d une centaine de tableaux de bord.
F. COLLECTE
La collecte se fait : A partir de priphriques htrognes Net Report supporte les principales catgories d quipements du march : Firewall, Proxy, Serveurs, IPS (Intrusion Prevention System), IDS (Intrusion Detection System), Serveur E-mail, Serveur d Authentification, Passerelle Anti-Virus, Serveur Web. A partir de diffrents format de logs / mdia Les donnes peuvent tre collectes soit en Syslog*, partir de fichier Flat File ou travers certains protocoles propritaires tels que CheckPoint LEA, Windows WMI ou Radius. Les logs en fonction des mdias peuvent tre collectes en temps rel ou en temps diffr. * Net Report est lui-mme serveur Syslog Centralisation en 1 point unique Toutes les donnes sont centralises dans une base de donnes pour la gnration des tableaux de bords et pour l investigation. Format de logs archivables Net Report archive tous les fichiers de logs au format, syslog, fichiers plat ou API propritaires. Valeur lgales Les logs sont stocks dans leur format natif afin d tre prsents si ncessaire comme preuve lors d une enqute ou commission rogatoire. Intgrit, Compression et Chiffrement Les fichiers de logs sont signs, compresss et chiffrs de manire journalire (par type de priphrique et/ou date). Archivage Les donnes sont collectes et stockes en format brut travers le module Net Report Log Archive afin d assurer l intgrit des donnes dans le temps. Les fichiers de donnes brutes sont signs, compresss et chiffrs avant d tre archivs.
H. BASE DE DONNEES
Net Report agrge, consolide et purge les donnes dans la base de donnes de manire automatique. Ces actions planifies permettent de rduire de manire considrable le volume dans les bases de donnes (Coefficient de 25 pour les quipements de type proxy ou Firewalls)
K. CORRELATION ET ALERTING
Des fonctions avances de corrlation et d alerting vous permettent de dtecter en temps rel les attaques et d identifier les vulnrabilits. Net Report remonte en temps rel les alertes vos quipes techniques via e-mail, Trap SNMP ou sur notre propre console (Q2 2006) dans le but d isoler et de rsoudre rapidement les problmes potentiels. La Console d alerte permet de plus de grer le niveau des alertes, de les filtrer ou de les acquitter. Net Report fournit plus d une centaine d alertes et d exemples de corrlation par dfaut. Il offre des simples et multi-quipements par dfaut. Les alertes sont envoyes sur une console d alerte web ou par email, par Trap SNMP et/ou par Syslog. La Console web vous permet de facilement grer les alertes en temps rel. Les administrateurs peuvent facilement utiliser la fonction avance pour crer des alertes et des actions personnalises. Net Report corrle les vnements d une gamme importante d quipements rseaux pour faciliter la prise des dcisions et garantir un niveau lev de scurit. Net Report offre un moyen simple de dfinir certaines constantes d vnements, de rgles et des actions lies afin de simplifier le monitoring des vnements rseaux. Net Report offre quatre moyens de corrler des vnements de scurit des quipements divers pour identifier des incidents de scurit et le dclenchement des alertes : Dclencher une alerte quand les modles / les conditions / les relations prdfinis sont atteints / satisfaits. Dclencher une alerte quand un seuil est atteint avec un timeout de session prdfini (Compteur de mmoire). Dclencher une alerte si une des actions ci-dessus est identifie, et corrle avec des donnes dans la base de donnes, ou dans un dictionnaire. Dclencher une alerte quand le rsultat d une requte dans la base de donnes atteint certains des critres dfinies dans la rgle. Cette requte peut tre planifier. Ce moyen facilite l analyse sur les priodes tendues, par exemple pour les scans de ports. Les avantages de la corrlation des vnements sont nombreux. La corrlation vous permet d augmenter l efficacit de votre quipe informatique, elle vous permet d optimiser votre Business Continuity et d empcher la perte du revenu cause de downtime . Net Report collecte, archive et analyse des volumes de donnes importantes. Ces donnes doivent tre analyses en temps rel et elles sont utiles dans plusieurs scenarios de scurit.
A. PRESENTATION
Net Secure devenue NS One est un acteur spcialis offrant une solution de scurit globale personnalisable rpondant lensemble des besoins de scurit applicative des entreprises mais galement une solution de supervision globale de la scurit. NS One propose pour renforcer ce positionnement sur le march et conforter la volont de lditeur de devenir en 2008 lun des acteurs majeurs de la scurit applicative, NS One marque clairement sa volont de changement en proposnt LOG One, une solution de supervision et dinterprtation des logs gnrs par lensemble des quipements installs sur le rseau de lentreprise. LOG One centralise, analyse et corrle les logs des quipements de scurit, de rseau et des serveurs. Les vnements collects sont corrls en temps rel pour produire des alarmes pertinentes et enregistres en parallle pour une analyse ultrieure. Un systme expert tudie en permanence lhistorique des vnements collects pour complter lanalyse en temps rel par des rapports. La solution couvre le cycle mthodologique complet de la gestion dincident : prvenir, d-tecter, confiner, enquter, corriger et documenter. LOG One gnre des alertes, dfinit des tableaux de bord paramtrables et gnre automatiquement des rapports utiliss pour la mise en uvre des procdures rcurrentes du suivi et du contrle de la politique de scurit.
B. PRINCIPE DE FONCTIONNEMENT
La centralisation des logs a pour objectif de pouvoir disposer d une vue unifie de toutes les sources d vnements pertinentes pour la gestion de la scurit. La nature des vnements collects, la faon de les collecter et de les centraliser ayant une influence capitale sur les fonctionnalits qui peuvent tre offertes.
C. COLLECTE
La solution Log One est base sur un systme d agents non intrusifs, distants et locaux, installs sur des botiers ddis et placs prs des quipements de scurit ou directement sur les serveurs. Ils sont ensuite envoys un collecteur universel d vnements qui les rapatrie sous les formats standards (LEA, File, OCBC, Syslog...).
La solution LOG One embarque le module Manager. Il assure : Le filtrage de tous les vnements considrs comme inutiles. La corrlation d vnements de plusieurs quipements pour permettre le dclenchement d alarmes et d actions paramtrables. La gnration automatique de rapports d analyse et la transmission par e-mail. L mission d alertes SNMP destination des plateformes d administration et de supervision. La ralisation d analyses approfondies travers un diteur de requtes paramtrable.
A. PRESENTATION
Cisco Security Monitoring, Analysis and Response System (Cisco Security MARS) est un dispositif hautes performances volutif d'administration et de surveillance, qui facilite la prise de dcision en matire de scurit. CS MARS se positionne donc clairement comme une solution de type SIEM avec pour ambition d'apporter cette rponse non seulement aux infrastructures Cisco mais aussi dans des rseaux htrognes. Attention cependant, il est important de se souvenir que le travail qu'il faudra fournir pour paramtrer CS MARS sera beaucoup plus important que sur une solution 100% Cisco. Cette remarque restera par ailleurs valable pour les produits Cisco trop rcents pour que des scnarios aient t dj intgrs (exemple le CUCM). Ce point est trait dans un des derniers paragraphes du document.
C. LA GESTION DES PROBLEMATIQUES STM La gestion des problmes de scurit dtects ou STM. Le STM permettra d'automatiser le travail portant sur les problmatiques scurit bien identifies pour permettre aux quipes de se focaliser sur les nouvelles menaces et les rponses trouver. Les solutions STM se doivent d'tre temps rels et de proposer des contre mesures de faon pro actives de manire dfendre le rseau en lui apportant les contre mesures ncessaires au moment les plus opportun. Les technologies STM commencent au mme en collectant les informations des diffrents quipements. Les algorithmes de corrlation dtectent alors des points chauds ou une attaque se droule sur le rseau. La rponse apporte se porte alors non seulement sur les quipements directement attaqus, mais aussi sur l'ensemble des lments priphriques pouvant permettre de bloquer l'attaque en amont. La plus value des technologies STM se rsume essentiellement au travers des points suivants : Une connaissance approfondie de la topologie du rseau et de son adressage permettant de rduire le volume important de log gnrer aux lments cls permettant de cibler un incident, Apport d'une interface graphique permettant d'identifier tous les lments du rseau et leurs configurations mais aussi les emplacements d'incidents ou d'attaques, L'intgration de scnario permettant des audits amont de la solution permet de rduire le nombre de faux positifs et d'amliorer le paramtrage de la solution pour gagner en efficacit, L'apport d'une rponse en temps rel permettant de bloquer une attaque. Remarque : CS MARS possde plusieurs mthodes d'apprentissage pour connatre la topologie d'un rseau: Dcouverte du rseau (SNMP, Telnet, SSH). Il faut deux heures pour environ 300 priphriques,
Intgration de fichiers de topologie externes (support HP OV ou Cisco works),
de partir d'informations globales et de relativement haut niveau pour arriver aux lments trs dtailler (voir Figure 5). CS MARS propose dsormais des rapports prenant en compte les spcificits des rfrentiels SOX, PCI et GLBA. Il est indniable que l'intgration de rapports concernant ces rfrentiels devrait fortement facilit le travail des administrateurs devant montrer les conformits. Les personnes souhaitant plus de dtails pourront se connecter l'url suivante : https://cisco.hosted.jiveso ftware.com/docs/DOC-2302 (l'enregistrement est gratuit). Les mthodologies d'audit COBIT sont elles aussi intgres. Il est intressant de constater que mme si l'accs la base de donne n'est pas accessible, un moteur de cration de requtes existe, permettant ainsi de modifier ou de crer des rapports prenant en compte les particularits d'un environnement donn. Le moteur charg d'excuter les diffrentes requtes et de gnrer les rapports pourra tre paramtr pour travailler en temps rel ou diffr si l'on souhaite viter d'accaparer trop de ressources pour cette tache certaines priodes. Intgration d'un priphrique tierce. Pour intgrer un priphrique inconnu dans CS MARS, il sera ncessaire de crer un parser personnalis. Ceci sera ralis en trois grandes tapes (Figure 6) : Dfinition du nouveau type de priphrique les noms, modles et version sont renseigns pour une bonne identification par le systme, Cration des modles ncessaires au parser il s agit ici d indiquer quel est le format des messages qui seront reu par CS MARS et comment chacun d entre eux devront tre interprts, Dfinition des rgles cette tape est optionnelle si l on souhaite simplement intgrer les messages de l quipement dans certains rapports. Par contre, s il est destin tre intgr dans la gestion d incidents, il est absolument ncessaire d effectuer cette tape avec srieux et minutie. C est d elle que viendra la pertinence des ractions de CS MARS pour le priphrique,
6. ARCSIGHT ESM
A. PRESENTATION:
ArcSight, une socit HP, a t fonde en 2000 et est une socit technologique qui fournit des informations de scurit et de gestion des vnements (SIEM) des solutions. ArcSight est en pole position du Quadrant magique de Gartner concernant les principaux diteurs de solutions SIEM pour Mai 2010 ArcSight Enterprise Security Manager (ESM): moteur d'analyse de base pour grer les menaces et les risques au sein de la plate-forme ArcSight constitue de : * ArcSight Logger: stockage des journaux de la plateforme et la solution de recherche * ArcSight Express: la corrlation et la gestion des logs * ArcSight IdentityView: suivi des activits des utilisateurs * Connecteurs ArcSight: la collecte des donnes provenant de diverses sources de donnes * Applications vrificateur ArcSight: surveillance continue des contrles automatiss La plate-forme ArcSight supporte galement la virtualisation, les environnements informatiques mobiles et de nuages ArcSight ESM assure l analyse et la corrlation de l ensemble des vnements survenant dans l entreprise connexions, dconnexions, accs aux fichiers, requtes de bases de donnes, etc. et, ainsi, une dfinition prcise des priorits de contrle des risques de scurit et des violations de conformit. ArcSight ESM constitue une application unique en matire de matrise du type d utilisateurs du rseau, des donnes qu ils voient, des actions dans lesquelles ils sont engags avec quelles donnes et de comprhension de la manire dont cela affecte le risque d affaires.
AVANTAGES DE CETTE SOLUTION:
La plate-forme ArcSight SIEM est un ensemble intgr de produits pour collecter, analyser et grer les informations relatives aux vnements d'entreprise. Ces produits peuvent tre achets et dploys sparment ou ensemble, selon la taille des entreprises et des besoins. Elles comprennent des logiciels et appareils pour: Collection vnement Gestion des journaux Automatisation Conformit Surveillance d'identit Offrant des avantages tels que : performance, paramtrage, fiabilit adapt aux besoins des grandes entreprises procdures et les priorits de l organisation cre une liaison entre les exigences techniques de scurit et l objectif commercial possibilits compltes d application et fonctions add-on non seulement les informations sur la scurit sont regroupes, mais elles sont galement prsentes par rapport leur influence sur les processus commerciaux
corrlation tridimensionnelle : informations de scurit des diffrents produits, informations de vulnrabilit, caractristiques d actifs identification automatique des modles enregistrement des donnes 100% et optimisation de l enregistrement incident Management intgr et contre-mesures automatiques contre les attaques identifies peut-tre install sur tous les systmes d exploitation courants permet le temps rel et l analyse lgale des informations accs base de rles fonctions d analyse hautement dveloppes l efficacit et la performance du dpartement scurit sont renforces
B. ARCSIGHT MANAGER
Le gestionnaire ArcSight est le c ur de l'ESM ArcSight. Le gestionnaire ArcSight est un systme bas sur le serveur qui fournit une gestion des donnes, la logique de corrlation et les moniteurs d'affichage d'informations et de contrles. Il constitue la base de diffrencier clairement les troubles de workflows. Cela permet la dtection des problmes et le temps de rsolution requise peut tre rduite de manire drastique. FONCTIONNALITES CLES * Composante centrale de la corrlation en temps rel, l'analyse et le workflow * Encapsul application Java, fonctionnant sur diffrents systmes d'exploitation * Rdaction du flux de donnes d'vnements provenant du connecteur ArcSight ArcSight Smart dans la base de donnes * Pr-filtres, rgles, moniteurs de donnes, des tableaux de bord et des rapports
C. COLLECTE
ArcSight Smart Connector collecter des vnements du journal partir de diffrentes sources et de les passer travers l'utilisation de l'infrastructure rseau existante pour le gestionnaire ArcSight. Une grande organisation a environ plusieurs centaines de diffrents Logdatenquellen qui surveille, doivent tre consolids et fusionns. ArcSight connecteurs intelligents sont capables de collecter des milliers d'vnements par seconde et l'envoyer au gestionnaire ArcSight. Pour l'analyse, l'affichage, l'analyse et de reporting de ArcSight Manager stocke les vnements reus dans la base de donnes ArcSight. Connecteurs ArcSight isole votre scurit et analyse de la conformit de vos choix technologiques. En recueillant les journaux dans des formats de priphrique natif, puis normaliser ces donnes dans un format commun, connecteurs ArcSight produit une structure unique pour la recherche, la corrlation et de reporting sur les informations de l'vnement. En consquence, la plate-forme d'analyse est l'preuve des nouvelles technologies rseau. Swap sur un seul fournisseur de pare-feu pour une autre, et tous les rapports de conformit, de corrlation et continuera travailler comme dfini. Les connecteurs sont disponibles en tant que logiciel installable, les appareils du centre de donnes, ou des appareils branch-office/store petits. Connecteurs ArcSight dcouple la capacit d'une organisation pour analyser les risques de vulrabilit des priphriques rseau.
FONCTIONNALITES CLES * Analyse et la normalisation des vnements du journal * Les collecteurs de donnes pour divers Logdatenquellen * Filtrage et agrgation d'vnements Catgorisation * des vnements dans un gnrique (fabricant indpendant) de format
FONCTIONNALITES CLES * Rfrentiel central pour tous les vnements du journal normalis * Stockage efficace par compression, partitionnement et l'archivage * Base de donnes relationnelle base sur Oracle 10g * Fournir des donnes en fonction du volume DB-volume et de donnes dans la plage allant jusqu' plusieurs mois
G. CORRELATION
Corrlation avance ESM utilise une varit de techniques sophistiques pour passer au crible millions des vnements pour trouver les incidents qui peuvent avoir un impact vritable sur l entreprise. Corrlation effective est trs importante; rsultats de corrlation pauvres soit manque menaces ou de trop nombreux faux positifs et donc, gaspillage de temps et d'argent. ArcSight ESM fournit "Forensics sur le Fly "en temps rel par l'intermdiaire de corrlation sur plusieurs systmes et des millions d'vnements, avec drill down partir d'un complexe d'alerte aux vnements qui il a caus. Rponse automatique Lorsque ArcSight ESM dtecte un problme potentiel via la corrlation des vnements, le moteur de rponse guide facultative, Threat Response ArcSight Manager (TRM) peut fournir aux administrateurs pilotes par les processus des conseils pour endiguer le problme. Par exemple, si ArcSight ESM dtecte un employ potentiellement accder des enregistrements dans un de manire non autorise, ArcSight TRM peut dterminer quels actifs Annuaire en compte pour dsactiver, ce qui la session VPN dbrancher, etc et ensuite un guide de l'administrateur travers les mesures appropries. ESM est disponible comme logiciel configurable ou comme un appareil (ArcSight ESM E7100), et peut tre dploy sur ses propres ou avec ArcSight Logger et connecteurs ArcSight. En utilisant ESM et ArcSight Logger ensemble, les clients peuvent trouver des anomalies en temps rel, puis les comparer aux donnes historiques pour plus de contexte. ArcSight ESM rend les organisations plus efficaces et plus scuriss par filtrer le bruit et en se concentrant sur les incidents les plus importants.
H. AUTOMATISATION DE CONFORMITE
ArcSight conformit Forfaits Insight est un moyen idal pour lancer un projet de conformit ou d'automatiser le suivi du manuel existant contrles de conformit. Installable sur le dessus de la plate-forme ArcSight SIEM, Ces modules fournissent de pr-emballs rgles, rapports, tableaux de bord et alertes mapps des rglementations spcifiques. Grce l'automatisation et la meilleure pratiques, ArcSight conformit Forfaits Insight peut rduire considrablement le cot et les efforts de conformit.
CONCLUSION :
L objectif de ce rapport tait d apporter des rponses quant au fonctionnement des SIEM dans le cadre d une gestion centralise. Pour cela, nous avons commenc par expliquer le contexte : l intrt de l utilisation de cette mthode centralis. Nous avons ensuite tudi le fonctionnement thorique de cette mthode, ainsi que deux implmentations concrtes. Notre tude nous a aussi permis d tudier les principaux avantages de la gestion centralise : la simplicit de configuration du manager la visibilit globale du rseau par le manager la cohrence des alertes et des dcisions menes Cependant cette technique possde aussi des faiblesses. Par exemple la centralisation peut amener rapidement un problme de disponibilit du service si le manager est dfaillant. Nous pouvons conclure que les SIEM en gestion centralise permettent une relle scurisation du systme, mais que l on doit s assurer de leur disponibilit, et qu il semble malvenu d utiliser les envois non scuriss de logs. Les SIEM tudis ont chacun leurs particularits. Prelude que nous avons jug utile de faire l tude vient du monde open-source, ce qui lui permet une trs large compatibilit avec d autres logiciels et quipements. Les autres produits tel que LogLogic, ArcSight, CS-MARS sont des produits issus de l industrie et possde un systme de traitement des alertes trs performant. Le reporting est presque identique, puisque Prelude en version professionnelle a de nombreux ajouts. Les SIEM sont de plus trs volutifs car leurs auteurs permettent aux diverses entreprises de demander des amliorations et modifications surmesure, moyennant finance videmment. Une thorie des SIEM existe donc, ainsi que des standards. Les dveloppeurs de logiciels de SIEM ont un panel de caractristiques possibles exploiter et ceux-ci choisissent ce qui les intresse en fonction de leur politique technique, organisationnelle et commerciale. Nous pouvons donc trouver une multitude de SIEM sur le march avec aussi bien des ressemblances que des divergences qui font les faiblesses et forces de chacun. Nous conclurons sur l intrt de l utilisation d un systme tel que le SIEM pour une entreprise. En effet, la possibilit de pouvoir rcuprer et agrger la totalit des logs du rseau permet d avoir la fois une vision complte, mais aussi une comprhension affine des vnements qui se passent sur celui-ci. La combinaison de ces deux lments (vison + comprhension) fait des SIEM un lment ncessaire en terme de scurit informatique et est donc indispensable pour les entreprises.