Memoire Online - Mise en place d'un système de gestion centralisé des logs et des évènements « SIEM »

vulnérabilités système et les renseignements d'identité. C'est une application premium, dont la licence fonctionne indépendamment du service principal de Splunk.

IBM QRadar est un SIEM qui aide les équipes de sécurité à détecter et hiérarchiser avec précision les menaces dans toute l'entreprise et fournit des éclairages intelligents qui permettent de réagir rapidement afin de réduire l'impact des incidents. QRadar met en corrélation toutes ces informations et agrège les événements reliés en des alertes uniques afin d'accélérer l'analyse et la résolution des incidents. QRadar SIEM peut être installé sur site ou dans le cloud.

AlienVault OSSIM (Open Source SIEM) fournit un SIEM open source riche en fonctionnalités, complet avec la collecte, la normalisation et la corrélation d'événements. Lancé par des ingénieurs en sécurité en raison du manque de produits open source disponibles, AlienVault OSSIM a été créé spécifiquement pour répondre à la réalité à laquelle de nombreux professionnels de la sécurité sont confronté.

RSA NetWitness Platform est une solution SIEM avancée et une solution de détection des menaces et de réponse. La solution est dotée d'une console avancée dédiée aux analystes, permettant de trier les alertes et les incidents. Elle coordonne les programmes d'opérations de sécurité de bout en bout.

Security Onion est une distribution Linux gratuite et open source servant à des fins de SIEM, recherche de menaces, et la gestion des journaux. Il permet de créer une armée de capteurs distribués pour une entreprise en quelques minutes.

Security Onion comprend Elasticsearch, Logstash, Kibana, Suricata, Zeek, Wazuh, Stenographer, TheHive, Cortex, CyberChef, NetworkMiner et de nombreux autres outils de sécurité.

Ce tableau ci-dessous regroupe une comparaison et résume les avantages et les inconvénients entre les solutions SIEM énumérées dans les lignes ci-dessus.

Chapitre I : Etat de l'art

Solution SIEM	Avantages	Inconvénients
Elastic Stack	V' Gratuit et libre V' Installation facile V' Notifications par mail V' Faciliter et accélérer les recherches V' Efficacité pour générer des graphiques à plusieurs niveaux de valeurs.	- Impossibilité de réaliser des analyses complexes sur les données (pas d'écriture d'algorithmes ni de fonctions statistiques avancées) - Configuration délicate.
Splunk	- Version d'essai gratuite - Monitoring en temps réel - Compatible avec Windows et Linux - Chiffrement des données - Puissance du moteur d'indexation.	- Le coût varie selon la taille des données traitées. - Mise en place complexe - Nouveau langage à apprendre en parallèle de tous les autres.
QRadar	V' Gestion simplifiée de la conformité V' Élimination des tâches manuelles V' S'intègre directement à 450 solutions.	- La solution est un peu trop chère.
Alien Vault OSSIM	V' Intégration facile à un tas de plateforme.	- Rapport un peu fastidieux à analyser.
RSA Netwitness Platform	V' Investigations rapides V' Automatisation et orchestration V' Architecture flexible et évolutive V' Opérations de sécurité de bout en bout.	- La configuration initiale est très complexe.

Le choix de l'outil SIEM s'articule autour de trois critères principaux : le budget, l'effectif requis et la pertinence face aux menaces.

Le budget est un paramètre important car toute entreprise a besoin d'avoir des perspectives claires en matière d'outils de gestion de la sécurité informatique. L'idéal est d'accéder à un outil dont la licence est simple, offrant un compromis entre l'efficacité et le coût.

Il sera également important d'évaluer le nombre de personnes nécessaires à exploitation de l'outil choisi.

Cette réponse aux menaces constitue d'ailleurs le troisième critère de choix d'un SIEM.

Par ailleurs, un SIEM efficace doit posséder un module de tableau de bord et de rapports complets afin de pouvoir communiquer facilement auprès de la direction et des auditeurs.

Après avoir effectué une recherche sur les différentes solutions disponibles bien qu'elles ne soient pas toutes mentionnées dans le tableau qui précède, et suite à la comparaison entre ces derniers en termes de coût, compatibilité et facilité de mise en place, nous avons fait le choix de procéder dans ce projet avec Elastic Stack/ELK. Ce groupe de produits est d'autant plus utilisé par une multitude de grandes entreprises comme LinkedIn, Netflix, Uber et StackOverflow.

4.6 Architecture de la solution

Elastic Stack est un groupe de produits Open Source d'Elastic conçu pour extraire des données de n'importe quel type de source dans n'importe quel format, les analyser et les visualiser en temps réel. Elle utilise Logstash (moteur de collecte de journaux) pour l'agrégation de journaux, Elasticsearch (base de données) pour le stockage et la recherche des données, Kibana (outil VI) pour exploration, la visualisation et l'analyse des données et Beats un

expéditeur de données qui collecte les données chez le client et les expédie à Elasticsearch ou à Logstash.

Elasticsearch est un moteur de recherche en texte intégral compatible avec plusieurs locataires

et d'analyse open-source, RESTful et distribué basé sur Apache Lucene avec une interface Web

HTTP et des documents JSON sans schéma. Elasticsearch est développé en Java. Les clients

officiels sont disponibles en Java, .NET (C #), PHP, Python, Apache Groovy, Ruby et de

nombreux autres langages. Selon le classement DB-Engines, Elasticsearch est le moteur de

recherche d'entreprise le plus populaire suivi d'Apache Solr. Pour plus d'information voir [1]