object.title
Splunk, la meilleure solution SIEM ? Adrien C. fait son retour d'expérience

Adrien C., consultant en cybersécurité Squad depuis 1 an et demi, est en mission chez un client bien connu de la région Toulousaine. Il travaille actuellement dans le SOC de ce dernier et nous partage ses bonnes pratiques. Retour sur les notions basiques et analyse de son outil de travail quotidien Splunk.

https://youtu.be/UBgoKAhvyH4

Le SOC, le b.a.-ba

Le terme SOC (Security Operationnal Center) désigne un département dans une entreprise dont la fonction première est d'en assurer la sécurité au niveau informatique.

Parmi les différentes et nombreuses équipes que contient ce dernier, on retrouve le rôle de l'analyste SOC. Son objectif est d'assurer la surveillance, la détection et l’analyse d’incidents de sécurité, souvent sous la direction d’un responsable de la sécurité.

Il est, par conséquent, chargé de protéger les systèmes informatiques contre les différentes menaces et potentielles cyberattaques et ce, à toutes les différentes strates du système informatique (comprenez réseau, software, droit d'accès ...). Un SOC assure la surveillance des activités sur le parc informatique (on parlera de monitoring) via la collecte d'informations diverses (principalement les journaux d'activités des différents actifs ou plus communément appelé log ou bien Machine Data).

L'analyse de ces dernières permet la détection de failles de sécurité. Centre névralgique de la sécurité d'un système informatique, le SOC s'appuie généralement sur un SIEM (Security Information and Event Management), chargé de la gestion et de la collecte des logs. Il s'occupe de la corrélation de ces derniers, c'est-à-dire le fait de relier plusieurs événements à une seule et même cause.

De manière générale, le fonctionnement d'un SIEM se décline de la manière suivante :

- En entrée, on parlera de la collecte : le SIEM prend en entrée les événements collectés du SI, de manière passive ou active. Les journaux d'événements sont de diverses provenances : pare-feu, routeurs, serveurs, base de données.

Les différents formats de log sont pris en charge.

- Normalisation : les événements sont d'abord sauvegardés sous forme brute (raw) pour conserver leur valeur juridique avant d'être normalisés sous un format plus lisible.

Le principe de normaliser permet de faire de la reche rche multicritère.

- Agrégation : on applique ensuite des règles de filtrage, pour conserver les critères les plus pertinents avant de faire parvenir, le tout, au moteur de corrélation.

- Corrélation : les règles de corrélation permettent d'identifier un événement qui a causé la génération de plusieurs autres (par exemple, un attaquant qui a réussi à pénétrer le réseau et qui a par la suite interagi avec tel équipement…).

Elles permettent aussi de remonter des alertes de plusieurs manières, comme ouvrir un ticket si la solution SIEM est interfacée avec un outil de gestion de tickets.

- Reporting : cette étape permet de créer et générer des tableaux de bord et des rapports. Ainsi, les différents acteurs du SOC (RSSI, équipe L1/L2, L3 ...) peuvent avoir une visibilité sur le SI (nombre d'attaques, nombre d'alertes par jour…).

- Archivage : le SIEM peut être utilisé dans un contexte juridique. Un archivage des événements est donc nécessaire pour garantir l'intégrité des traces.

- Rejeu : le rejeu permet de reproduire des éventements post-incident afin d'approfondir les analyses et d'étudier les comportements des équipements de sécurité.

Les variétés SIEM

Il existe aujourd'hui une grande variété de SIEM : Intrinsec, LogPoint, QRadar, SolarWinds, etc...

Parmi celle-ci, figure Splunk Enterprise Security, une solution développée par l'entreprise du même nom et intègre un grand nombre de fonctionnalités pour aider les entreprises face aux menaces extérieures (et extérieures également, danger souvent négligé en détriment du premier).

Il permet d'offrir un aperçu global des données générées à partir de technologies de sécurité comme les réseaux, leurs extrémités, leurs points d'accès, les malwares, les vulnérabilités système et les renseignements d'identité et peut être déployé de multiples manières : sous forme de logiciel, service cloud ou encore cloud privé.

Outre la gestion des événements que j'ai déjà évoqué, Splunk intègre également des mécaniques de réponses aux menaces et permet de lancer des actions de réponse automatisées pour accélérer les tâches manuelles.

De plus, celui-ci facilite la gestion des alertes en intégrants des éléments visuels intuitifs via un système de scores de risques, des dashboards et permet de personnaliser facilement le type de vue que l'on souhaite.

Il est possible d'interagir avec Splunk via le Search Processing Language (SPL), un langage propre à lui-même qui ressemble au SQL de par ses possibilités, mais avec une syntaxe bien à lui afin d'exploiter pleinement la puissance de son moteur d'indexation.

Ce dernier permet d'extraire les éventements au grès de la volonté de l'utilisateur et de les affiner en fonction de certains champs et/ou d'une période temps donnée.

Il devient également possible de créer des rapports afin d'enregistrer les recherches et voir dynamiquement les évolutions dans les données. Chaque rapport contient une et une seule recherche enregistrée.

Splunk, une bonne solution ?

Splunk est donc une plateforme logicielle qui permet de rechercher, d’analyser et de visualiser les données notamment dans un contexte de big data. Une solution qui offre de nombreux avantages notamment la capacité à visualiser l’activité en temps réel, mais qui comporte également quelques inconvénients.

En termes d'avantage, on peut évoquer la flexibilité dont il dispose : Splunk ES peut convenir à une petite structure avec une volumétrie de données faibles, car il peut s'adapter à une structure complexe avec d'importants volumes de données à traiter.

Il dispose également d'une grande évolutivité grâce à la communauté Splunk qui fournit de nombreux connecteurs et extensions. Enfin, en dernier point positif : la puissance de son moteur d'indexation qui demeure impressionnant.

Le principal inconvénient repose sur le SPL, qui, bien que puissant et offrant de grandes possibilités en matière de recherche, reste relativement complexe à maîtriser.


À lire aussi ⤵

https://theexpert.squad.fr/theexpert/business/les-entreprises-generalisent-le-travail-a-distance/
https://vimeo.com/404651687