De plus en plus d’entreprises utilisent leurs journaux de sécurité pour détecter les incidents malveillants. Beaucoup d’entre eux collectent trop de données de journal — souvent des milliards d’événements. Ils se vantent de la taille de leurs baies de disques de stockage de journaux. Sont-ils mesurés en téraoctets ou pétaoctets?
Une montagne de données ne leur donne pas autant d’informations utiles qu’ils le voudraient. Parfois, moins c’est plus. Si vous recevez tellement d’alertes que vous ne pouvez pas y répondre de manière adéquate, alors quelque chose doit changer. Un système centralisé de gestion des journaux peut vous aider. Cette introduction rapide à la journalisation et les recommandations d’experts aident les nouveaux administrateurs système à comprendre ce qu’ils doivent faire pour tirer le meilleur parti des journaux de sécurité.
Bases de la journalisation des événements de sécurité
L’un des meilleurs guides de la journalisation de la sécurité est la Publication spéciale 800-92, Guide de Gestion des journaux de sécurité informatique, Instituée au niveau national.& Technology (NIST). Bien qu’il soit un peu daté, écrit en 2006, il couvre toujours bien les bases de la gestion des journaux de sécurité.
Il place les générateurs de journaux de sécurité en trois catégories: système d’exploitation, application ou logiciel spécifique à la sécurité (par exemple, pare-feu ou systèmes de détection d’intrusion). La plupart des ordinateurs ont des dizaines de journaux. Les ordinateurs Microsoft Windows sont livrés avec trois journaux d’événements binaires principaux : système, application et sécurité. Malheureusement, les noms peuvent être trompeurs et les preuves d’événements de sécurité sont souvent stockées dans les trois journaux.
Depuis Windows Vista, ces trois fichiers journaux principaux sont décomposés en près d’une centaine de vues différentes pour une digestion plus ciblée. Au moins une douzaine sont des journaux de texte ou binaires, même sans aucune autre application installée. Un système de style Unix a généralement un fichier syslog centralisé avec d’autres fichiers journaux basés sur du texte pour toutes les différentes applications et démons. De nombreux administrateurs redirigent les fichiers individuels vers le fichier syslog principal pour centraliser les choses.
Les smartphones et autres appareils informatiques ont également des fichiers journaux. La plupart sont similaires à syslog, mais ils ne peuvent pas être facilement visualisés ou accessibles. La plupart nécessitent que l’appareil soit placé dans un mode de journalisation de débogage spécial ou téléchargent un logiciel supplémentaire pour afficher ou configurer les fichiers journaux. Une exception est les journaux de plantage de l’iPhone, qui sont synchronisés par iTunes avec le PC hôte à chaque connexion.
Les fichiers journaux de sécurité sur les appareils mobiles sont beaucoup plus difficiles d’accès et beaucoup moins utiles une fois que vous le faites. Vous pourrez peut-être obtenir des informations de base sur un événement de sécurité, mais avec beaucoup moins de détails que ce que vous pouvez obtenir d’un ordinateur personnel moyen. De nombreux administrateurs installent une application tierce pour collecter des données de journal de sécurité plus complètes à partir d’un appareil mobile.
Windows active la plupart des fichiers journaux par défaut, bien que vous deviez peut-être définir le niveau de journalisation souhaité. L’activation la plus détaillée possible ne doit être effectuée que lors d’un besoin spécifique ou lors d’une tentative de suivi d’un événement de sécurité actif et connu. Sinon, le nombre de messages d’événement peut rapidement submerger un système. De nombreux systèmes ont été bloqués parce que des administrateurs système bien intentionnés ont activé la journalisation la plus détaillée pour aider à diagnostiquer quelque chose, puis ont oublié de le désactiver.
Les systèmes de style Unix ont généralement syslog activé par défaut, et vous pouvez configurer le niveau de détail. De nombreux autres fichiers journaux d’applications et de sécurité sont désactivés par défaut, mais vous pouvez les activer individuellement avec une seule ligne de commande.
Chaque périphérique réseau, application de sécurité et périphérique génère ses propres journaux. Au total, un administrateur système aura le choix entre des centaines de fichiers journaux. Un système d’utilisateur final typique peut générer des milliers à des dizaines de milliers d’événements par jour. Un serveur peut facilement générer des centaines de milliers à des millions d’événements par jour.
Astuce: À moins que vous ne connaissiez un événement de sécurité en cours, les paramètres de journal par défaut fourniront plus que suffisamment d’informations pour la plupart des besoins de sécurité. Commencez par les valeurs par défaut et ajoutez des fichiers journaux et des détails uniquement si nécessaire. Si vous activez la journalisation détaillée, faites un rappel pour désactiver les détails supplémentaires plus tard afin de ne pas les oublier.
Journalisation centralisée des événements de sécurité
Chaque administrateur souhaite collecter les fichiers journaux par défaut les plus courants de chaque ordinateur vers un emplacement centralisé. La valeur de l’agrégation de toutes les données dans une base de données centralisée pour les alertes et les analyses ne peut tout simplement pas être sous-estimée. La question est la suivante: Comment agrégez-vous toutes ces données et combien?
La plupart des systèmes ont la possibilité d’envoyer leurs fichiers journaux principaux à un emplacement centralisé. Vous obtiendrez presque toujours beaucoup plus de valeur et de polyvalence en utilisant un agent tiers conçu exactement pour collecter et envoyer des informations de journal d’événements. De nombreux administrateurs utilisent des utilitaires gratuits pour le faire, mais la plupart des options commerciales sont meilleures.
Vous voudrez un système de gestion des journaux centralisé pour collecter, stocker et analyser toutes les données. Il existe des centaines d’options et de fournisseurs parmi lesquels choisir. Vous disposez d’options de logiciel uniquement et d’appliance, ces dernières offrant plus facilement de meilleures performances dans la plupart des cas. Choisissez une option qui vous permet de collecter efficacement et en toute sécurité les données d’événements de la plupart de vos sources. Vous ne souhaitez pas envoyer de données de journal d’événements sur le fil en texte clair. Le logiciel de gestion des journaux d’événements doit agréger les données, les normaliser (les convertir dans un format commun), alerter sur les événements anormaux et vous permettre d’exécuter des requêtes.
Avant de choisir une solution, essayez avant d’acheter. Vous souhaitez pouvoir saisir n’importe quelle requête et obtenir une réponse dans un délai raisonnable. Si vous attendez 10 à 15 secondes pour une réponse, vous utiliserez moins l’analyse du journal des événements et elle commencera à perdre sa valeur.
La plupart des entreprises collectent toutes les données à partir des principaux fichiers journaux par défaut, et cela peut facilement être écrasant, tant du point de vue du débit d’utilisation du réseau que du point de vue du stockage. Je veux dire cela au sens propre, pas au sens figuré. La plupart des administrateurs chevronnés racontent comment l’agrégation de leurs journaux d’événements a réduit les performances de leur réseau jusqu’à ce qu’ils optimisent leur journal d’événements.
Quoi que vous fassiez, ne vous contentez pas de collecter des informations auprès des serveurs. Aujourd’hui, la plupart des compromis partent des postes de travail des utilisateurs finaux. Si vous ne collectez pas les fichiers journaux à partir des ordinateurs clients, il vous manquera la plupart des données précieuses.
Astuce: Générez autant de détails que nécessaire sur le système local, mais filtrez et envoyez uniquement les événements les plus précieux et les plus critiques à votre système de gestion de journaux centralisé. Envoyez tout ce qui est nécessaire pour générer des alertes pour tous vos événements de sécurité les plus importants, mais laissez le reste sur le système local. Vous pouvez toujours récupérer les détails ajoutés en cas de besoin. Grâce à cette méthode, vous pouvez obtenir les données dont vous avez besoin pour recevoir des alertes et lancer des enquêtes médico-légales, mais sans surcharger votre réseau et vos périphériques de stockage. Il y a toujours une chance qu’un méchant puisse supprimer les données du journal des événements locaux avant de pouvoir les récupérer, mais en pratique, je n’ai presque jamais vu cela se produire.
Obtenir des informations de journal utiles
La partie la plus difficile de tout système de gestion de journal d’événements est d’obtenir suffisamment d’informations pour pouvoir détecter tous les événements de sécurité nécessaires, tout en ne submergeant pas votre système avec trop de bruit. Même dans les systèmes de gestion les plus efficaces, la plupart des données du journal des événements collectées seront du bruit. C’est juste la façon dont fonctionne la gestion des journaux d’événements.
Astuce: Assurez-vous que la date et l’heure sont correctement réglées sur tous vos systèmes. Lorsque vous essayez de corréler les événements, vous devez avoir l’heure exacte.
Là où les systèmes de gestion des journaux d’événements montrent leur valeur réelle, c’est dans la façon dont ils filtrent le bruit inutile et alertent sur des événements exploitables utiles. Les événements critiques doivent toujours conduire à une alerte immédiate et à une enquête réactive. Un enregistrement d’événement doit être défini comme pouvant faire l’objet d’une action lorsque l’enregistrement d’événement indique une forte probabilité d’activité malveillante, d’activité système excessive (soutenue), de baisse inattendue (soutenue) de l’activité système ou de problèmes ou de défaillances de performances d’applications critiques.
Un bon système de gestion des journaux d’événements est livré avec des alertes communes prédéfinies (par exemple, un verrouillage excessif des comptes) et permet aux administrateurs de créer leurs propres événements (écarts par rapport aux lignes de base attendues qui dépassent un certain seuil). Il peut prendre plusieurs événements corrélés provenant de plusieurs systèmes pour générer une alerte. Selon la rareté de l’événement, un seul événement (par exemple, se connecter à un faux compte « piège ») suffit pour générer une alerte. Un bon système est livré avec les événements sur lesquels la plupart des administrateurs souhaitent alerter et avec suffisamment de filtres pour éliminer les déchets.
Astuce : Commencez par définir tous les événements liés aux attaques réussies les plus récentes et les plus probables de votre entreprise, puis déterminez les messages et alertes d’événement que vous devez définir pour détecter et arrêter ces attaques. Vous avez beaucoup, beaucoup d’événements de sécurité à craindre, mais ceux qui sont les plus importants à surveiller et à alerter sur ceux qui seront les plus susceptibles d’être utilisés à l’avenir contre votre entreprise.
Une bonne journalisation des événements consiste à extraire les événements critiques et les alertes nécessaires d’une quantité d’informations autrement écrasante. Le problème pour la plupart des administrateurs n’est pas d’obtenir suffisamment d’informations, mais d’obtenir des informations vraiment utiles à partir d’un tsunami écrasant d’événements. Un bon système de gestion des journaux d’événements vous aide à le faire.