Gestion des logs : présentation et mise en œuvre simplifiée d’un collecteur et d’un SIEM

Magazine
Marque
MISC
Numéro
92
Mois de parution
juillet 2017
Spécialités


Résumé

De nos jours, il est de plus en plus difficile de détecter une activité malveillante, ce qui rend extrêmement important la collecte des journaux d’événements. Cet article fournit une introduction pour celle-ci et pourra être appliquée à tous les types de log ; peu importe si ce sont des événements système, applicatif, réseau, etc… Nous verrons également comment ces derniers devront être stockés et gérés. L'objectif de ce document est double : - Présenter à un responsable les bienfaits de collecter et superviser ses logs, - Orienter avec les bases, une équipe de sécurité opérationnelle ou une équipe d’analystes forensic. De nombreux outils disponibles dans le commerce existent pour collecter les journaux d’événements, je vous présenterai via un cas pratique comment collecter tous types d’événements, et comment mettre en place un SIEM facilement et rapidement.


Sans une bonne compréhension des équipements de votre parc informatique, de certains détails primordiaux comme les différents types de comptes, de connexions et de méthodes d'authentification disponibles sous Windows, la réponse aux incidents et les résultats d'analyse forensic pourraient-être sujets à des erreurs. Au travers de cet article nous essaierons de voir ensemble comment simplifier la gestion des logs avec la mise en place d’un collecteur et d’un SIEM.

1. Présentation

1.1 Objectif

Les objectifs peuvent être divers et variés ; voyons chacun des points qui pourront vous inciter à mettre en place un collecteur de log et un SIEM :

  • Conformité :

Beaucoup d’autres objectifs appartiennent de près ou de loin à la conformité. Celle-ci dépendra du pays dans lequel est implantée votre entreprise, de la taille de la structure, de la réglementation dans le secteur dans lequel vous êtes etc…

En fonction des contraintes réglementaires...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Doper votre SIEM pour la réponse sur incident

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Spécialités
Résumé

Quand on doit s'occuper de protéger un réseau, on se voit proposer une pléthore de stratégies, allant de l'analyse locale (par machine) à l'analyse globale (orientée sur la donnée). La première est largement couverte par des outils comme les antivirus et les EDR, la seconde va nous permettre de mettre en évidence des menaces plus avancées.

L’analyse de disques durs

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Spécialités
Résumé

L’analyse forensique de disques durs a toujours présenté des défis quotidiens, mais le problème actuel est la taille grandissante des supports de stockage. Quelles conséquences pour les experts et comment s’adapter ?

Introduction au dossier : Les fondamentaux de l'analyse forensique

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Spécialités
Résumé

La sécurité informatique est morte : vive la cybersécurité !

Les pirates des années 90 ont laissé place aux cybercriminels et aux APT, les attaques contre la chaîne logistique numérique (Supply Chain Attack) font la Une des journaux grand public. Des rançongiciels paralysent des hôpitaux en pleine pandémie de la Covid-19, des cyberespions chinois, russes, iraniens ou nord-coréens – bizarrement rarement indiens, et pourtant… – pillent les laboratoires pharmaceutiques de leurs recettes de vaccin.

DFIR : hier, aujourd’hui et demain

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Spécialités
Résumé

La réponse aux incidents et son alter ego l’investigation numérique sont des activités plus que trentenaires qui restent ô combien d’actualité – rançongiciels par-ci, APT par-là. Au-delà des (r)évolutions des technologies et des usages – dont le Cloud – leurs fondations ont résisté au temps.