Les évènements de sécurité, logs ou alertes constituent des informations de mesure du niveau de sécurité, de détection de menaces et de déclenchement des actions correctives. L’outil de gestion des évènements SIEM ou Security Information and Event Management est adéquat pour le traitement et la connaissance de l’état de la sécurité du système d’information. L’élaboration d’un tableau de bord de détection des menaces se base sur l’analyse et la corrélation des évènements ainsi que les alertes en temps réel et les rapports programmés.
L’analyse des évènements
Il convient d’effectuer une analyse structurée afin de définir les informations à collecter. Ensuite, une analyse de l’évolution des logs ainsi que l’inventaire des équipements sources des logs devront être faits. Par ailleurs, il faut procéder à la collecte des données par extraction des logs de l’équipement ou par réception des évènements par un agent issu de notre environnement. Une collecte quotidienne de 10 000 évènements est nécessaire. De plus, une analyse manuelle des logs est établie avec un classement par catégories. Enfin, il faut trier les logs à conserver et à soustraire.
La corrélation des évènements
Une liste des différents évènements est liée à une étiquette de conservation ou de rejet des logs. Chaque log possédera sa propre expression qui sera assimilé à tous les évènements du même type. L’expression sera archivée grâce à un tableur. Les éléments conservés devront comporter un nom, un pattern, un numéro et une sévérité d’alarme ainsi que les données émanant du pattern, les actions à effectuer et les commentaires. Les évènements collectés et analysés seront la base du tableau de bord. Le tableau sera un tableau de bord pare-feu ou consacré aux logs de type AAA.
Les alertes et les rapports programmés
L’intégration inclut les règles d’analyse syntaxique, la définition des alarmes et la génération de rapports programmés. Les équipes du SOC ou Security Operation Center doivent opérer des analyses régulières de chaque rapport, qu’elles soient quantitatives ou qualitatives. Hormis les alarmes en temps réel, cette vérification hebdomadaire est une aide pour la détection des « bruits ». Malgré un coût jugé onéreux, le SIEM est une méthode d’identification des problèmes de sécurité difficiles à déceler.