Cet article vise à présenter quelques outils couramment utilisés dans le cadre d’une démarche de log management.
Pour rappel, un article d’introduction sur le log management est disponible sur la page suivante : Introduction au log management
La démarche de log-management repose en effet sur différents outils mais également sur des processus qui sont à définir. Un important chantier organisationnel (stratégie, gouvernance et définition des rôles) est à prévoir dans la mise en place d’une meilleure gestion des logs. La démarche repose sur 3 piliers :
- Collecter, centraliser et indexer les logs
- Chercher et analyser les logs, alerter en cas d’intrusion ou de tentative
- Reporting et tableau de bord
Des outils sont disponibles sur chacun des piliers indiqués ci-dessus et sont plus ou moins intégrés entre eux. De notre point de vue, plus l’approche est intégrée, mieux cela permettra de respecter les principes édictés dans le cadre de la cybersécurité et plus le système mis en place sera efficace.
Revenons sur chacune des étapes présentées ci-dessus afin de présenter quelques grands outils existants sur ce sujet (vue non exhaustive).
- Collecter, centraliser et indexer les logs : Focus sur SYSLOG
- Syslog est un protocole définissant un service de journalisation permettant de collecter et centraliser la journalisation des évènements. Il s’agit également d’un outil de référence sous les environnements Unix / Linux. Des outils similaires sont également disponibles dans les autres environnements.
- Syslog se compose d’une partie serveur et d’une partie client. La partie Client émet des informations sur le réseau.
- Syslog est un protocole mais également un format. Un journal (fichier de log) au format Syslog comporte plusieurs informations présentées avec la même structure.
- Chercher, analyser : Il existe des outils d’analyse reposant sur le Machine Learning (Sumo Logic par exemple) et permettant des mises en corrélation automatique
- Monitoring / alerte / tableau de bord : Focus sur Prometheus
- Prometheus vise la création de métriques et indicateurs permettant la génération de tableaux de bord et l’envoi d’alertes en cas d’enchaînements d’évènements suspects
- Requête possible des métriques
- Prometheus repose sur plusieurs briques : un serveur (stockage des métriques), un « agent » de collecte des métriques, une interface « web UI » pour présenter les métriques et un système d’alerte .
NB : Les outils présentés peuvent également se positionner sur plusieurs briques
La suite libre ELK propose une approche intégrée, c’est-à-dire un outil pouvant se positionner sur l’ensemble des briques présentées. Il s’agit d’une suite logicielle proposée en mode « On premise » ou en mode Externalisé et qui se positionne en tant que SIEM (Security Information and Event Manager). ELK se compose de 3 outils :
- Logstash : Collecte et traitement en parallèle des données provenant d’une multitude de sources puis agrégation et envoi vers la base Elasticsearch. Logstash contient une grande quantité de collecteurs de données, et répond de ce fait à de nombreux besoins,
- Elasticsearch : Serveur d’indexation permettant une recherche des données. Il utilise un moteur de recherche distribué, une base de données NoSQL et une interface REST,
- Kibana : Mise à disposition de tableaux de bord interactifs et paramétrables pour visualiser les données stockées. Cet outil permet de créer des tableaux de bord avec un calcul en temps réel des données pour disposer d’une vue d’ensemble de la santé du système d’information
Critères à considérer dans le choix d’un ou plusieurs outil(s) de log-management
- Parsing et indexation des logs dès réception ,
- Accès en temps réel et faible latence de mise à jour ,
- Habilité à collecter les logs rapidement provenant de différentes sources suivant une approche interopérable, possibilité d’intégrer des logs venant de l’extérieur du SI (notamment cloud), facilité d’intégration avec les outils existants,
- Utilisation de format standards tels que le XML, JSON, …,
- Souplesse du paramétrage notamment pour le reporting, création et personnalisation intuitive des tableaux de bord car l’analyse graphique vise à être consultée par différents profils (consultant, analyste, technicien, décideurs, …),
- Fonctionnalités associées au Forensic et Post-mortem (méthode d’investigation basée sur l’extraction de données brutes ou altérées de manière à construire une chronologie événementielle, à établir une logique séquentielle ou à reconstituer un ensemble cohérent de données pour en tirer une explication contextuelle).
Dans tous les cas, des processus sont à définir et l’outillage à lui seul ne suffit pas à résoudre toutes les problématiques.