Jean-Francois Beauzel

Le SIEM dans tous ses états

Certains prédisent sa disparition, et brandissent les SOAR (Security Orchestration, Automation and Response) et XDR (eXtended Detection and Response) comme la solution à tous nos problèmes. Avant de parler des petits nouveaux, commençons par un rapide état des lieux. Les principaux reproches que l’on fait habituellement au SIEM sont qu’il est trop complexe, génère trop d’alertes, ou ne détecte rien. Les équipes SOC se retrouvent surchargées par des alertes de faible niveau qui finissent ignorées, ne comprennent pas forcément les alertes remontées ou ont du mal à les analyser.

 

A cela, les managers et les équipes SOC envisagent l’automatisation des process comme solution, et l’on voit déjà les SOAR pointer le bout de leur nez pour répondre à ce besoin. Mais soyons pragmatiques, que voulons-nous automatiser ? L’ouverture de tickets et leur affectation aux équipes concernées ? Les SIEM permettent déjà de s’interfacer avec des outils de ticketing ou ITSM, et proposent généralement des interfaces API pour ceux qui ne seraient pas directement intégrés. L’automatisation d’action de remédiation ? Oui mais laquelle ? Les SIEM proposent déjà de la même façon de réaliser des actions simples de blocages de manière autonome, avec les outils qui le permettent via API. Certes, le SOAR permet d’aller beaucoup plus loin, et de mettre en œuvre des chaines de décision plus complexes, mais avez-vous déjà exploré à fond ce que votre SIEM peut déjà faire de manière native ? Avez-vous la maturité et les équipes pour mener cela à bien ?

 

Au-delà du traitement de ces alertes, aujourd’hui on retrouve encore et toujours les mêmes règles de détection qui encombrent les équipes. Prenons ce que l’on retrouve encore et toujours, les alertes sur les détections des anti-malwares, ou les attaques de type brutes forces. Dans le cas des premières, est-il utile de les traiter si elles sont bloquées par les outils, qu’elles ne se répètent pas à l’infini sur le même poste ou ne semblent pas atterrir sur une multitude de postes ? Et si l’on parle des attaques brutes forces, est-il utile de s’en inquiéter si le compte est désactivé, le mot de passe a expiré ou si cela ne se finit tout simplement pas par une connexion réussie ? Alors oui, certains me répondront avec les XDR, et leurs capacités de « Machine Learning », voire d’intelligence artificielle.

 

Pourtant une simple revue de l’efficacité de ces règles de détection, et leur optimisation, permettrait déjà de faire un premier niveau de tri. Cette année encore je me suis retrouvé face à une règle de détection sur des attaques Kerberoast qui se basait, uniquement, sur un seuil de génération de ticket par un seul et même asset, sans tenir compte d’autres marqueurs tels que le type de chiffrement demandé. Il est également possible de mettre en place des règles complexes, basées sur le nombre de détections émises par un asset ou une identité sur un temps donné, et de se servir de cela pour détecter une attaque en cours grâce aux signaux faibles.

 

Enfin, n’oubliez pas que ces outils se basent sur des évènements générés par d’autres. Et ce point est crucial car l’efficacité de détection des outils de corrélation vient de la qualité de vos logs, de la complétude des informations autant que de leur format.

 

Voilà, maintenant que tout cela est dit, comment avancer ? Déjà, en vous posant la question de ce que vous souhaitez détecter, quels sont vos risques et attaques redoutées. Avez-vous les outils et les données permettant de suivre cela, est-ce que ces informations remontent dans votre SIEM ? Ensuite, en mesurant les performances, les faux positifs générés par un scénario de détection, les règles de détection qui ne remontent jamais d’incident, etc. N’hésitez pas à tester vos scénarios de détection, et à remettre en cause leur pertinence vis-à-vis des attaques que l’on voit poindre régulièrement.

 

Les plus chagrins me répondront qu’ils n’ont pas les ressources humaines pour faire tout cela, qu’ils n’arrivent pas à trouver les compétences. Et si cet argument est une réalité qui se pose à l’ensemble du monde de la cybersécurité, pensez-vous réellement que vous trouverez plus de compétence sur les SOAR et les XDR ? Ne vous y trompez pas, il ne s’agit pas uniquement d’intégrer ces solutions, mais également de les faire vivre dans le temps.

Articles associés

Chrome remplace l’icône de verrouillage des adresses URL 

24 mai 2023
Depuis les années 90, nos navigateurs internet ont toujours affiché une icône de verrou devant les sites en protocole HTTPS. Ce dernier est d’ailleurs devenu une norme : 95% des pages web chargées sur Chrome (sur les systèmes d’exploitation Windows) passent par ce canal sécurisé et affichent l’icône de verrouillage : Cette icône est destinée à indiquer […]

Une rançon de 10 millions de dollars pour le Centre Hospitalier Sud Francilien (CHSF).

27 avril 2023
L’attaque « Une rançon fixée à 10 millions d’euros » Le 21 août 2022, aux alentours d’une heure du matin, le Centre Hospitalier Sud Francilien (CHSF) est victime d’un ransomware. L’attaque bloque tous les logiciels métiers de l’hôpital, les systèmes de stockage et le système d’information relatif aux admissions des patients. Les pirates leur réclament 10 millions […]
Partager cet article
Derniers articles

Chrome remplace l’icône de verrouillage des adresses URL 

Depuis les années 90, nos navigateurs internet ont toujours affiché une icône de verrou devant les sites en protocole HTTPS. Ce dernier est d’ailleurs devenu une norme : 95% des pages web chargées sur Chrome (sur les systèmes d’exploitation Windows) passent par ce canal sécurisé et affichent l’icône de verrouillage : Cette icône est destinée à indiquer […]

Une rançon de 10 millions de dollars pour le Centre Hospitalier Sud Francilien (CHSF).

L’attaque « Une rançon fixée à 10 millions d’euros » Le 21 août 2022, aux alentours d’une heure du matin, le Centre Hospitalier Sud Francilien (CHSF) est victime d’un ransomware. L’attaque bloque tous les logiciels métiers de l’hôpital, les systèmes de stockage et le système d’information relatif aux admissions des patients. Les pirates leur réclament 10 millions […]

Chronique d’une attaque annoncée : IOCs vs TTPs

Dans cet article je vous propose d’aborder le sujet de la détection des attaques informatiques et la manière de les contrer. La détection d’une attaque peut se faire en regardant les empreintes laissées par l’attaquant et ses outils, approche Indicateur de Compromission (IOC: Indicator Of Compromise), ou en s’appuyant sur une compréhension du comportement de […]

PCA, PRA, PCI, PRI, PCC : Stop à la confusion

En 2020, la crise sanitaire du COVID a mis toutes les sociétés à rude épreuve. Les moins structurées ont eu du mal à gérer leurs processus les plus essentiels et à s’organiser afin d’éviter des pertes financières considérables. Travaillant alors au sein d’un organisme certifié ISO 27001 dont l’une des exigences était notamment la mise […]