English version English version Plan du site Plan du site Site clientLogin
Sécurité Informatique

Titre de l'article : La corrélation de logs
Auteur : Yannick Hamon, consultant sécurité Xmco Partners
Courriel : yannick.hamon@xmcopartners.com
Date : Septembre 2006
Version complète en PDF : Actu Sécurité Septembre 2006
Sections :
La journalisation
 Le traitement des logs
 WatchLog
Les enjeux
Limitations juridiques
Les réglementations SoX et LSF
 Le traitement des logs
Les besoins réels
 WatchLog : Centralisation des traces informatiques
WatchLog : Solutions de corrélation "sur mesure"
 Bibliographie


>La corrélation de logs

La multiplication et la diversité des solutions de sécurité et d'administration ont conduit à l'apparition d'un nouveau problème :
la gestion des logs.

L'abondance et la corrélation de ces informations permettent d'optimiser les systèmes d'information et de retrouver les sources des pannes informatiques.
Cependant, ces données indispensables aux administrateurs deviennent de plus en plus nombreuses sans être forcément pertinentes. De ce fait, sans un traitement automatisé efficace, certaines alertes critiques se retrouvent inondées sous la masse de faux positifs.

 Evenements

Avec l'arrivée de nouveaux besoins, dont la mise en conformité avec les réglementations Sarbanes-Oxley (1) et la Loi sur la Sécurité Financière (2), les responsables informatiques vont être obligés d'optimiser cette gestion.

La journalisation

Les enjeux

Les journaux d'évènements sont des fichiers contenant des informations brutes sur les activités d'un réseau, d'un service ou d'une application. Les contenus des logs sont très variés car ils rassemblent aussi bien des opérations de fonctionnement normal que des erreurs survenues ou des tentatives d'utilisation frauduleuse.

Ces fichiers vont permettre aux administrateurs d'analyser les utilisations des différentes ressources du parc informatique afin de sécuriser, de fiabiliser et d'optimiser le système d'information. En outre, la journalisation permet d'offrir une garantie juridique lorsque la responsabilité de l'entreprise est engagée ou lorsqu'un individu malveillant s'introduit au sein de son réseau.

Les principaux enjeux de la gestion des logs sont donc :
  • la validation de la politique de sécurité
  • l'optimisation des coûts d'exploitation
  • l'aide à la gestion des risques
  • la protection juridique

Limitations juridiques

Protection Juridique

Afin de lutter contre l'utilisation frauduleuse ou abusive des ressources informatiques, il est courant de journaliser toutes les connexions aux services et aux applications.

Il est donc important de rappeler que tous les utilisateurs doivent en être informés tout comme la durée pendant laquelle les données qui permettent d'identifier la source seront conservées.
Dans ce contexte, seule la trace de la connexion sera enregistrée, par exemple "L'utilisateur de la machine A s'est connecté à 12h00 sur la machine B pour accéder au fichier C". Aucune information sur le contenu de l'échange ne doit être sauvegardée.

Mis à part l'aspect sécuritaire, les logs peuvent être utilisés dans le but d'élaborer des statistiques. Dans ce cas, les journaux peuvent contenir des données privées (mot de passes, mails, etc.) uniquement si la source est anonyme. Le traitement de ces informations doit empêcher de retrouver le propriétaire.

En revanche la mise en oeuvre d'un logiciel d'analyse des différentes logs (applicatives et systèmes), permettant de collecter des informations nominatives dans le but de contrôler l'activité des utilisateurs, est autorisée à condition d'être déclarée à la CNIL.

Les réglementations SoX et LSF

La gestion des logs constitue un point critique des recommandations Sarbanes-Oxley et de la Loi sur la Sécurité Financière. En effet, le besoin de traçabilité de ces réglementations nécessite une parfaite maîtrise de tous les flux informatiques de l'entreprise.

De nombreuses solutions de corrélations des journaux d'évènements présentent aux administrateurs un journal préalablement traité dont les informations sont séparées et triées pour ne garder que les informations semblant essentielles. Or cette opération peut entrainer des pertes d'informations ou offrir des résultats non pertinents qui pourraient nuire à l'obtention de certaines certifications.

Pour remédier à cette problématique, il est important d'archiver, sur un support non réinscriptible, les logs "brutes" n'ayant subies aucune modification par un logiciel tiers et de les signer numériquement. Cette sauvegarde participera à la normalisation de la société ainsi qu'à sa protection juridique.

Le traitement des logs

Analyse de l'existant

Centralisation des logs
Figure 1 : Centralisation des journaux d'évènements

Contrairement au suivi des flux applicatifs : processus parfaitement maîtrisé (voir la Figure 1), la corrélation des différentes données sensibles afin d'en ressortir une information pertinente, est une tâche beaucoup plus complexe.

En réponse à ce problème, de nombreuses solutions commerciales ont vu le jour. Une grande majorité des applications de centralisation et de corrélation des logs nécessite un déploiement lourd sur le périmètre informatique qui inclue l'installation d'agents sur des systèmes en production et l'ajout de machines dédiées. Les nouvelles incompatibilités logicielles et les coûts d'exploitation annexes contribuent alors à l'augmentation des risques de pannes plutôt qu'à leurs maîtrises.



Un exemple concret de solution "tout-en-un" serait celle de l'éditeur NetSecureOne : "NetSecure://LOG (3)". Les principaux avantages sont la qualité du reporting et la qualité du support en contrepartie d'une offre généraliste et d'une facturation plus onéreuse. Tous les processus d'intégration et de suivi du client sont ainsi parfaitement maîtrisés. L'éditeur propose même un forum dédié aux clients de ce produit (4). Cependant, l'intégration de nouveaux agents au sein des différents serveurs pourrait altérer le fonctionnement global des services (voir la Figure 2).

D'autre part, les grands éditeurs comme IBM et HP proposent aussi des modules de corrélations pour leurs suites d'administrations respectives TIVOLI et OPENVIEW. Ces solutions s'adressent toutefois à des administrateurs formés disposant d'une importante infrastructure et d'équipements spécifiques.

Centralisation des logs
Figure 2 : Déploiement de NetSecure://LOG

Les besoins réels

Toutes ces offres souffrent généralement d'un mode de fonctionnement statique et identique pour tous les environnements. Les particularités du parc informatique de chaque entreprise ne sont pas toujours prises en compte. Dans d'autres cas, les éditeurs fournissent des solutions "sur-mesure", cependant, le moindre changement de topologie ou de configuration peut entrainer l'inefficacité du système de corrélation.

L'aspect attractif de ses solutions repose sur la rédaction automatique des rapports contenant de jolis graphiques. Seulement, nous en oublions alors le besoin initial. L'analyse des journaux doit être réalisée par une application simple et évolutive qui permet d'identifier un évènement, sa portée et son impact. Des logiciels qui ont une interaction avec l'outil, via un langage de haut niveau à l'instar du SQL, permettent de s'adapter à toutes les infrastructures mais demande une plus longue période d'intégration. Ainsi, n'est-il pas préférable de consacrer un peu plus de temps à la définition des réels attentes de la société plutôt qu'au déploiement d'un package "tout-en-un" dont les résultats ne seront pas ceux attendus car trop souvent aléatoires.

Centralisation des logs
Figure 3 : Exemple d'algorithme de Corrélation

L'algorithme, ci-contre (Figure 3), illustre le croisement des logs d'un serveur web et d'un serveur de bases de données à la suite d'une tentative d'intrusion.

Cet exemple est explicite et synthétique. Il peut être optimisée et croisée avec d'autres informations sans être limitée par une quelconque restriction logicielle. Le principale avantage est de ne fournir une seule réponse complète et non un lot d'informations découpées et inutilisables.

Un bon compromis est, sans concession, une offre modulable et évolutive. Chaque environnement est unique, il n'existe donc pas de solution miracle. L'étude des attentes et des besoins de l'entreprise est une phase non négligeable mais il faut cependant toujours garder à l'esprit que ceux-ci peuvent évolués.

Centralisation et la corrélation de logs avec Watchlog

Centralisation des traces informatiques

Watchlog est un logiciel de centralisation des journaux d'évènements. Développé par les consultants du cabinet Xmco Partners, cet outil ne nécessite aucune installation d'agents sur les machines en production. La consolidation des logs permet de rapatrier toutes les logs d'applications brutes: serveurs web, proxy, IDS, contrôleurs de domaine, Active Directory, progiciel de gestion intégré, etc., au sein d'une base de donnée unique.

En conformité avec les réglementations SoX et LSF, cet outil contribue à la certification des entreprises.

Développé en JAVA, Watchlog est compatible avec tous les environnements. Il apporte une visibilité instantanée de l'utilisation des applications du système d'information. La récupération des différents journaux est effectuée par des modules configurables qui supportent toutes les méthodes de connexions distantes (ssh, ftp, http, tftp…).

watchlog

Solutions de corrélation "sur mesure"

Centralisation des logs
Figure 4 : Capture d'écran de WatchLog

Cette solution se différencie de la concurrence par la simplicité d'installation, de configuration et d'utilisation. Chaque implémentation est unique et l'évolution est assurée par l'ajout de nouveaux modules personnalisés. La force majeure de Watchlog est sa très grande flexibilité : l'outil s'adapte en quelques heures à toutes les applications et nous permet de construire, en collaboration avec les équipes de nos clients, un outil de corrélation et de reporting performant.

L'intégration complète de cette offre est parfois plus longue que certaines solutions industrialisées, cependant, ce laps de temps supplémentaire est indispensable pour répondre entièrement aux attentes et aux besoins de chaque infrastructure.

Mis à part les alertes et les configurations effectuées lors de l'intégration de Watchlog, tout administrateur peut ajouter et vérifier de nouvelles alarmes par le biais d'une interface simplifiée (voir la Figure 4). L'outil pourra ainsi évoluer en parallèle avec le système d'information de chaque entreprise.

Bibliographie

[1]
Sarbanes-Oxley http://www.sarbanes-oxley.com
Notre article sur SoX http://www.xmcopartners.com/article-sarbanes-oxley.html
[2]
Loi sur la Sécurité Financière http://www.legifrance.gouv.fr
Notre article sur la LSF http://www.xmcopartners.com/article-lsf.html
[3] NetSecure://LOG http://www.netsecureone.com/fr/produits/gammenetsecurelog
[4] Forum Client NSLOG http://www.netsecureone.com/fr/support/forumclientnslog
[5] Watchlog http://www.xmcopartners.com/watchlog-fr.html



ActuSécu XMCO
Télécharger l'ActuSécu XMCO



> Notre solution WatchLog

watchlog

>Qui sommes-nous ?

+ Le cabinet XMCO