Quelles alternatives aux SIEM commerciaux ?

La pile ELK

L’une des options actuellement populaires est la pile ELK – ou suite Elastic, comme il convient désormais de l’appeler. I-Tracing s’y intéressait déjà il y a trois ans. Gfi Informatique en utilise également des composants pour son SIEM baptisé Keenaï, de même que SIEMonster – l’architecture logicielle de ce dernier est détaillée ici.

Elastic a bien pris conscience de cette popularité et ne manque d’ailleurs pas de la mettre à profit.

Elasticsearch est le socle de la pile : il apporte les fonctions de recherche et d’analyse des données. Il peut être déployé sur un simple Raspberry Pi comme sur une grappe à 300 nœuds pour indexer des péta-octets de données. Elasticsearch est également bien adapté à la découverte et au suivi de tendances dans les données d’incidents et les alertes.

Le composant Logstash est là pour ingérer les journaux d’activité produits par de multiples sources, avant de laisser Elasticsearch se charger de leur indexation.

Vient enfin Kibana, le moteur de décisionnel. Il permet de créer des tableaux de bord et produire tout un éventail de visuels donnant accès aux données indexées. Mais Kibana peut aussi mettre à profit des algorithmes d’apprentissage automatique pour identifier des anomalies.

Apache Metron

Si la pile ELK peut être appliquée au monde de la sécurité informatique, ce n’est pas, originellement, sa spécialité. Ce qui n’est pas le cas d’Apache Metron, promu « top-level project » par la fondation au printemps 2017.

Construit sur Apache Storm, HBase et Kafka, Metron peut ingérer, transformer, et normaliser n’importe quelle source de télémétrie à grande échelle, jusqu’à la capture de paquets réseau complets.

La détection des menaces au sein des données collectées – dont bien sûr les journaux d’activité – et enrichies – notamment par des sources de renseignements sur les menaces – peut s’appuyer sur des règles comme sur des modèles d’apprentissage machine. C’est Storm qui s’occupe du traitement en temps réel, tandis que Kafka est mis à profit pour la collecte des données de télémétrie – avec l’aide de Nifi.

Ossec

Le projet Ossec est également un outil de sécurité. Il assure l'analyse des journaux d’activité, mais s’apparente essentiellement à un système de détection d'intrusion (IDS). L'analyse des logs contribue à la capacité globale de l'outil à détecter les tentatives d'atteinte à la sécurité.

Les agents locaux d’Ossec assurent en outre la vérification de l'intégrité des fichiers, la détection des rootkits et la surveillance des politiques. En cas de tentative d'atteinte à la sécurité, le serveur peut produire des alertes en temps réel.

L'architecture du projet Ossec est évolutive et multiplateformes : il fournit des capacités de détection d'intrusion pour les systèmes Linux, OpenBSD, macOS, Solaris, et Windows. Mais il lui manque une couche de visualisation. Désormais, il est recommandé de l’utiliser conjointement avec Kibana et Grafana. Ce que fait d’ailleurs le fournisseur de services spécialisé Wazuh.

Ossec compte aussi parmi les sources pouvant alimenter le SIEM français Prelude, aux côtés des fichiers de log, des producteurs syslog, des sondes Nessus, Snort, Suricata ou encore données XML au standard IDMEF. Repris par CS en 2012, Prelude est toujours Open Source.

AlienVault Ossim

L'Open Source SIEM (Ossim) est une version allégée de l’USM d'AlienVault, libre et conçue pour une installation en local. Accessoirement, on relèvera qu’USM s’appuie sur Ossec pour la détection d’intrusion sur les hôtes de l’infrastructure surveillée.

Ossim reprend de nombreuses fonctions présentes dans l'offre payante d'AlienVault : découverte et inventaire d’actifs, recherche de vulnérabilités, détection d’intrusion, supervision comportementale, et encore corrélation d’événements.

Mais Ossim ne peut être déployé que sur un unique serveur : les entreprises ayant besoin de couvrir un périmètre important devront passer à USM, en local ou en mode SaaS.

Avec Brien Posey