Guide sur les sources

de données en grande
quantité pour SIEM
elastic.co/fr
Davantage de données de sécurité
requises
La résolution des problèmes de sécurité a toujours été une tâche complexe à plusieurs facettes qui pose
divers défis dans les domaines suivants :

Visibilité
Garantir un niveau suffisamment élevé de sensibilisation au sein de l'environnement

Orientation
Identifier les problèmes et déterminer les plus prioritaires

Vitesse
Traiter les problèmes hautement prioritaires le plus rapidement possible

Échelle
Éviter les récurrences des problèmes connus et identifier les problèmes inconnus

Pour relever ces défis, les équipes de sécurité doivent pouvoir accéder facilement aux bonnes données.
Or, ces dernières peuvent être difficiles à localiser étant donné que ces défis se complexifient à cause des
tendances mondiales. Face à leur accélération, les équipes de sécurité sont obligées de recueillir davantage
de données, de types plus variés, afin de ne pas rester à la traîne.

Pourquoi davantage de données sont-elles requises ? Afin de mieux comprendre cette problématique,
étudions certaines tendances liées aux motifs et aux méthodes d'attaque.

Des utilisateurs malveillants plus motivés

La cybercriminalité offre de plus en plus d'opportunités lucratives, ce qui en favorise le développement.
Selon un rapport publié en 2020 par NIST, l'ensemble des activités et des ressources en péril en 2017
à cause de la cybercriminalité représentait un montant de 11,9 billions de dollars aux États-Unis, ce qui
constitue une opportunité en or pour le syndicat du crime.

wp-security-siem-solution-2021 | elastic.co/fr | © 2021 Elasticsearch B.V. Tous droits réservés. 2

Selon le même rapport, les pertes totales essuyées par l'ensemble des secteurs aux États-Unis se situent entre
0,9 % et 4,1 % du produit intérieur brut (PIB) américain total ou entre 167,9 et 770 billions de dollars. Sachant
que l'analyse de 2020 se fondait sur un ensemble de données du Bureau of Justice datant de 2016 et que la
situation s'est aggravée depuis, l'auteur de ce rapport affirme que "les estimations largement acceptées des
pertes dues à la cybercriminalité peuvent gravement en sous-estimer la véritable valeur".

Outre les gains financiers, les attaques sont notamment motivées par la cyberguerre et l'espionnage/la politique
des États-nations, l’espionnage industriel ou le contrôle de ressources par procuration en vue de faciliter une
attaque à plus grande échelle dont le but peut être l'un de ceux susmentionnés. Dans certains cas, l'utilisateur
malveillant a un objectif simplement destructeur.

À cause de ces facteurs de motivation à fort enjeu, les utilisateurs malveillants mèneront des actions plus
calculées et délibérées en vue d'atteindre leurs objectifs des manières suivantes :

Utilisation de méthodes d'évitement accrues. Selon le rapport M-Trends publié par Mandiant
en 2020, parmi tous les types de malware identifiés au cours de l'année précédente, 41 % étaient
déjà connus. Cette tendance générale n'est pas spécifique aux malware : les investissements
dans les fonctions de recherche des menaces et de Machine Learning au sein du centre
opérationnel de sécurité reposent sur la nécessité d'identifier les menaces inconnues.

Exécution patiente d'une attaque. Comme le signale Mandiant, les temps de détection moyens
généraux diminuent de manière générale, ce qui est une bonne nouvelle. Cela pourrait signifier
que les organisations disposent de programmes de détection plus efficaces. Cependant, nombre
d'investigations montrent encore des temps de détection supérieurs à presque deux ans qui
sont susceptibles de repartir à la hausse (voir la section suivante). En règle générale, certaines
attaques nuisibles et perturbatrices (comme les ransomware et le cryptomining) ont des temps
de détection plus courts. Cependant, certaines sont maintenant aussi associées à des méthodes
d'attaque plus patientes.

Le défi des équipes de sécurité consiste à s'assurer qu'elles disposent de tout le contexte nécessaire pour
vérifier l'activité des menaces de manière précoce, mais aussi pour investiguer rapidement et les contenir de
manière efficace. Tout cela se traduit directement par le besoin en davantage de données aux fins suivantes.

Pour lutter contre les évasions. Les équipes de sécurité ont besoin d'un plus vaste éventail de
sources de données afin d'obtenir davantage de contexte, comme des entrées provenant de
vecteurs inconnus, l'identification d'activités inhabituelles lorsque les utilisateurs malveillants
redoublent d'efforts afin de déclencher des alertes et l'analyse d'un plus large ensemble
d'activités "typiques" qui, seules, ne seront pas forcément alarmantes, mais ensemble
pourraient indiquer des intentions malveillantes.

Pour gérer les longs temps de détection. Les équipes de sécurité ont besoin de davantage
de données historiques (provenant à nouveau d'un vaste éventail de sources de données
abondantes) en vue d'obtenir un contexte suffisant remontant à plusieurs années, et pas
seulement quelques mois. Ainsi, elles trouvent les preuves d'une faille initiale et de compromis
associés de ressources et de comptes utilisateurs. Elles peuvent également établir le profil
des attaques, analyser et identifier de manière statistique des schémas d'activité dans les
comportements des utilisateurs malveillants.

wp-security-siem-solution-2021 | elastic.co/fr | © 2021 Elasticsearch B.V. Tous droits réservés. 3

Les motivations des attaques continueront d'évoluer. Imaginez un syndicat du crime travaillant en coopération
avec un ou une initié·e afin de vendre des titres d'une entreprise à découvert après avoir utilisé des méthodes
non traditionnelles, comme son influence sociale ou médiatique, pour nuire à la marque. Ou bien imaginez une
campagne de malware conçue pour hameçonner des développeurs apportant des changements à un projet
sur GitHub. Ces scénarios ne sont pas aussi "classiques" que certains relatifs à la cybersécurité. Toutefois,
les équipes de sécurité doivent se préparer : les nouvelles motivations montrent bien que des méthodes
d'attaque inédites coexistent avec d'anciennes techniques, mais ne les remplacent pas.

Des attaques allant des plus basiques jusqu'au-delà des plus

sophistiquées
Les utilisateurs malveillants utilisent une avalanche de nouvelles techniques à la croissance rapide. Ces techniques
représentent un vaste éventail de méthodes sophistiquées, exploitant de mauvaises configurations basiques
courantes (en particulier dans le cloud) ou utilisant des menaces persistantes avancées fondées sur une
reconnaissance hautement nuancées et des tactiques d'ingénierie sociale, afin d'aider les utilisateurs
malveillants à établir leur emprise, à opérer des mutations latérales et à exfiltrer des données.

Par conséquent, il est fondamental que les équipes de sécurité puissent protéger leur entreprise des méthodes
basiques et avancées.

• Les méthodes basiques exploitent souvent des erreurs de configuration. Il s'agit d'un problème récurrent
à l'ampleur croissante. Selon un rapport d'enquête sur les violations de données publié par Verizon en 2020,
"[...] le seul type d'action dont la fréquence augmente irrémédiablement d'année en année est l'erreur".

• Les méthodes avancées peuvent exploiter toute emprise disponible éventuelle. Le rapport de Mandiant
a précédemment affirmé que "les obstacles traditionnels empêchant les utilisateurs malveillants de
réussir continuent de diminuer au fil du temps. En d'autres termes, davantage d'utilisateurs malveillants
peuvent réaliser un nombre accru d'actions dans des environnements plus hétérogènes.”

En tenant compte de toutes ces méthodes à la fois, le défi consiste, à nouveau, à disposer d'une quantité
suffisante de données. Les équipes de sécurité doivent assurer et améliorer :

• un niveau de sécurité régulier, en garantissant la visibilité et la capacité à monitorer et investiguer de

manière efficace les environnements sur site et dans le cloud (IaaS et SaaS) ;

• un contexte facilement accessible et pertinent sur le plan de la sécurité, en fondant les recherches
sur des hypothèses mieux formulées qui utilisent des données environnementales aussi diversifiées
que requises pour des détections optimales, des investigations plus complètes et des réponses mieux
ciblées.

À la lumière de ces tendances actuelles en pleine accélération, comment les équipes de sécurité peuvent‑elles
garder le rythme, voire prendre de l'avance ? Au sein de la communauté de la sécurité, nous sommes tous
bien conscients des lacunes en matière de compétences. Bien entendu, nous devons continuer à nous former
et rester au fait des dernières méthodes d'attaques et types de menaces. En parallèle, nous devons en
permanence évaluer les technologies et parades susceptibles de nous aider. Nos technologies sous-jacentes
peuvent-elles nous aider à combler ces lacunes ?

wp-security-siem-solution-2021 | elastic.co/fr | © 2021 Elasticsearch B.V. Tous droits réservés. 4

Voici quelques exemples de types d'attaques de grande envergure.

Violations de données fondées sur le cloud

Parmi tous les incidents entraînant une perte de la confidentialité des données, ceux faisant la une
des journaux proviennent, en règle générale, d'utilisateurs malveillants qui ont identifié de mauvaises
configurations de services cloud et les ont exploitées. Selon une enquête commandée par l'IDC, près
de 80 % des entreprises interrogées ont connu au moins une violation de leurs données cloud au cours
des 18 mois précédents, et près de la moitié (soit 43 %) ont signalé avoir subi 10 violations ou plus. Les
dernières années, nous avons connu différents types d'attaques de grande envergure, comme un accès
via des services de sécurité des applications web mal configurés, des instances de calcul dans le cloud
publiquement accessibles et des bases de données non sécurisées déployées dans des environnements
de cloud public. Grâce à ces attaques, les utilisateurs malveillants ont pu exfiltrer des dossiers clients et
des données sensibles.

Nouveaux types d'attaques perturbatrices

SUNBURST était une attaque d'ampleur, pas seulement par son échelle et sa portée, mais surtout parce
qu'elle nous a obligés à gérer un nouveau type de menaces sophistiquées parrainées par un État-nation
ciblant des entreprises. Tout comme NotPetya a entraîné des répercussions financières et techniques
durables, SUNBURST aura probablement des conséquences sur le long terme de différentes manières,
notamment en ce qui concerne notre collaboration au sein de l'industrie, mais aussi nos méthodes
d'évaluation et de gestion de la sécurité tout au long de la chaîne d'approvisionnement. Cette attaque
extrêmement sophistiquée exploite les parades antidétection et les éléments personnalisés pour chaque
victime afin de diminuer l'efficacité de l'indicateur de compromission (IoC). En outre, elle évite les
sandbox et se fonde sur des techniques avancées en vue de masquer les balises, mais aussi le serveur
de commande et contrôle (C2). Il est difficile d'exploiter les IoC, car le contexte fondamental peut provenir
de différentes sources, comme le DNS (système de noms de domaine), les points de terminaison, les logs
de transparence des certificats et les proxys. Dans leurs conseils généraux, les équipes de recherche en
sécurité recommandent un logging optimal accompagné d'une conservation plus longue. Les investigations
ont identifié des temps de détection de plus d'un an, ce qui laisse la porte largement ouverte au mouvement
latéral et permet aux utilisateurs malveillants de passer directement aux dernières étapes de leur attaque.

Attaques des systèmes ICS/SCADA, OT et IoT

Depuis Stuxnet et le botnet Mirai, ces attaques ont continué d'évoluer rapidement et régulièrement.
Les malware qui s'inspirent de Brickerbot infectent et détruisent les configurations d'appareils et les
systèmes de fichiers. D'autres attaques accèdent à l'environnement via des systèmes de commande
industriels (ICS) connectés, des systèmes de supervision, de contrôle et d'acquisition des données
(SCADA). Les appareils de surveillance physique connectés, les services vulnérables sur l'Internet des
objets (IoT) ainsi que les périphériques et les systèmes fondés sur des technologies opérationnelles
(OT) peuvent ne pas être sécurisés à cause de leur architecture, de leur conception, de leur mauvaise
configuration ou d'un manque de commandes compensatoires. Ils peuvent offrir un accès à des systèmes
informatiques. Cependant, la menace directe de la perturbation des services est toujours un problème
hautement prioritaire. En effet, les fabricants ont connu des indisponibilités coûteuses. La menace pesant
sur les infrastructures essentielles présente un risque pour la sécurité nationale et physique.

wp-security-siem-solution-2021 | elastic.co/fr | © 2021 Elasticsearch B.V. Tous droits réservés. 5

 En règle générale, ces types d'attaques et de nombreux autres ont des points communs, à savoir une
patience et une sophistication élevées. Davantage d'attaques exploitent régulièrement une plus grande
partie de l'environnement pour éviter d'être détectées. En outre, le lancement d'une mission hautement
nuisible à une plus grande échelle engendrant des répercussions à long terme prend davantage de
temps. Désormais, ces menaces peuvent cibler directement les entreprises et le font, indépendamment
de leur motif ou de leur source.

Alors que les équipes de sécurité se mobilisent davantage pour résoudre les plus grands problèmes
engendrés par les tendances susmentionnées, il est essentiel qu'elles ne soient pas obligées de
sélectionner de manière exagérée les types et les quantités de données à inclure dans les opérations
quotidiennes ou à exclure.

Le rôle fondamental des sources

de données en grande quantité
Les tendances susmentionnées obligent de nombreuses équipes de sécurité à réviser leur couche de données.
Ce phénomène est loin d'être nouveau : les équipes de sécurité s'attelaient à cette tâche quand les bases de
données relationnelles utilisées pour développer d'anciennes générations de produits SIEM n'arrivaient pas
à prendre en charge l'échelle et la vitesse requises pour le centre opérationnel de sécurité. Par conséquent,
les premiers produits SIEM ont été remplacés par une approche "big data" de l'analyse de la sécurité afin de
gérer des attaques à couches multiples.

Désormais, les équipes de sécurité modernes révisent à nouveau la couche des données en vue d'éviter que
l'accès à leurs informations importantes ne soit compromis. Trop souvent, elles sont obligées de consacrer du
temps et des ressources à la désignation des données à inclure dans les opérations quotidiennes et à exclure.
Elles ont besoin de davantage de données pertinentes en matière de sécurité provenant d'un plus vaste éventail
de sources environnementales, notamment des applications et infrastructures cloud, des données de point
de terminaison optimales, des DNS, NetFlow, des données fibres, l'IoT et d'autres sources au contexte optimal
et en quantités souvent plus importantes que certaines des sources principales ingérées pour les opérations
quotidiennes de leur solution SIEM.

Dans bien des cas, les données en grande quantité peuvent engendrer des défis techniques, opérationnels
et commerciaux : soit, au vu du volume des données, il est difficile pour les analystes de réaliser des analyses
et des recherches réactives sans une architecture plus solide, soit les équipes en charge des architectures
ou de l'ingénierie jugent le coût de ces sources de données prohibitif et les responsables des centres
opérationnels de sécurité n'ont pas le budget nécessaire pour prendre en charge davantage de sources.

wp-security-siem-solution-2021 | elastic.co/fr | © 2021 Elasticsearch B.V. Tous droits réservés. 6

Ces équipes sont donc obligées de faire des concessions, dont voici quelques exemples emblématiques :

• Temps de conservation plus courts pour les données optimales utilisées dans le cadre de tâches de
Machine Learning et les détections/règles SIEM

• Niveau de logging/verbosité moindre des données utilisées pour enquêter sur les incidents et y réagir

• Abandon complet/exclusion de données à "plus faible valeur immédiate" par le centre opérationnel de
sécurité

• Archivage avec un accès limité ou lent, voire disponibilité/accessibilité limitée (pour une partie des
données seulement)

• Archivage par d'autres équipes, par exemple pour l'utilisation par des équipes en charge de la détection
ou de la gestion des failles ou bien par des analystes scientifiques

Les sources de données en grande quantité peuvent aider à garantir la visibilité des activités d'évitement et
à fournir des informations optimales permettant de contextualiser une menace. À l'aide de la stratégie d'archivage
appropriée, ces sources de données peuvent fournir le contexte historique requis pour réaliser des analyses de
récupération plus longues en cas de violation de données ou d'incident de sécurité ou encore pour déterminer le
profil des utilisateurs malveillants et analyser les menaces de manière proactive.

Vous trouverez ci-dessous un tableau récapitulant la valeur générale de la sécurité des sources de données
en grande quantité et l'importance de les inclure dans les opérations quotidiennes. À la lumière des tendances
décrites ci-dessus, ces sources de données sont de plus en plus pertinentes en matière de sécurité et peuvent
fournir un contexte essentiel pour les détections, les recherches, les investigations et la réponse aux incidents,
ce qui permet aux équipes de sécurité de vérifier, de cadrer et d'agir plus rapidement. Plus important encore,
grâce au niveau adéquat de contexte, elles peuvent prendre plus rapidement des décisions ayant davantage
d'impact sur la capacité à contenir les menaces de manière efficace et la réduction des risques en aval.

wp-security-siem-solution-2021 | elastic.co/fr | © 2021 Elasticsearch B.V. Tous droits réservés. 7

 Sources de données en grande quantité pour SIEM
Source de données Champ de données/ Valeur/importance Exemples d'attaques/
(nom et description) types de logs/ de la sécurité de méthodes d'attaques
Cas d'utilisation éléments à chercher que vous pouvez repérer
principaux à l'aide de cette source
Catégorie
de données

IaaS et SaaS Monitoring du niveau Plateforme cloud. Données d'observabilité, La sécurité des charges Abus d'instances
de sécurité du cloud, À mesure que les Cloudtrail, IAM, de travail et des (cryptomining,
conformité, visibilité entreprises déploient certificats, modifications infrastructures cloud etc.), urgences/
des ressources davantage de de la configuration peut être prioritaire par modifications de
contextuelles, charges de travail de des infrastructures, défaut au lieu d'être facturation, suppression
monitoring des production à grande utilisation non autorisée envisagée dans un d'instances, découverte
utilisateurs, détection échelle dans des de ressources, second temps. Elle est du cloud, déni de
des menaces, environnements IaaS, autorisations, directement intégrée au service, défacement,
investigation des comme AWS, GCP et politique de sécurité cycle DevOps lorsque failles des systèmes
incidents, détection Azure, il est essentiel de (avec pare-feu la visibilité des IaaS et des applications,
de toute exfiltration de garantir la visibilité au - src/dst/port/protocol), fait partie intégrante modifications de
données, identification sein d'un environnement indicateurs o11y, des compétences configuration,
de mouvement latéral hybride. facturation, WAF, standard de l'équipe en vol de données
flux VPC charge des opérations
de sécurité. Elle n'est
pas donc pas gérée
comme un silo distinct
d'opérations. Dans
certains cas, les
baisses de performance
peuvent indiquer
l'existence d'un
problème de sécurité.

IaaS et SaaS Monitoring du niveau Logs des applications Données d'observabilité Les logs des Vol de session,
de sécurité du cloud, cloud. Face à (APM), modifications applications cloud de token et de cookie,
conformité, monitoring l'accélération du travail de configuration, peuvent fournir le découverte de
des utilisateurs, à distance, de plus logs d'audit, accès contexte d'entreprise comptes, exfiltration
détection des menaces, en plus de données aux applications requis pour identifier les de données, déni de
investigation des sensibles d'entreprise et aux fichiers, éventuels problèmes de service, manipulation
incidents, anti-phishing, se trouvent dans des nom d'utilisateur, sécurité, y compris les de compte, phishing,
recherche des menaces, applications cloud, horodatages, utilisation menaces internes. Les découverte de logiciels
enrichissement comme O365, Google des services logs des applications
du contexte de Workspace et and cloud peuvent faciliter
l'entreprise, détection Salesforce.com. le tracing des e-mails,
de toute exfiltration de la définition des
données, analyse des modèles de
comportements comportements et
d'autres méthodes
d'investigation
permettant d'identifier
l'activité associée à une
menace.

wp-security-siem-solution-2021 | elastic.co/fr | © 2021 Elasticsearch B.V. Tous droits réservés. 8

 Sources de données en grande quantité pour SIEM
Source de données Champ de données/ Valeur/importance Exemples d'attaques/
(nom et description) types de logs/ de la sécurité de méthodes d'attaques
Cas d'utilisation éléments à chercher que vous pouvez repérer
principaux à l'aide de cette source
Catégorie
de données

IaaS et SaaS Monitoring et Applications de Horodatages, IP sources, Avec la hausse du travail Exfiltration de données,
cyberhygiène, communication (Zoom, noms d'utilisateurs, à distance, les abus piratage de compte,
détection des menaces, Slack, Teams, etc) mesures mises en et les comportements phishing, bombardement
investigation des incidents place, informations malveillants pullulent, en montée de ressource
Le travail à distance de connexion, pièces comme l'usurpation de
et la transformation jointes, interactions l'identité d'un utilisateur
numérique poussent les des messages, ou l'écoute illicite de
équipes à collaborer de enregistrements, réunions au cours
manière plus récurrente suppressions desquelles sont abordés
en temps réel. En outre, des sujets sensibles pour
les entreprises exploitent l'entreprise concernée. Il
des outils, comme Zoom, est donc plus important
Slack et Microsoft Teams, que jamais de se
qui les aident à rester protéger contre ces
connectées. attaques en monitorant
l'utilisation des outils de
collaboration pour les
réunions.

Utilisateur Monitoring des utilisateurs Authentification. Informations Les logs Attaques par force
bénéficiant d'un accès Les systèmes d'identification et activité d'authentification brute, ticket d'or, vol
privilégié ou non, d'authentification vérifient des utilisateurs, y compris peuvent permettre d'identifiants, escalade
conformité, visibilité des l'identité des utilisateurs les appareils, services et d'identifier les utilisateurs des privilèges, bourrage
ressources contextuelles, en leur demandant de applications utilisés et le qui ont été compromis et d'identifiants, pulvérisation
détection des menaces, fournir une information moment de leur utilisation éventuellement repérer de mots de passe, attaque
investigation des prédéterminée (qu'ils les données susceptibles de l'homme du milieu
incidents, recherche des connaissent ou d'avoir été exfiltrées.
menaces, identification possèdent) à des fins de Les événements
de mouvement validation. Les entreprises d'authentification
latéral, analyse des utilisent des outils sur site peuvent aider à identifier
comportements, et des services hébergés les activités inhabituelles
augmentation des dans le cloud, comme des utilisateurs en en
recherches, endiguement/ Okta. étudiant le moment
gestion des résolutions (le jour ou la nuit), la
fréquence, la régularité
et les habitudes d'accès
(le type d'appareils, de
services ou d'applications
utilisé) pour définir les
tendances permettant
aux équipes de sécurité
de distinguer les
activités "normales" des
événements "suspicieux".

Lorsque des utilisateurs

ont effectivement été
compromis, les logs
peuvent aider à identifier
les ressources, les
systèmes, les services
et les applications
auxquels les utilisateurs
ont accédé, ce qui facilite
les investigations pour
déterminer le type de
données susceptibles
d'avoir été volées ou
compromises.

wp-security-siem-solution-2021 | elastic.co/fr | © 2021 Elasticsearch B.V. Tous droits réservés. 9

 Sources de données en grande quantité pour SIEM
Source de données Champ de données/ Valeur/importance Exemples d'attaques/
(nom et description) types de logs/ de la sécurité de méthodes d'attaques
Cas d'utilisation éléments à chercher que vous pouvez repérer
principaux à l'aide de cette source
Catégorie de données

Activité de Monitoring de l'activité Pare-feu nouvelle IP et port source, IP Les logs du pare- Déni de service, failles

réseau de réseau, conformité, génération. et port de destination, feu fournissent des des applications et des
visibilité des ressources La fonctionnalité de service, application, informations exploitables systèmes d'exploitation,
contextuelles, détection pare-feu peut être fournie utilisateur, information sur sur les communications attaques basées sur le
et prévention des en tant qu'appareil le sens de circulation. Les entre adresses IP, protocole, saut de VLAN,
menaces, prévention autonome (physique logs du pare-feu nouvelle applications et livraison de malware
des malware, protection ou virtuel) ou dans le génération incluront utilisateurs. Ils peuvent
contre les ransomware, cadre d'une solution de également le contexte servir à :
recherche des menaces, passerelle intégrée. Elle des menaces provenant repérer les ressources,
investigation des contrôle l'accès au réseau de la Threat Intelligence services et applications
incidents, identification et réalise des inspections (correspondance de ciblés ;
de mouvement latéral, multifonctions pour signature, analyse de
détection de l'exfiltration essayer d'identifier les la charge utile, type de identifier les tendances
de données, analyse attaques du trafic. menace, source de la de trafic malveillant
des comportements, menace, source de la (serveur de commande
endiguement/gestion des Threat Intelligence). et contrôle, pics
résolutions d'emplacement, etc.) ;

orienter le trafic vers

la même URL au même
moment chaque jour,
similaire à une balise
d'un malware (un coup
de téléphone), afin
d'informer l'utilisateur
malveillant que
l'installation a réussi
et d'obtenir plus
d'instructions ;

signaler une activité

inhabituelle d'une
ressource contrôlée ;

souligner les reprises de

réseau indiquant qu'un
trafic prend une direction
anormale vers un appareil
qui a été compromis.

wp-security-siem-solution-2021 | elastic.co/fr | © 2021 Elasticsearch B.V. Tous droits réservés. 10

 Sources de données en grande quantité pour SIEM
Source de données Champ de données/ Valeur/importance Exemples d'attaques/
(nom et description) types de logs/ de la sécurité de méthodes d'attaques
Cas d'utilisation éléments à chercher que vous pouvez repérer
à l'aide de cette source
Catégorie principaux
de données

Activité de Monitoring de l'activité VPN. Les réseaux privés Adresses IP, noms Quand un compte VPN Attaque de l'homme
de réseau, conformité, virtuels fournissent aux d'utilisateurs, heures d'accès à distance du milieu, piratage de
réseau
visibilité des ressources employés et parfois de connexion, durée est compromis, un session, tentatives par
contextuelles, détection aux partenaires des de session, échecs utilisateur malveillant a force brute, flux de SYN/
et recherche des fonctions d'accès à d'authentification, accédé complètement déni de service, spoofing
menaces, investigation distance aux ressources défaut de contrôle de la aux ressources de
des incidents, de l'entreprise. Selon réglementation, fréquence l'entreprise se trouvant
identification de le prestataire, les des délais d'attente sur site. Les logs du
mouvement latéral, fonctionnalités de VPN de session, problèmes VPN peuvent fournir des
détection de l'exfiltration peuvent être intégrées d'échange de clés, informations exploitables
de données, analyse des directement dans un métriques de passerelle, y sur les activités
comportements pare-feu périmétrique ou compris de l'emplacement inhabituelles, comme les
déployées séparément en heures inhabituelles de
tant que concentrateur connexion, la connexion
VPN. simultanée à partir de
plusieurs emplacements
éloignés (technique
appelée "landspeed
violation"), les violations
de la politique de l'hôte et
d'autres activités devant
être signalées pour être
investiguées.

Activité de Monitoring de l'activité IDS/IPS. Les systèmes Définition d'attaque, Les logs d'IDS/ Attaques par déni de
de réseau, conformité, de détection (IDS) informations sur le IPS fournissent des service, ping de la
réseau
visibilité des ressources et de prévention des CVE, données sur informations exploitables mort, fragmentation,
contextuelles, détection instructions (IPS) la vulnérabilité et concernant les détection, ARP Spoofing,
et prévention des recherchent les attaques informations générales sur vecteurs d'attaque de balayage de ports, prise
menaces, prévention sur le trafic réseau le trafic : IP et port source, réseau. Souvent, ils d'empreintes digitales,
des malware, protection et les bloquent. Ils IP et port de destination, apportent le premier évitement du TLS
contre les ransomware, utilisent une approche heure, services et indice, déclenchant
investigation des de détection à plusieurs applications l'alerte menant à une
incidents, recherche des valets afin d'identifier les investigation. Ils peuvent
menaces, identification éventuels comportements servir à identifier les
de mouvement latéral, malveillants et de failles et les vulnérabilités
détection de l'exfiltration déclencher des spécifiques, qui à leur
de données, analyse des alarmes. Un IPS peut tour aident à détecter
comportements automatiquement bloquer d'autres victimes
les alertes à confiance éventuelles sur le réseau,
élevée afin d'éviter qu'elle à vérifier les activités
ne touche d'autres parties de reconnaissances, à
du réseau. investiguer le chemin
d'une attaque, à suivre les
indices supplémentaires
pour obtenir une vue plus
complète, à signaler les
activités inhabituelles
(par exemple, un nouveau
trafic latéral sur le réseau
semblant suspect) et à
obtenir des informations
exploitables au niveau du
protocole.

wp-security-siem-solution-2021 | elastic.co/fr | © 2021 Elasticsearch B.V. Tous droits réservés. 11

 Sources de données en grande quantité pour SIEM
Source de données Champ de données/ Valeur/importance Exemples d'attaques/
(nom et description) types de logs/ de la sécurité de méthodes d'attaques
Cas d'utilisation éléments à chercher que vous pouvez repérer
principaux à l'aide de cette source
Catégorie de données

Activité de Monitoring de l'activité Serveurs proxy web. Trafic web entrant et Les logs proxy web Exfiltration de données,

réseau de réseau, conformité, Ils protègent le trafic sortant, y compris les peuvent servir à lier communication avec un
visibilité des ressources web en bloquant les informations sur les URL, des utilisateurs et des serveur C2, tentatives de
contextuelles, détection URL malveillantes les noms de domaines systèmes impliqués dans phishing, droppers
et prévention des (correspondant à une et les exécutables une attaque du trafic web
menaces, prévention base de données sur les portables (fichiers, exe, pour :
des malware, protection menaces/la réputation), DLL, documentations, identifier les infections
contre les ransomware, en scannant le contenu JavaScript, etc.) initiales provenant
recherche des menaces, web et en analysant de nouveaux sites
investigation des les malware afin de malveillants ou de
incidents, détection fournir des informations sites web légitimes
de l'exfiltration de exploitables sur les compromis ;
données, analyse menaces auxquelles vous
des comportements, faites face. repérer l'exfiltration de
endiguement/gestion des données en identifiant
résolutions des activités sortantes
inhabituelles (par
exemple, en recherchant
une fréquence et un
schéma de transmissions
"automatisées").

Par exemple, une balise

(un coup de téléphone)
du trafic des malware
essaie d'établir une
communication avec un
serveur C2 pour obtenir
des instructions (trafic
vers la même URL au
même moment chaque
jour).

Les infections sont

confirmées en établissant
des corrélations avec
l'analyse de la charge
utile.

wp-security-siem-solution-2021 | elastic.co/fr | © 2021 Elasticsearch B.V. Tous droits réservés. 12

 Sources de données en grande quantité pour SIEM
Source de données Champ de données/ Valeur/importance Exemples d'attaques/
(nom et description) types de logs/ de la sécurité de méthodes d'attaques
Cas d'utilisation éléments à chercher que vous pouvez repérer
principaux à l'aide de cette source
Catégorie de données

Activité de Monitoring de l'activité DNS. Un DNS (serveur Adresses IP, ressources Les logs du DNS peuvent Empoisonnement de
de réseau, conformité, de noms de domaine) et leur nom de domaine permettre de rechercher cache, piratage de
réseau
anti-phishing, prévention associe des adresses IP corrélé, utilisateurs/ des activités après domaine, attaque de
des malware, protection avec un nom unique systèmes ayant effectué l'infection. Ils peuvent flux DNS, attaque
contre les ransomware, identifiant un ordinateur, des recherches DNS, servir à : distribuée par déni de
investigation des un service ou une heure et emplacement identifier un utilisateur service, tunnels DNS,
incidents, détection ressource spécifique malveillant cherchant à attaques de sous-domaine
de l'exfiltration de ayant un accès à Internet communiquer avec le
données, analyse ou à un réseau privé. serveur de commande
des comportements, et contrôle (s'ils utilisent
recherche des menaces, les noms de domaines,
enrichissement et Threat et pas les adresses IP,
Intelligence, augmentation ils devront effectuer une
des recherches recherche DNS) afin de
corréler cette information
avec les connexions
sortantes ;
détecter
les recherches DNS ayant
échoué ;

Domaines suspects

les transmissions qui ont

utilisé un protocole DNS ;

les activités anormales du

DNS, comme un nombre
élevé de requêtes du
DNS provenant d'un
client particulier, par
rapport à une référence
de base.

Activité de Monitoring de l'activité DHCP. Un DHCP Adresses IP et MAC, Les logs du DHCP Empoisonnement du
de réseau, conformité, (Dynamic Host interfaces, services, peuvent servir à mapper DHCP, DHCP Starvation,
réseau
visibilité des ressources Configuration Protocol requêtes DHCP, heure et l'activité de l'utilisateur attaque de l'homme du
contextuelles, ou Protocole de emplacement et de l'appareil sur milieu, DHCP Spoofing, vol
investigation des Configuration Dynamique le réseau. En cas de de service
incidents, identification de l'Hôte) autorise connexion suspecte,
de mouvement une adresse IP à être le DHCP peut identifier
latéral, analyse des automatiquement la machine spécifique
comportements, attribuée à un ordinateur depuis laquelle la
recherche des menaces, depuis un éventail de connexion a été
augmentation des nombres déjà configurés réalisée en fournissant
recherches pour un réseau particulier. des informations
essentielles sur les
appareils compromis et
utilisés dans le cadre de
l'attaque.

wp-security-siem-solution-2021 | elastic.co/fr | © 2021 Elasticsearch B.V. Tous droits réservés. 13

 Sources de données en grande quantité pour SIEM
Source de données Champ de données/ Valeur/importance Exemples d'attaques/
(nom et description) types de logs/ de la sécurité de méthodes d'attaques
Cas d'utilisation éléments à chercher que vous pouvez repérer
principaux à l'aide de cette source
Catégorie
de données

Activité de Monitoring de Points d'accès Wi-Fi Horodatage, message Les connexions de Accès non autorisé,

réseau l'activité de réseau, d'erreur/des événements, clients aux points d'accès appareil physique
cyberhygiène, analyse Les points d'accès adresses MAC, nom sont surveillées. Il est compromis, attaque de
des comportements, Wi-Fi sont utilisés dans d'hôte, etc. important de savoir quel l'homme du milieu, Evil
identification de toute l'entreprise pour point d'accès un client a Twin, points d'accès
mouvement latéral, permettre d'accès à ses utilisé pour se connecter hostiles, Wardriving,
investigation des incidents ressources connectées à un réseau. Cela permet Warshipping, reniflage de
via une connexion sans de détecter les clients paquets
fil interne sécurisée. sans fil non autorisés
Ils garantissent aussi qui ont essayé de se
aux employés et aux connecter au réseau, les
invités la connectivité points d'accès hostiles
à la passerelle Internet ou faux configurés pour
d'une entreprise. En forcer l'association
règle générale, les avec des utilisateurs
points d'accès Wi-Fi sans méfiance ou une
sont configurés pour tentative de connexion
autoriser la circulation point à point pour
libre sur un campus. Par légitimer les points
conséquent, le recueil d'accès et renifler le
des logs des événements trafic.
et associations est
fondamental pour garantir
la visibilité de la sécurité.

Activité de Monitoring de l'activité Prévention de perte de Horodatage, type Les systèmes de Exfiltration des données

réseau de réseau, monitoring données. Ces systèmes d'événement de prévention de perte

du niveau de sécurité développent un périmètre prévention de perte de de données peuvent
du cloud, visibilité des de sécurité numérique données (impression, monitorer de nombreuses
ressources contextuelles, autour de l'entreprise USB, e-mail, etc.), formes de fuites de
détection et prévention et analysent toutes les violation de politique, données, du copier-
des menaces, détection données sortantes blocage/autorisation, nom coller d'un document
de l'exfiltration de (et parfois les données d'utilisateur, adresse IP, jusqu'à l'ajout d'un texte
données, analyse entrantes). taille des données, nom spécifique dans un
des comportements, de document, etc. e-mail. Ils sont essentiels
investigation des pour les cas d'utilisation
incidents, endiguement/ d'exfiltration des
gestion des résolutions, données.
augmentation des
recherches

wp-security-siem-solution-2021 | elastic.co/fr | © 2021 Elasticsearch B.V. Tous droits réservés. 14

 Sources de données en grande quantité pour SIEM
Source de données Champ de données/ Valeur/importance Exemples d'attaques/
(nom et description) types de logs/ de la sécurité de méthodes d'attaques
Cas d'utilisation éléments à chercher que vous pouvez repérer
principaux à l'aide de cette source
Catégorie de données

Activité de Monitoring de l'activité Pare-feu d'application En-têtes HTTP, Les pare-feu Top 10 de l'OWASP

réseau de réseau, conformité, web. Cette forme adresses IP source/ d'application web sont et autres attaques
visibilité des ressources spécifique de pare‑feu client, charges utiles conçus pour repérer les de couche 7 (y compris les
contextuelles, d'application filtre, des requêtes HTTP, attaques de couche 7 sur dénis de service), piratage
prévention, détection et monitore et bloque le correspondances, scores les sites/serveurs web. de compte, piratage de
recherche des menaces, trafic HTTP émanant ou et résultats des politiques, Ces informations sont session, Heartbleed,
investigation des provenant d'un service horodatage, agents extrêmement vitales, Shellshock et Poodle
incidents, identification web. utilisateurs, données car elles permettent de
de mouvement géographiques, etc. réaliser des blocages,
latéral, analyse des le cas échéant, lors de
comportements, la vérification de toute
endiguement/gestion des la charge utile afin
résolutions d'identifier les éventuels
comportements
malveillants fondés sur
des règles.

Point de Monitoring des Solutions Endpoint Les logs de sécurité aux Les solutions Endpoint Malware et ransomware,

terminaison applications et des Security (AV, EDR, EPP, points de terminaison Security peuvent attaques sans fichier,
utilisateurs, conformité, anti-espion, IPS/pare-feu peuvent contenir fournir des informations modification de mémoire,
visibilité des ressources basés sur hôte). des noms de fichiers exploitables sur les exfiltration des données,
contextuelles, détection spécifiques, les activités suspicieuses attaques basées sur
et prévention des Les solutions Endpoint définitions d'attaques, ou des attaques sur un les identifiants, menace
menaces, anti-phishing, Security recherchent les des informations sur appareil donné. Souvent, interne, manipulation de
monitoring de l'intégrité attaques ciblant les points la vulnérabilité, des ils apportent le premier registre
des fichiers, prévention de terminaison et peuvent exécutables et de indice, déclenchant
des malware, protection les bloquer. Elles utilisent nouvelles applications. l'alerte menant à une
contre les ransomware, un vaste éventail de investigation. Ils peuvent
recherche des menaces, mécanismes de détection servir à :
investigation des afin d'identifier les identifier les failles
incidents, identification éventuels comportements et vulnérabilités
de mouvement latéral, malveillants et de spécifiques, ce qui peut
détection de l'exfiltration déclencher des alarmes. aider à identifier d'autres
de données, analyse Les alertes à confiance victimes éventuelles sur
des comportements, élevée peuvent être le réseau ;
endiguement/gestion des automatiquement
résolutions, augmentation bloquées afin d'éviter investiguer le chemin
des recherches qu'elles se propagent. d'une attaque en suivant
les indices menant à une
vue plus complète.

wp-security-siem-solution-2021 | elastic.co/fr | © 2021 Elasticsearch B.V. Tous droits réservés. 15

 Sources de données en grande quantité pour SIEM
Source de données Champ de données/ Valeur/importance Exemples d'attaques/
(nom et description) types de logs/ de la sécurité de méthodes d'attaques
Cas d'utilisation éléments à chercher que vous pouvez repérer
principaux à l'aide de cette source
Catégorie de données

Point de Monitoring des systèmes Points de terminaison Les logs des points de Les logs de point de Malware et ransomware,
d'exploitation et des (système d'exploitation, terminaison contiennent terminaison peuvent : attaques sans fichier,
terminaison utilisateurs, conformité, logs d'événements) des informations sur enregistrer l'installation modification de mémoire,
visibilité des ressources les systèmes, comme et l'exécution d'un exfiltration des données,
contextuelles, détection Points de terminaison le nom des processus malware par un attaques basées sur
des menaces, anti- contenant trop en exécution, les utilisateur malveillant ; les identifiants, menace
phishing, monitoring d'informations (OSquery, modifications des interne, manipulation de
de l'intégrité des sysmon, autres identifiants, les identifier les registre
fichiers, prévention des agents Beats) élévations des privilèges, programmes et
malware, protection l'heure, la fréquence processus automatiques
contre les ransomware, L'ensemble des points de et l'emplacement des qu'un utilisateur
recherche des menaces, terminaison enregistrent activités. malveillant peut
investigation des toute l'activité de leurs exploiter pour mener
incidents, identification logs d'événement et de Identifiants des des activités nuisibles
de mouvement latéral, système d'exploitation événements et des (par exemple, envoyer
détection de l'exfiltration (Windows, Apple, processus, indicateurs automatiquement des
de données, analyse Android, etc.). des systèmes données vers un serveur
des comportements, (processeur, utilisation de dès leur enregistrement
augmentation des la mémoire, temporaire), sur le point de
recherches monitoring de l'intégrité terminaison) ;
des fichiers, détection
des anomalies (accès signaler toute activité
utilisateur, accès aux administrative
fichiers, lancement/ inhabituelle (comme
arrêt de processus, etc.) la suppression des
logs d'événement,
ce qui pourrait être un
indice qu'un utilisateur
malveillant essaie de
supprimer des preuves).

Serveur Monitoring des Serveurs de messagerie. Les logs des e-mails Ces logs peuvent Campagnes de phishing,
utilisateurs, conformité, Ils gèrent toutes les contiennent des permettre de scanner livraison de malware/
anti-phishing, prévention transmissions d'e- informations sur les pièces jointes à la ransomware, exfiltration
des malware, protection mail depuis et vers l'expéditeur et le recherche de malware de données, chantage,
contre les ransomware, l'entreprise. destinataire, mais aussi la ou de virus, puis de menace interne
détection de l'exfiltration charge utile des e-mails, y comparer les domaines
de données, analyse compris tout lien ou toute des e-mails aux bases
des comportements, pièce jointe. de données d'attaques
recherche des menaces, connues par courrier
investigation des indésirable ou phishing.
incidents, enrichissement, Ils peuvent servir à :
endiguement/gestion des identifier la source d'une
résolutions, augmentation attaque en établissant
des recherches quand et comment un
lien ou une pièce jointe
malveillante a infecté un
point de terminaison au
comportement étrange ;

mettre en corrélation
le clic sur un lien
malveillant ou l'ouverture
d'une pièce jointe
malveillante sans
activité sortante sur le
point de terminaison
concerné afin d'obtenir
des informations
supplémentaires
sur la faille, mais
aussi d'identifier la
progression et la portée
de l'attaque.

wp-security-siem-solution-2021 | elastic.co/fr | © 2021 Elasticsearch B.V. Tous droits réservés. 16

 Sources de données en grande quantité pour SIEM
Source de données Champ de données/ Valeur/importance Exemples d'attaques/
(nom et description) types de logs/ de la sécurité de méthodes d'attaques
Cas d'utilisation éléments à chercher que vous pouvez repérer
principaux à l'aide de cette source
Catégorie de données

Serveur Monitoring et conformité, Logs d'audit de base Horodatage, utilisateur, Il est absolument vital Exfiltration de données,
visibilité des ressources de données. Les bases nom et table de la base de tout savoir sur les menace interne,
contextuelles, monitoring de données constituent de données, recherche, requêtes de base de manipulation des données,
des utilisateurs certains des hôtes temps de réponse, taille données (qui, quoi défacement des données,
bénéficiant d'un accès de production les en octets, méthode et quand). Il s'agit fraude financière
privilégié, détection des plus importants dans d'authentification, etc. également d'une
menaces, détection un environnement, exigence de conformité.
de l'exfiltration de car elles contiennent Elastic Security peut
données, analyse les adresses IP, des modeler des requêtes et
des comportements, informations personnelles, détecter des schémas
recherche des menaces, des informations en copie inhabituels entre les
investigation des cachée et bien d'autres. applications et leur base
incidents, augmentation de données associée.
des recherches

Serveur Monitoring et conformité, Logs de transparence des Horodatage, entrée/ Ils sont extrêmement Phishing, compromission
détection des menaces, certificats stockage du log, étape de précieux pour détecter la des autorités de
monitoring du niveau l'entrée, noms courants, génération de certificats certification, menace
de sécurité du cloud, Les autorités de noms alternatifs du nuisibles et les certificats interne
investigation des certification doivent sujet, date de création, générés à des fins de
incidents, recherche des publier un log public de expiration, empreinte phishing, entre autres.
menaces chaque certificat qu'elles digitale
signent, ce qui représente
des millions tous les jours.

Serveur Monitoring et conformité, Réseaux de diffusion Ils sont très similaires à un Ils seront très utiles pour Top 10 de l'OWASP
détection des menaces, de contenu (Cloudflare, WAF/HTTP, mais peuvent identifier les attaques et autres attaques de
monitoring du niveau Akamai, etc.) aussi inclure un éventail basées sur le web, à couche 7 (y compris les
de sécurité du cloud, d'autres champs/valeurs l'instar des logs de dénis de service), piratage
investigation des Les réseaux de diffusion selon les services fournis. serveur web. de compte, piratage de
incidents, recherche des de contenu hébergent session, etc.
menaces toutes les ressources
statiques du site web
d'une organisation.
Nombre d'entre eux sont
associés à un WAF.

Données de Monitoring et conformité, PCAP. La capture des Protocole, ports et Ce processus est Accès à distance,
visibilité des ressources paquets (PCAP) sert d'API adresses IP source et similaire à Netflow et communication
flux et de
contextuelles, pour capturer le trafic de destination (selon le à d'autres réseaux avec un serveur C2,
réseau détection des menaces, réseau. protocole), trames et basés sur les logs, sans téléchargement de
investigation des séquences, messages devoir dépendre d'une malware, injection TLS,
incidents, recherche des cryptés client/serveur collection de systèmes piratage de session,
menaces, augmentation pour poignées de main d'exploitation. Grâce exfiltration de données,
des recherches, analyse TLS, charges utiles, etc. à la collecte de trafic attaques de DGA, attaque
des comportements, réseau en temps, une par point d'eau, force brute
identification de équipe peut identifier
mouvement latéral, le trafic d'attaque sur
détection de l'exfiltration des milliers d'hôtes en
de données, anti-phishing, utilisant un TAP réseau.
prévention des malware, En outre, elle peut savoir
protection contre les si des malware et des
ransomware utilisateurs ont interféré
avec des flux TCP/UDP
lorsqu'ils quittent un hôte.

wp-security-siem-solution-2021 | elastic.co/fr | © 2021 Elasticsearch B.V. Tous droits réservés. 17

 Sources de données en grande quantité pour SIEM
Source de données Champ de données/ Valeur/importance Exemples d'attaques/
(nom et description) types de logs/ de la sécurité de méthodes d'attaques
Cas d'utilisation éléments à chercher que vous pouvez repérer
principaux à l'aide de cette source
Catégorie de données

Données de Monitoring et conformité, Données de flux. Elles Ports et adresses IP Elles permettent Exfiltration de données,

flux et de visibilité des ressources sont analysées pour source et de destination d'identifier les déni de service
contextuelles, monitorer la performance et taille en octets, taille de transferts de données
réseau
détection des menaces, du réseau, optimiser flux combinés, protocole, irréguliers et les
investigation des l'infrastructure et détecter nombre de paquets, importantes connexions
incidents, recherche des le trafic malveillant. identifiants des flux/de la sortantes grâce à la
menaces, augmentation communauté, durée du capacité à modeler ce
des recherches, analyse NetFlow. Il a vu le jour flux, etc. comportement à l'aide du
des comportements, sur les routeurs Cisco Machine Learning.
identification de en 1996 pour permettre
mouvement latéral, la collecte du trafic
détection de l'exfiltration réseau IP dès qu'il entre
de données sur une interface ou en
sort.

IPFIX.IPFIX (Internet
Protocol Flow Information
eXport) a été remplacé
par le protocole NetFlow.

Sécurité Monitoring et conformité, ICS. Un système de Nom/identifiant/ À l'instar de tout autre Déni de service, piratage

physique détection des menaces, commande industriel adresse IP de l'appareil, appareil doté d'une de compte et d'appareil,
investigation des (ICS) comprend des message, rédacteur/type connexion réseau, l'IoT découverte de modules,
et appareils
incidents, recherche des logiciels et du matériel de message, gravité, et l'ICS génèrent du exfiltration de données,
connectés
menaces, augmentation intégrés qui monitorent emplacement, unité trafic, qui peut, bien DoC, injection de fichiers
des recherches, analyse et contrôlent le entendu, engendrer la
des comportements, fonctionnement d'un livraison d'attaques, des
détection de l'exfiltration équipement industriel. vols de données, des
de données manipulations nuisibles
IoT. L'Internet des et d'autres attaques (par
objets (IoT) englobe déni de service, etc.).
les appareils mesurant,
monitorant et contrôlant
les périphériques
physiques à l'aide de
processus fondés sur le
cloud.

wp-security-siem-solution-2021 | elastic.co/fr | © 2021 Elasticsearch B.V. Tous droits réservés. 18

 Sources de données en grande quantité pour SIEM
Source de données Champ de données/ Valeur/importance Exemples d'attaques/
(nom et description) types de logs/ de la sécurité de méthodes d'attaques
Cas d'utilisation éléments à chercher que vous pouvez repérer
principaux à l'aide de cette source
Catégorie de données

Sécurité Monitoring et conformité, Logs MDM. Les logs Nom de l'appareil, action Toute entreprise utilisant Vol physique, vol/

physique détection des menaces, MDM (Mobile device de l'appareil, politique, des appareils mobiles exfiltration de données,
investigation des management) de gestion nom d'utilisateur, professionnels ou non attaques de la chaîne
et appareils
incidents, recherche des des appareils mobiles adresse IP, propriétaire, devrait les monitorer et d'approvisionnement
connectés
menaces, augmentation permettent de renforcer action MDM, etc. les gérer à l'aide d'un mobile, malware mobile,
des recherches, analyse la sécurité des données MDM, notamment les mauvaise utilisation
des comportements, d'entreprise en favorisant téléphones et iPads. d'identifiants
détection de l'exfiltration le monitoring, la gestion Les modifications
de données et la sécurisation des de politiques,
divers périphériques les installations
portables des employés. d'applications
inhabituelles, les lieux de
connexion, les appareils
perdus et bien d'autres
données peuvent
tous être consignés et
monitorés.

Sécurité Monitoring et conformité, Mouvement détecté Les solutions Endpoint À l'instar du contrôle Ingénierie sociale,

physique détection des menaces, par caméra. Il s'agit des Security peuvent physique des accès, exfiltration de données,
investigation des activités détectées via fournir des informations nous pouvons identifier vol physique, menace
et appareils
incidents, recherche des une caméra en tout lieu. exploitables sur les les mouvements interne
connectés
menaces, augmentation activités suspicieuses irréguliers. En outre,
des recherches, analyse ou des attaques sur un si la reconnaissance
des comportements, appareil donné. Souvent, faciale est activée, nous
détection de l'exfiltration ils apportent le premier pouvons identifier et
de données indice, déclenchant modeler les irrégularités
l'alerte menant à une des utilisateurs.
investigation. Ils peuvent
servir à :
identifier les failles et
vulnérabilités spécifiques,
ce qui peut aider à
identifier d'autres victimes
éventuelles sur le réseau ;

Sécurité Monitoring et conformité, Logs d'imprimante. Nom/adresse IP de Grâce à des sources Exfiltration des données

physique détection des menaces, Ils permettent aux l'imprimante, utilisateur/ de données non
investigation des équipes de sécurité adresse IP source, feuilles traditionnelles,
et appareils
incidents, recherche des de suivre les tâches imprimées l'exfiltration de données
connectés
menaces, augmentation d'impression exécutées peut également être
des recherches, analyse par les imprimantes de détectée dans le monde
des comportements, leur entreprise. physique. Si un utilisateur
détection de l'exfiltration n'a jamais imprimé
de données 300 pages à 6 h du
matin avant, nous devons
probablement remédier à
une telle situation.

wp-security-siem-solution-2021 | elastic.co/fr | © 2021 Elasticsearch B.V. Tous droits réservés. 19

 Sources de données en grande quantité pour SIEM
Source de données Champ de données/ Valeur/importance Exemples d'attaques/
(nom et description) types de logs/ de la sécurité de méthodes d'attaques
Cas d'utilisation éléments à chercher que vous pouvez repérer
principaux à l'aide de cette source
Catégorie de données

Référentiel Monitoring et conformité, Logs de contrôle de la Horodatage, noms Alors que les Attaques de chaîne

de code détection des menaces, source. Ils permettent de référentiel, noms organisations d'approvisionnement,
investigation des de monitorer les d'utilisateurs, noms commencent à tout traiter menace interne,
incidents, recherche des actions menées par d'organisations, mesures en tant que code, il est exfiltration de données,
menaces, augmentation vos utilisateurs sur les prises, adresses IP essentiel de monitorer les manipulation de code,
des recherches, analyse objets dont la source sources, etc. activités irrégulières dans découverte de données
des comportements, est contrôlée (GitHub, les référentiels, mais secrètes et vol
détection de l'exfiltration etc.) au sein de votre aussi les clés d'accès
de données organisation. secrètes, les mots de
passe, les appels d'API
et les connexions, entre
autres.

wp-security-siem-solution-2021 | elastic.co/fr | © 2021 Elasticsearch B.V. Tous droits réservés. 20

Comment combler vos lacunes
en compétences à l'aide de vos
données
Comment nous le mentionnons à la page 4 de ce document, nombre d'entreprises ont vraiment souffert de
leurs lacunes en matière de compétences en cybersécurité. Cet important problème s'est aggravé à mesure
de l'accélération de la dématérialisation. Désormais, nous sommes confrontés à une attaque de surface plus
vaste, des environnements inconnus, de nouveaux formats de données et la nécessité de rétroconcevoir des
méthodes émergentes mais aussi de nouvelles procédures, techniques et tactiques d'attaques.

Par exemple, les équipes de sécurité peuvent être dépassées par l'apprentissage du nouveau "langage" des
services cloud (la fonctionnalité équivalente aux appareils déployés sur site, les scénarios de déploiement
et d'architecture, les formats de logging spécifiques aux fournisseurs, les champs pertinents en matière de
sécurité dans les données sur lesquelles elles doivent se concentrer, etc.) pour l'environnement particulier
de chaque fournisseur cloud. Et il ne faut pas oublier les données de réseau, NetFlow l'IoT et quelques autres
sources données souvent consignées. Ce n'est pas étonnant que les équipes se sentent débordées et aient
du mal à suivre le mouvement.

La rationalisation des accès aux sources de données appropriées et la première mesure à prendre pour
aider votre entreprise à combler ses lacunes. Grâce à Elastic, les équipes de sécurité n'ont plus à s'inquiéter
de savoir si elles disposent des bonnes données ou si les informations dont elles ont besoin sont facilement
accessibles et utilisables. Au contraire, elles peuvent se consacrer à ce qui compte le plus, à savoir mieux
remplir leurs missions.

Par conséquent, utilisez Elastic avec votre solution SIEM afin de gérer des sources de données en plus grande
quantité, ou bien, si vous ne connaissez pas SIEM, commencez à utiliser Elastic en tant que votre solution SIEM
dès aujourd'hui et recueillez toutes les données dont vous avez besoin pour vos cas d'utilisation de sécurité,
indépendamment de leur échelle ou de leur type de déploiement. Grâce à Elastic, votre équipe de sécurité peut
s'adapter efficacement, évoluer plus rapidement et vous aider à devenir un meilleur professionnel de la sécurité.

wp-security-siem-solution-2021 | elastic.co/fr | © 2021 Elasticsearch B.V. Tous droits réservés. 21

À propos d'Elastic
Elastic garantit des données exploitables en temps réel et à grande échelle pour les tâches de recherche
d'entreprise, d'observabilité et de sécurité. Ses solutions, déployables partout, se fondent sur une seule
pile technologique gratuite et ouverte. Vous bénéficiez alors instantanément de données exploitables
(recherches de documents, monitoring d'infrastructure ou détection des menaces). Des milliers
d'organisations ont adossé leurs systèmes stratégiques à Elastic, notamment Cisco, Goldman Sachs,
Microsoft, The Mayo Clinic, la NASA, The New York Times, Wikipédia ou Verizon. Fondée en 2012,
Elastic est cotée à la bourse de New York ( NYSE, symbole ESTC). En savoir plus sur elastic.co/fr.

wp-security-siem-solution-2021 | elastic.co/fr | © 2021 Elasticsearch B.V. Tous droits réservés. 22

Vous souhaitez essayer
Elastic Security ?
Essayez Elastic Security sur Elastic Cloud gratuitement pendant 14 jours.
(Nous ne vous demandons pas de fournir vos coordonnées bancaires.)
Vous pouvez également le déployer sur site pour en bénéficier en
permanence.

Se lancer gratuitement avec Elastic Security

wp-security-siem-solution-2021 | elastic.co/fr | © 2021 Elasticsearch B.V. Tous droits réservés. 23