Un log est une trace ou une empreinte laissée par un flux ou un événement caractérisant une activité sur un équipement ou un élément actif du système d’information. Ces événements sont générés sur la plupart des périphériques (pare-feux, routeurs, sondes réseau, antivirus, …). Leur étude peut être rendue indispensable pour différents types de besoins (aspects légaux, enquêtes sur anomalies, failles de sécurités …).

OïkiaLog intervient sur l’ensemble des problématiques liées à la gestion des logs.

Depuis plus de 10 ans, OïkiaLog s’investit dans tout ce qui gravite autour du log, depuis la façon de les comprendre jusqu’à la présentation de l’information qu’ils véhiculent.

Centralisation des logs

Les périphériques peuvent conserver cette information en la stockant localement ou dans une zone dédiée. Afin de traiter cette information il est obligatoire de centraliser les logs. Cette centralisation implique en général la nécessité de collecter ces logs. Il existe pour cela plusieurs façons de procéder : en mode actif (temps réel) via des protocoles tels que SYSLOG, WMI, LEA, …, ou en mode passif (a posteriori) via le parsing de fichiers de logs ou l’exécution de requêtes sur des bases de données.

SIM / SEM / SIEM

Ces trois acronymes SIM (Security Information Management), SEM (Security Event Management) ou SIEM (Security Information and Event Management) traduisent la volonté de gérer ces événements. Le métier et l’expertise d’OïkiaLog consistent donc à mettre en oeuvre la solution adaptée à chaque entreprise permettant de traiter ce type d’information.

Ce traitement a lieu en plusieurs étapes : d’abord la centralisation des logs (ou collecte), puis le stockage brut, sans modification, et la normalisation : pour permettre une exploitation plus rapide et plus simple (les logs sont enrichis et leur format est amélioré). Ensuite, l’agrégation, découlant de certaines règles de filtrage, permet d’optimiser la collecte et le stockage de l’information, et la corrélation permet de rapprocher les événements de façon à permettre la génération d’incidents et d’alertes, les outils de SIEM sont ainsi capables d’identifier un événement ou un type d’événement à l’origine d’attaques ou de comportements non respectueux de la politique de sécurité. Le reporting permet ensuite de mettre en place des rapports présentant régulièrement les indicateurs qui intéressent aussi bien les décideurs stratégiques que les décideurs opérationnels. Ces indicateurs réguliers permettent aussi d’identifier des tendances et de suivre l’évolution du système d’information. Finalement, l’archivage représente une partie très importante dans ce type de projet. Il permet le stockage des logs sans modification (l’intégrité de ces logs est garantie par des systèmes de signature ou de chiffrement) et le stockage des logs agrégés et/ou normalisés et des indicateurs ou rapports.