Groupe de réflexion sur la sécurité : L’intégration entre SIEM/SOAR est essentielle

Les solutions d’information de sécurité et de gestion d’événements (SIEM) sont avec nous depuis un certain temps et sont nées de la nécessité de regrouper les journaux dans différents formats de l’ensemble du réseau, y compris les flux d’événements de sécurité provenant d’autres équipements tels que les systèmes de détection d’intrusion (IDS), les pare-feux et les logiciels de point de terminaison utilisateur.

Un SIEM fournira également un moyen de rechercher et d’analyser manuellement les données, en utilisant généralement l’analyse des données pour générer des alertes, présenter des points de vue différents des données à l’analyste et fournir des rapports aux parties prenantes.

En outre, il fournira généralement une capacité permettant de détecter les cas d’utilisation à développer, qui rechercher des séquences spécifiques d’événements qui peuvent indiquer une attaque en cours et peut fournir une certaine intégration dans la billetterie et d’autres systèmes connexes.

Aujourd’hui, cependant, les systèmes peuvent générer des milliers d’événements par seconde et les attaquants sont de plus en plus sophistiqués. Certains groupes avancés de menaces persistantes (APT) peuvent maintenant prendre le contrôle d’un poste de travail et percer dans le réseau en moins de 20 minutes en moyenne à partir d’un utilisateur cliquant sur un lien dans un e-mail d’hameçonnage, et la moyenne pour tous les groupes est inférieure à deux heures.

Cela a conduit à la notion du défi 1/10/60: la nécessité de détecter une attaque en une minute, de la comprendre en 10 minutes et de la contenir dans les 60 minutes. Ce n’est pas possible pour les meilleurs analystes utilisant un SIEM seul.

Les solutions d’orchestration, d’automatisation et d’intervention de sécurité (SOAR) visent à accélérer la réponse à une attaque en automatisant le processus de détection et d’intervention en cas d’incident. Ils s’intègrent au SIEM, au système de billetterie, aux technologies de détection, aux pare-feu et aux procurations, ainsi qu’aux plateformes de renseignement sur les menaces, afin d’être en mesure d’automatiser l’activité globale de détection et d’intervention.

Les équipes des opérations de sécurité auront un cahier de jeux qui détaille les décisions et les mesures à prendre, de la détection au confinement. Cela peut suggérer des mesures à prendre pour détecter un événement suspect par l’escalade et les réponses possibles. SOAR peut automatiser cela, en prenant des décisions autonomes qui soutiennent l’enquête, en puisant dans l’intelligence de la menace et en présentant les résultats à l’analyste avec des recommandations pour d’autres mesures.

L’analyste peut alors sélectionner l’action appropriée, qui serait effectuée automatiquement, ou l’ensemble du processus peut être automatisé. Par exemple, la détection d’une éventuelle transmission de commande et de contrôle pourrait être suivie conformément au livre de jeux afin de recueillir des renseignements pertinents sur les menaces et des informations sur les hôtes impliqués et d’autres transmissions connexes.

L’analyste serait alors avisé et aurait la possibilité de bloquer les transmissions et d’isoler les hôtes concernés. Une fois sélectionnées, les actions seraient effectuées automatiquement. Tout au long du processus, les outils de billetterie et de collaboration informeraient l’équipe et les intervenants concernés et généreraient des rapports au besoin.

Les fournisseurs de SIEM ont commencé à ajouter certaines de ces fonctions, et les équipes opérationnelles utilisent les capacités intégrées des interfaces de programmation d’applications SIEM ou SIEM pour automatiser les processus, ce qui pourrait être considéré comme un chevauchement entre SIEM et SOAR.

Une solution SOAR s’assoit toutefois au-dessus du SIEM et assurera une meilleure intégration avec des plates-formes d’intelligence des menaces et des outils plus avancés qui fournissent des sorties plus complexes qu’un simple flux de journaux. En règle générale, une solution SOAR fournira également la gestion de cas, l’analyse et la production de rapports et appuiera la communication et la collaboration.

Bien qu’une solution SOAR puisse aider à atteindre l’objectif du 1/10/60 et à gagner peu de temps pour les analystes, elles nécessitent une configuration significative. Les configurations par défaut peuvent fournir un début, mais le playbook et les workflows définis doivent être réglés pour les automatiser dans une solution SOAR car il ne générera pas ces pour vous.

Pour y répondre également, la solution SOAR doit savoir reconfigurer les pare-feu, les serveurs DNS et les proxys par exemple, ainsi que isoler les hôtes dans votre environnement spécifique. À long terme cependant, SOAR permettra d’en faire plus rapidement avec moins d’entrées d’analystes.

Bien que SIEM et SOAR soient différents, ils sont tous deux nécessaires et doivent fonctionner ensemble. Les fonctionnalités SOAR continueront d’être ajoutées par les fournisseurs siem, tandis que Gartner estime que d’ici la fin de 2020, seulement 15 % des organisations de sécurité avec cinq professionnels de la sécurité ou plus adopteront SOAR. Toutefois, il est peu probable que des solutions SIEM autonomes disparaissent bientôt.