> Tech > SEIM et gestion des journaux sur l’IBM i

SEIM et gestion des journaux sur l’IBM i

Tech - Par Philip Lieberman - Publié le 07 juin 2013
email

Découvrez les produits qui enrichiront la journalisation IBM i.

SEIM et gestion des journaux sur l’IBM i

Les systèmes d’exploitation milieu de gamme IBM génèrent une foule d’événements dès lors que des jobs sont traités et que des utilisateurs interagissent avec les systèmes. Mais, selon un diction, est-ce que la chute d’un arbre dans la forêt fait du bruit s’il n’y a personne pour l’entendre ? Des fournisseurs tiers ont décidé de vous signaler la chute des arbres dans votre forêt (événements bons et mauvais), et ont créé pour cela des produits qui s’intègrent aux systèmes IBM. Pour ensuite partager cette information avec des systèmes externes où elle sera collectée, corrélée et traitée comme il convient.

Bien sûr, la transparence des événements est au cœur d’une bonne gestion de systèmes. Mais elle joue aussi un grand rôle dans les règles de sécurité de l’Administration et des organismes de contrôle. Ce partage avec les systèmes externes garantit que toutes les entités concernées savent comment vos systèmes critiques fonctionnent ou sont utilisés.

Qu’est-ce que SEIM et pourquoi est-il important ?

SEIM (Security Event and Information Management), ou sa variante SIEM (Security Information and Event Management), est un type de logiciel qui collecte et corrèle l’information des journaux (logs) de divers systèmes, dans les buts suivants :

•    détection d’intrusion
•    opérations normales et anormales des jobs
•    usage abusif de références (credentials)
•    transgression des règles de sécurité
•    déclencheur administratif activé par le contenu des journaux (logs)

Les données de journaux pour le système SEIM proviennent de diverses sources : système d’exploitation, base(s) de données, middleware, gestionnaires de jobs et applications. Le plus souvent, un logiciel additionnel, sous forme de connecteurs ou de collecteurs, doit être chargé sur un système pour collecter et formater les données de journalisation et de comptabilité. Celles-ci sont envoyées à un système SEIM central généralement présent sur un seul système. A noter que certains systèmes d’exploitation et produits ont des connecteurs natifs pour envoyer des données aux systèmes SEIM (c’est le cas par exemple de Linux, UNIX, Windows), tandis que pour des systèmes milieu de gamme IBM, il faut recourir à un logiciel tiers.

Les systèmes SEIM se trouvent généralement sur des systèmes Linux, UNIX ou Windows, sous deux formes : une solution logicielle ou une appliance représentant une solution complète. La collecte de l’information se fait le plus souvent via un protocole TCP/IP appelé SYSLOG (RFC 3164). Microsoft utilise le format Event Log pour ses propres systèmes d’exploitation, et la plupart des systèmes SEIM consommeront et traiteront les deux formats SYSLOG et Microsoft Event Log.

Types et volumes des messages SEIM

D’une manière générale, toute activité, réussite ou échec d’un système ou d’une application peut générer des messages destinés au système SEIM. Par conséquent, l’activité de journalisation peut fort bien submerger non seulement le système qui génère les événements mais aussi le SEIM qui les consomme. Il faut donc appliquer un filtrage approprié pour ne tenir compte que des événements pertinents et utilisables, et pour collecter les bons champs de données à transmettre au système SEIM.

Les collecteurs SEIM filtrent selon plusieurs critères : catégorie de la source, heure du jour, élimination de toute duplication, champs, et pratiquement toutes les caractéristiques d’une source d’événements. Il existe des catégories générales d’événements concernant l’exploitation (événements opérationnels) et la sécurité. Les événements opérationnels signalent le fonctionnement normal et anormal du système et de l’application. Ils incluent aussi des données de sécurité complémentaires comme l’identité du responsable de l’activité. Les événements de sécurité incluent tous les mauvais usages de références, ou usurpations, évidents et non évidents.

Qui effectue les analyses et les actions ?

D’une manière générale, les collecteurs agissent assez peu sur les données. Ils se contentent de supprimer des événements en double (les mauvaises nouvelles ont tendance à se propager indéfiniment) et d’appliquer des critères qui empêcheront les événements de surcharger les systèmes SEIM. Il incombe à ces derniers d’analyser les données et d’agir en conséquence.

Un système SEIM peut, entre autres, notifier les utilisateurs et aussi corriger lui-même certains problèmes. La notification des utilisateurs peut prendre plusieurs formes : e-mails, messages SMS, pop-ups sur des PC, ouverture de tickets d’incidents, paging, notification vocale, ou tout autre procédé invitant quelqu’un à intervenir. D’autres actions concernent les applications : tuer des jobs, redémarrer des systèmes, changer les règles d’un pare-feu pour bloquer certaines adresses IP, et plus largement tout ce qui peut être scripté.

Fonctions et caractéristiques des systèmes SEIM

Il existe de nombreuses solutions SEIM. Les points suivants vous permettront de les évaluer et de les comparer :

•    fonctionnalités pour les auditeurs, la conformité et/ou l’analyse approfondie
•    détection d’intrusion (connecteurs pour pare-feu et unités IDS) et corrélation de tous les événements de même nature provenant de toutes les sources, pour démasquer l’intrus
•    solution en temps réel ou batch par rapport aux réponses autonomes
•    SYSLOG, Microsoft Event Log, et/ou analyse des bases de données et des fichiers de journaux
•    combien d’événements peuvent être stockés (taille de l’unité SEIM)
•    combien d’événements peuvent être traités et à quel rythme (le nombre peut être très faible)
•    voir si la solution offre des requêtes ad hoc ou fixes et quel est leur degré de souplesse
•    types et nombre de connecteurs et types d’événements (systèmes d’exploitation, bases de données, middleware, applications, unités physiques) fournis
•    sophistication du moteur de corrélation et des actions disponibles (richesse des réponses)
•    un simple administrateur peut-il installer et utiliser le SEIM, ou est-ce un nouveau métier et un créneau lucratif pour des consultants extérieurs ? Quelles sortes de règles et de moteurs sont dès à présent disponibles ?

Au final, les systèmes SEIM peuvent vous aider à mieux gérer votre site, à fournir de meilleurs niveaux de services (SLA, service level agreement), à améliorer la sécurité, et à prouver la conformité. Mais, revers de la médaille, ils peuvent être difficiles à installer, délicats à utiliser, générateurs de masses d’informations inutiles, déclencheurs d’alertes injustifiées, et un mauvais paramétrage peut leur faire rater des intrusions importantes et graves.

La chaîne des opérations est la suivante : installer les collecteurs sur votre système IBM, mettre en place les filtres appropriés, connecter au système SEIM, et définir la corrélation et les actions à mener d’après la nature des événements. Bien entendu, il y aura une certaine période d’ajustement des deux côtés, IBM et SEIM, pour mettre en place les réponses au niveau humain, ticket d’incident et application.

Téléchargez gratuitement cette ressource

Guide de Survie aux Incidents IT

Guide de Survie aux Incidents IT

Découvrez le Top 100 des termes essentiels à une communication claire et précise lors d'un incident informatique. Classés en fonction des 5 phases du cycle de vie des incidents, ce guide de survie exclusif a été créé pour améliorer la communication de crise des équipes IT. Un Must Have !

Tech - Par Philip Lieberman - Publié le 07 juin 2013