Chapitre 1 — Journalisation & Surveillance de la Sécurité
La journalisation est le pilier de la non-répudiation, de la forensique et de la détection. Ce module couvre les types de journaux, le SIEM, les protocoles de surveillance et les technologies clés.
| Type de journal | Ce qu'il enregistre | Utilité principale |
|---|---|---|
| Journaux système | Démarrages, arrêts, erreurs OS | Disponibilité, forensique |
| Journaux d'application | Erreurs, transactions, connexions d'app | Débogage, audit |
| Journaux de sécurité | Authentifications réussies/échouées, accès fichiers | Détection d'intrusion, conformité |
| Journaux réseau | Connexions, flux TCP/UDP, requêtes DNS | Forensique réseau, IDS |
| Journaux pare-feu | Règles acceptées/bloquées, adresses IP | Analyse des menaces |
| Journaux DNS | Requêtes de résolution de nom | Détecter C2 via DNS, exfiltration DNS |
| Journaux d'authentification | Tentatives de connexion, MFA, tokens | Détection brute force, credential stuffing |
| Journaux de métadonnées | Qui a accédé à quoi et quand (pas le contenu) | Analyse comportementale |
| NetFlow | Statistiques de flux réseau (src/dst IP, port, volume) | Détection d'anomalies, C2, exfiltration |
| PCAP (Packet Capture) | Contenu complet des paquets | Forensique approfondie |
Syslog est le protocole standard Unix/Linux pour l'envoi de journaux vers un collecteur central. Port 514/UDP (non chiffré) ou 6514/TCP+TLS (chiffré).
Niveaux de sévérité Syslog (0–7)
| Niveau | Nom | Description |
|---|---|---|
| 0 | Emergency | Système inutilisable |
| 1 | Alert | Action immédiate requise |
| 2 | Critical | Conditions critiques |
| 3 | Error | Conditions d'erreur |
| 4 | Warning | Conditions d'avertissement |
| 5 | Notice | Conditions normales mais significatives |
| 6 | Informational | Messages informatifs |
| 7 | Debug | Messages de débogage |
Les serveurs SIEM filtrent souvent sur les niveaux 0–4 pour les alertes prioritaires.
Fonctions clés du SIEM
- Agrégation : collecte les journaux de multiples sources (serveurs, réseaux, endpoints, applications).
- Normalisation : convertit des formats différents en un format uniforme.
- Corrélation : identifie des patterns suspects en combinant des événements de sources multiples. Ex: 5 échecs de connexion depuis la même IP → alerte brute force.
- Alertes : génère des notifications pour les événements correspondant à des règles de détection.
- Rapports : génère des rapports de conformité (PCI-DSS, HIPAA, ISO 27001).
- Rétention : stocke les journaux pendant la durée légale/réglementaire requise.
- Forensique : permet de rechercher dans l'historique pour reconstituer un incident.
SOAR — Security Orchestration, Automation and Response
Étend le SIEM avec l'automatisation de la réponse. Un playbook peut automatiquement bloquer une IP, isoler un endpoint ou créer un ticket ITSM — sans intervention humaine.
Pour que les journaux aient une valeur forensique, tous les systèmes doivent être synchronisés sur la même source de temps. NTP (Network Time Protocol, port 123/UDP) garantit cette synchronisation.
- Sans NTP, les timestamps de journaux différents ne peuvent pas être corrélés précisément.
- Stratum 0 : source de référence (GPS, horloge atomique). Stratum 1 : serveur directement connecté à un stratum 0. Stratum 2 : synchronisé sur stratum 1, etc.
- Protéger les journaux : permissions restrictives, stockage sur serveur séparé (WORM), chiffrement, signatures.
Réponse : Désynchornisation NTP. Les deux systèmes ne partagent pas la même référence de temps. Recommandation : forcer tous les hôtes à utiliser un serveur NTP interne de référence (stratum 2) lui-même synchronisé sur une source externe fiable.
- UEBA (User and Entity Behavior Analytics) : analyse le comportement des utilisateurs et des entités pour détecter les anomalies (ex: connexion à 2h du matin, exfiltration inhabituelle de données).
- DLP (Data Loss Prevention) : surveille et bloque l'exfiltration de données sensibles (email, USB, web).
- EDR (Endpoint Detection and Response) : surveille les endpoints en temps réel, collecte les journaux locaux et permet la réponse distante (isoler, supprimer).
- XDR (Extended Detection and Response) : étend l'EDR pour corréler avec les journaux réseau, cloud, email — vision unifiée.
- NDR (Network Detection and Response) : analyse le trafic réseau pour détecter des menaces qui évitent les endpoints.