Sécurité AD 101 : Outils SIEM et surveillance AD

Daniel Petri

Avant de nous plonger dans les conseils techniques que mentionnés dans mon article précédent, je tiens à soulever un point important. Si vous vous fiez uniquement aux outils de gestion des informations et des événements de sécurité (SIEM) pour la surveillance de la sécurité d'Active Directory (AD), en particulier contre les attaques potentielles de cybersécurité, vous risquez de ne pas obtenir une image complète de ce qui se passe sur votre réseau et vos systèmes.

Que sont les outils SIEM ?

Les outils SIEM rassemblent, centralisent et analysent divers journaux de réseau, de système, d'application et autres. De nombreux journaux d'événements produisent une quantité écrasante de données. Les outils SIEM peuvent s'avérer extrêmement utiles pour obtenir une vue unifiée des événements consignés.

De nombreuses organisations s'appuient sur des outils SIEM pour suivre les journaux de sécurité afin de détecter d'éventuels comportements malveillants, y compris des menaces pour AD. Les outils SIEM les plus répandus sont Splunk et Microsoft Sentinel.

Pourquoi ne pas s'appuyer sur les outils SIEM pour la sécurité d'AD ?

L'un des problèmes liés à l'utilisation d'outils SIEM pour la surveillance d'AD est que les cyberattaquants sont devenus ingénieux et contournent les journaux de sécurité d'AD. DCShadow n'est qu'un exemple d'une telle cyberattaque. Voici d'autres inconvénients d'une stratégie reposant uniquement sur les outils SIEM :

Limites de la collecte de données : Les SIEM ne collectent et n'analysent que les données qui leur sont transmises. Cet ensemble de données peut ne pas inclure tout ce qui est généré par un réseau ou un système. De nombreuses applications et de nombreux services ne disposent pas de capacités intégrées d'alerte ou de création d'événements. Même ceux qui en sont dotés peuvent ne pas produire d'alertes pour tous les types d'actions ou de changements de configuration. Par exemple, l'accès aux machines virtuelles (VM) et les modifications qui leur sont apportées peuvent ne pas être enregistrés. Ces limitations entraînent une visibilité et une surveillance de la sécurité incomplètes.
Erreurs de configuration : Les SIEM doivent être correctement configurés pour analyser efficacement les données et fournir des informations pertinentes. Nous savons tous à quel point ce processus peut être long et complexe. Les erreurs de configuration et les mauvaises configurations peuvent conduire à des analyses de données manquées ou incorrectes, ce qui se traduit par une vision limitée de l'activité du réseau.
Défis liés au traitement des données : Certains SIEM ne peuvent pas traiter tous les types de données, ce qui entraîne des lacunes dans la surveillance de la sécurité.
Renseignements incomplets sur les menaces : Les SIEM s'appuient souvent sur des flux de renseignements sur les menaces pour détecter les menaces connues. Toutefois, ces flux ne sont pas toujours complets ou à jour.
Faux positifs : Les SIEM peuvent générer des faux positifs. Ceux-ci peuvent détourner l'attention des vrais problèmes de sécurité et réduire l'efficacité globale du SIEM.
Non axés sur la sécurité : De nombreuses applications et de nombreux services génèrent des journaux d'événements qui n'ont pas été conçus pour la sécurité. Les événements générés peuvent être énigmatiques et dissimuler la véritable nature de l'événement déclencheur.
Contexte limité : Les SIEM fournissent généralement un contexte limité pour les événements de sécurité. Ce manque de contexte peut rendre difficile la compréhension de l'étendue d'un problème de sécurité ou l'analyse des causes profondes.

Comment renforcer l'efficacité des outils SIEM

Pour remédier à ces limites, les outils SIEM doivent être utilisés dans le cadre d'une stratégie de sécurité plus large. Combinez le SIEM avec d'autres technologies de sécurité telles que les pare-feu, les systèmes de détection d'intrusion et les logiciels de protection des points d'extrémité. Et pour conserver une vue d'ensemble de la sécurité AD, assurez-vous de mettre en œuvre un outil de surveillance AD dédié. Par exemple, Semperis Directory Services Protector (DSP) s'intègre facilement aux outils SIEM.

Semperis figure sur la liste Deloitte Tech Fast 500 pour la troisième année consécutive

Semperis se classe parmi les cinq entreprises américaines à la croissance la plus rapide dans le domaine de la cybersécurité

Semperis remporte le prestigieux Partner Program Guide de CRN deux années de suite

Le point de vue du RSSI sur la sécurité fondée sur l'identité, avec Simon Hodgkinson

Semperis figure sur la "Cyber 60 List" de 2023 du magazine Fortune

Le b.a.-ba de la sécurité AD : Outils SIEM et surveillance AD

Que sont les outils SIEM ?

Pourquoi ne pas s'appuyer sur les outils SIEM pour la sécurité d'AD ?

Comment renforcer l'efficacité des outils SIEM

En savoir plus sur les outils SIEM et la sécurité AD

Semperis figure sur la liste Deloitte Tech Fast 500 pour la troisième année consécutive

Semperis se classe parmi les cinq entreprises américaines à la croissance la plus rapide dans le domaine de la cybersécurité

Semperis remporte le prestigieux Partner Program Guide de CRN deux années de suite

Le point de vue du RSSI sur la sécurité fondée sur l'identité, avec Simon Hodgkinson

Semperis figure sur la "Cyber 60 List" de 2023 du magazine Fortune

Le b.a.-ba de la sécurité AD : Outils SIEM et surveillance AD

Que sont les outils SIEM ?

Pourquoi ne pas s'appuyer sur les outils SIEM pour la sécurité d'AD ?

Comment renforcer l'efficacité des outils SIEM

En savoir plus sur les outils SIEM et la sécurité AD

S'inscrire pour recevoir les actualités de Semperis