Gestion des logs : des solutions spécifiques pour une demande en forte croissance

Les solutions de log management permettent aujourd’hui aux entreprises de collecter et de stocker les logs de tous leurs actifs informatiques, ou presque. Si leurs capacités de corrélation et d’analyse restent souvent sommaires, ces outils donnent accès à des données d’une richesse inégalée.

Log management, l'émergence d'un marché propre au sein de la nébuleuse SIEM


Depuis quelques années, les entreprises perçoivent l'intérêt d'exploiter les nombreuses traces, événements et autres données d'audit logicielles, pour obtenir une image plus objective de leur sécurité informatique.

A ce besoin, les éditeurs ont répondu par une gamme de produits communément appelés SIEM. Sans entrer dans le débat sémantique consistant à utiliser cette appellation générique ou une typologie plus pointue distinguant les SEM (Security Event Management) qui n'exploitent que des données événementielles (logs), des SIM (Security Information/Incident Management) qui prennent en compte d'autres sources (résultats de scans par l'antivirus, par exemple), le SIEM-type est  une couche de collecte filtrant différentes sources pour ne conserver que les événements de sécurité informatique. C'est aussi une couche de stockage souvent centralisé, une couche de valorisation (corrélation, alerte, reporting) permettant d'exploiter les événements de sécurité et une couche de présentation.

Les mauvaises langues diront que le SIEM-type est surtout une usine à gaz pour produire un tableau de bord de sécurité, seulement destiné à quelques dizaines de personnes dans l'organisation. Si ce jugement est caricatural, il ne doit pas occulter certains défauts des SIEM.

A savoir, une architecture souvent complexe, une centralisation fréquente des données qui n'est pas toujours compatible avec les contraintes d'utilisation d'une grande entreprise (organisation géographiquement distribuée) et une orientation trop SSI, limitant le ROI « à la source » (filtrage lors de la collecte), même si les SIEM ont trouvé un second souffle bienvenu, avec les grands projets de conformité de type SOX.

Ces critiques récurrentes ont conduit à l'émergence des solutions dites de « Log Management » ou Gestion des Logs, conciliant des possibilités de collecte beaucoup plus larges, des capacités de stockage ad hoc et des fonctionnalités basiques de requête et de reporting.

Ce nouveau marché s'articule aussi bien autour de pure players - LogLogic étant le plus connu d'entre eux - que d'éditeurs de SIEM ayant senti la tendance et complétant leur offre avec des composants dédiés au log management : ArcSight avec ArcSight Logger et ArcSight Connectors, RSA avec certaines appliances de la série LS d'EnVison, NetForensics avec nFX Log One, etc.

La bataille fait rage autour de ce nouvel enjeu, comme en témoignent, par exemple, les sorties simultanées, en avril 2007, des appliances dédiées d'ArcSight et NetForensics et de la nouvelle version des appliances LogLogic.

Portrait-robot d'une solution de log management

Malgré cette effervescence marketing, les différents acteurs du marché semblent converger plus ou moins rapidement vers une architecture générique qui s'appuie sur des appliances plutôt que sur des composants logiciels (simplicité d'installation puis d'administration, réduction des coûts matériels et de fonctionnement).

Les appliances de collecte, dimensionnées pour collecter plus de sources, sans nécessairement les filtrer (entre 1000 et 5000 événements pas seconde ou EPS), se distinguent des appliances de stockage ad hoc (jusqu'à plusieurs To et plusieurs dizaines de milliers d'EPS en entrée) ; sur le modèle des LX et ST de LogLogic.

La collecte s'appuie sur une bibliothèque de connecteurs, si possible sans recourir aux agents : collecte en temps réel syslog ou OPSEC LEA, pooling par l'appliance de collecte, etc. Il faut pouvoir collecter les logs bruts de sources non reconnues. Il faut pouvoir, d'une part, stocker les logs au format brut en offrant des possibilités de requêtes simples (recherches booléennes, expressions régulières) et, d'autre part, stocker les logs collectés pour alimenter un reporting plus poussé. Enfin, l'architecture doit permettre de distribuer géographiquement, la collecte et le stockage, ainsi que les requêtes et le reporting.

Mais, au-delà de ces particularités, le point fort des solutions de log management est de répondre à un plus grand nombre de besoins que les SIEM. Elles permettent aux utilisateurs des différents niveaux de supports informatiques de l'entreprise d'accéder aux logs d'un grand nombre de sources pour résoudre un incident en direct ou l'analyser après-coup.

Les DSSI ou le Contrôle Interne peuvent archiver d'importants volumes d'événements et d'analyses de type « forensic » et les managers accéderont non seulement à des indicateurs opérationnels de sécurité informatique, mais également d'activité réseau, messagerie, internet, etc.

Certes, la manipulation de logs bruts est moins accessible que les données agrégées et consolidées, présentées par un SIEM ; la couche de valorisation d'une solution de log management étant par essence moins riche.

Mais les solutions de log management présentent néanmoins l'avantage d'être assez ouvertes pour packager les requêtes et les rapports les plus fréquents par l'intermédiaire de Web Services et exporter des données vers une solution de valorisation externe : outil de reporting, infocentre, et, pourquoi pas, une solution de SIEM.

Les solutions de log management constituent au final une réponse adaptée aux entreprises pour lesquelles priment la collecte et l'archivage de gros volumes de logs. Elles permettent de diffuser cette information à un public varié, tout en laissant aux entreprises le soin de développer ou d'intégrer les composants de valorisation adaptés.