Agregation de logs
Qu'est-ce que Agregation de logs ?
Agregation de logsCollecte, normalisation et stockage centralise des journaux d'evenements de nombreux systemes dans une seule plateforme pour la recherche, l'analyse et la retention.
L'agregation de logs consiste a envoyer les journaux de serveurs, postes de travail, services cloud, equipements reseau et applications vers un depot central comme un SIEM ou un data lake. Des agents ou relais syslog collectent les evenements bruts, les normalisent dans un schema commun, les enrichissent avec des metadonnees et les ecrivent dans un stockage indexe pour que les analystes puissent interroger l'ensemble du parc. C'est la base de la detection, du threat hunting, de la reponse a incidents et de la conservation reglementaire. Les enjeux operationnels incluent synchronisation horaire, couverture des sources, qualite du parsing, cout de stockage et integrite des journaux.
● Exemples
- 01
Transferer auditd Linux, le journal d'evenements Windows et AWS CloudTrail vers un meme index SIEM.
- 02
Utiliser un relais syslog pour expedier les logs du pare-feu vers un stockage froid pendant un an.
● Questions fréquentes
Qu'est-ce que Agregation de logs ?
Collecte, normalisation et stockage centralise des journaux d'evenements de nombreux systemes dans une seule plateforme pour la recherche, l'analyse et la retention. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Agregation de logs ?
Collecte, normalisation et stockage centralise des journaux d'evenements de nombreux systemes dans une seule plateforme pour la recherche, l'analyse et la retention.
Comment fonctionne Agregation de logs ?
L'agregation de logs consiste a envoyer les journaux de serveurs, postes de travail, services cloud, equipements reseau et applications vers un depot central comme un SIEM ou un data lake. Des agents ou relais syslog collectent les evenements bruts, les normalisent dans un schema commun, les enrichissent avec des metadonnees et les ecrivent dans un stockage indexe pour que les analystes puissent interroger l'ensemble du parc. C'est la base de la detection, du threat hunting, de la reponse a incidents et de la conservation reglementaire. Les enjeux operationnels incluent synchronisation horaire, couverture des sources, qualite du parsing, cout de stockage et integrite des journaux.
Comment se défendre contre Agregation de logs ?
Les défenses contre Agregation de logs combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Agregation de logs ?
Noms alternatifs courants : Centralisation des logs, Collecte de logs.
● Termes liés
- defense-ops№ 1039
SIEM
Plateforme qui agrège, normalise et corrèle la télémétrie de sécurité de toute l'entreprise pour la détection, l'investigation, la conformité et le reporting.
- forensics-ir№ 627
Analyse des journaux
Examen systématique des journaux système, applicatifs et de sécurité pour détecter, investiguer et reconstituer des événements pertinents pour la sécurité.
- defense-ops№ 628
Correlation de logs
Joindre des evenements provenant de plusieurs sources par champs partages, fenetres temporelles ou sequences pour reveler une activite multietape qu'un seul log ne montrerait pas.
- defense-ops№ 416
Monitoring d'integrite de fichiers (FIM)
Controle de securite qui detecte les modifications inattendues sur les fichiers systeme, applicatifs et de configuration sensibles en les comparant a une baseline cryptographique de reference.
- forensics-ir№ 524
Réponse à incident
Processus organisé permettant de préparer, détecter, analyser, contenir, éradiquer puis récupérer suite à un incident de cybersécurité, en capitalisant sur les leçons apprises.