Correlation de logs
Qu'est-ce que Correlation de logs ?
Correlation de logsJoindre des evenements provenant de plusieurs sources par champs partages, fenetres temporelles ou sequences pour reveler une activite multietape qu'un seul log ne montrerait pas.
La correlation de logs est realisee par les moteurs de regles de SIEM et les pipelines de detection qui relient des evenements entre hotes, utilisateurs et sondes reseau. Les regles s'appuient generalement sur des identifiants tels que nom d'utilisateur, IP source, nom d'hote ou hash de processus, avec des contraintes temporelles (par exemple cinq echecs de connexion suivis d'un succes en dix minutes). Les moteurs a etat suivent les sessions, comptent les occurrences et declenchent des alertes lorsque le motif est observe. Une bonne correlation reduit le bruit par rapport aux signatures unitaires et met en evidence la progression de la kill chain. Les enjeux incluent la normalisation des schemas, la derive d'horloge, les cles a haute cardinalite et l'ecriture de regles generalisables.
● Exemples
- 01
Correler le clic sur un e-mail de phishing avec une anomalie de processus enfant sur le meme poste en quinze minutes.
- 02
Relier une connexion VPN depuis un nouveau pays a l'attribution d'un role privilegie dans le plan de controle cloud.
● Questions fréquentes
Qu'est-ce que Correlation de logs ?
Joindre des evenements provenant de plusieurs sources par champs partages, fenetres temporelles ou sequences pour reveler une activite multietape qu'un seul log ne montrerait pas. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Correlation de logs ?
Joindre des evenements provenant de plusieurs sources par champs partages, fenetres temporelles ou sequences pour reveler une activite multietape qu'un seul log ne montrerait pas.
Comment fonctionne Correlation de logs ?
La correlation de logs est realisee par les moteurs de regles de SIEM et les pipelines de detection qui relient des evenements entre hotes, utilisateurs et sondes reseau. Les regles s'appuient generalement sur des identifiants tels que nom d'utilisateur, IP source, nom d'hote ou hash de processus, avec des contraintes temporelles (par exemple cinq echecs de connexion suivis d'un succes en dix minutes). Les moteurs a etat suivent les sessions, comptent les occurrences et declenchent des alertes lorsque le motif est observe. Une bonne correlation reduit le bruit par rapport aux signatures unitaires et met en evidence la progression de la kill chain. Les enjeux incluent la normalisation des schemas, la derive d'horloge, les cles a haute cardinalite et l'ecriture de regles generalisables.
Comment se défendre contre Correlation de logs ?
Les défenses contre Correlation de logs combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Correlation de logs ?
Noms alternatifs courants : Correlation d'evenements, Regle de correlation.
● Termes liés
- defense-ops№ 1039
SIEM
Plateforme qui agrège, normalise et corrèle la télémétrie de sécurité de toute l'entreprise pour la détection, l'investigation, la conformité et le reporting.
- defense-ops№ 626
Agregation de logs
Collecte, normalisation et stockage centralise des journaux d'evenements de nombreux systemes dans une seule plateforme pour la recherche, l'analyse et la retention.
- defense-ops№ 307
Ingenierie de detection
Discipline consistant a concevoir, tester, deployer et maintenir des detections de securite comme du code, avec une couverture mesurable des techniques adverses.
- defense-ops№ 1147
Threat Hunting
Recherche proactive et fondée sur des hypothèses dans la télémétrie pour identifier des menaces ayant échappé aux détections existantes.
- defense-ops№ 1062
SOAR
Plateforme qui automatise et orchestre les workflows du SOC en enchaînant détections, enrichissements et actions de réponse dans des playbooks exécutés à travers les outils de sécurité.