Conformité SOX

La loi SOX (Sarbanes-Oxley Act) a été adoptée en 2002 aux États-Unis et exige que toutes les entreprises cotées en bourse mettent en œuvre et maintiennent un cadre de contrôles internes renforçant la responsabilité et l’intégrité du processus de reporting financier. Dans la pratique, une telle démarche signifie que le but recherché est de « protéger les actionnaires et le grand public des erreurs comptables et des pratiques frauduleuses dans les entreprises, et d’améliorer l’exactitude des informations fournies par ces dernières » (Source: Digital Guardian: What is SOX Compliance ? 2019 SOX Requirements & More, Juliana De Groot). Les entreprises doivent pouvoir indiquer où sont stockées les données sensibles, comment elles sont stockées et qui y a accès. Le suivi de vos données sensibles et la régulation de l’accès à votre réseau et à vos systèmes étant l’élément fondamental de la conformité SOX, le fait de disposer d’une solution SIEM pour collecter, analyser et visualiser ces informations pour vous, rendra la conformité SOX plus simple et efficace.

Surveillance des systèmes critiques

Les systèmes critiques contenant des données sensibles doivent être surveillés en permanence afin de détecter toute activité suspecte. LogPoint prend en charge les listes et les tables dynamiques, garantissant une évaluation constante des risques. Dans LogPoint, les listes dynamiques collectent et stockent des valeurs spécifiques à partir d’événements et permettent des mises à jour dynamiques à l’aide des valeurs des messages de log, tandis que les tables dynamiques stockent les champs et les valeurs de champ spécifiés pendant l’exécution (runtime) pour être utilisés comme sources d’enrichissement. En permettant aux analystes de définir des listes et des tables dynamiques, les entreprises peuvent réduire le temps de détection et répondre aux incidents plus rapidement. En combinant des listes dynamiques avec un enrichissement statique, nous permettons également à nos clients de créer des analyses auto-configurables afin de réagir automatiquement aux nouvelles observations faites au niveau des données, accélérant ainsi la réponse.

Exemple

Connexions non privilégiées aux systèmes critiques

LogPoint SIEM use cases Un-privileged connections to critical systems

Sources de logs : Firewall

Requête

label=Connection label=Allow destination_address IN CRITICAL_SYSTEMS -source_address IN PRIVILIGE_SYSTEMS | chart count() by source_address order by count() desc

Assurer la sécurité du réseau

La sécurité du réseau garantit que la Triade CIA pour l’infrastructure réseau et les données associées soit bien respectée. Les trois composants de la Triade sont la Confidentialité, l’Intégrité et la Disponibilité (Confidentiality, Integrity and Availability). La Confidentialité garantit que votre réseau ne soit pas accessible à des utilisateurs ou réseaux non autorisés. L’Intégrité garantit que les fichiers ou les données au repos ou en mouvement soient bien protégés contre toute modification non autorisée. La Disponibilité garantit que le système et le réseau soient effectivement opérationnels chaque fois que nécessaire.

LogPoint s’intègre à une large gamme de périphériques réseau et pare-feu. Les données de ces appareils peuvent être normalisées, agrégées, enrichies et corrélées pour assurer la sécurité à l’intérieur du réseau. De plus, les flux de renseignements sur les menaces (Threat Intelligence) peuvent être utilisés pour enrichir les données de log afin de comprendre si le réseau est ciblé par un attaquant externe. LogPoint peut vérifier diverses activités telles que les connexions autorisées et refusées, l’utilisation des données et des applications, la connexion aux sources de menaces ou toute autre activité suspecte. Tout actif, système ou appareil impliqué dans une activité réseau, lorsqu’il est associé à plusieurs indicateurs à haut risque, indique que la posture en matière de sécurité du réseau est menacée. LogPoint peut identifier ces menaces grâce à l’utilisation de requêtes communes entre le pare-feu et les enregistrements d’analyse des vulnérabilités. De plus, les résultats correspondant à cette condition peuvent être vérifiés en termes d’association avec un indicateur de compromission. Cette activité peut être simplifiée grâce à l’utilisation de listes dynamiques, au niveau desquelles une liste de systèmes vulnérables est constamment mise à jour et une alerte est déclenchée chaque fois qu’une connexion est établie à partir d’un IOC correspondant aux valeurs de la liste.

LogPoint SIEM use cases Network security

Sources de logs : Firewall, Vulnerability scanning

Requête

[norm_id=PaloAltoNetworkFirewall label=Threat source_address IN HOMENET -destination_address IN HOMENET destination_address=* | process ti(destination_address)] as s1 join [(col_type=qualys_fetcher OR col_type=tenablesecuritycenter_fetcher OR norm_id=VulnerabilityManagement) source_address=* severity>4] as s2 on s1.source_address=s2.source_address | rename s1.et_ip_address as DestinationAddress, s1.cs_ip_address as DestinationAddress, s2.source_address as SourceAddress, s1.et_category as ThreatCategory, s1.cs_category as ThreatCategory, s1.et_score as ThreatScore, s1.cs_score as ThreatScore, s2.title as VulnerabilityPresent | chart max(ThreatScore) as ThreatScore by SourceAddress, VulnerabilityPresent, DestinationAddress, ThreatCategory order by ThreatScore desc limit 10

Surveillance des politiques

Les politiques IT définissent les directives relatives à la sécurité auxquelles les employés doivent se conformer afin de maintenir le plus haut niveau de sécurité. Toute modification des politiques IT d’une entreprise est essentielle et doit donc être étroitement surveillée. LogPoint peut facilement détecter les changements de politique tels que l’audit, l’authentification, l’autorisation, le filtrage, etc.

Exemple

Modifications de la politique d’audit

LogPoint SIEM use cases Audit policy changes

Sources de logs : Windows Server

Requête

label=Audit label=Policy label=Change | chart count() by log_ts, user, message

Contrôle d’accès basé sur les rôles

LogPoint vous offre une gestion flexible et puissante des utilisateurs et des comptes (User and Account Management), pilotée par un mécanisme de contrôle d’accès basé sur les rôles au niveau duquel l’accès des utilisateurs peut être lié à une AD (Active Directory) via un LDAP (Lightweight Directory Access Protocol) pour une création de compte utilisateur simplifiée. Ces utilisateurs peuvent ensuite être affectés à des groupes spécifiques à LogPoint. Les autorisations de groupe pour le système sont alignées sur une approche basée sur les rôles au niveau des droits administratifs, donnant ainsi le contrôle total sur l’accès aux référentiels de log et l’utilisation du tableau de bord, les droits d’opérateur à des fins de données et d’analyse et enfin l’administration des comptes utilisateur pour la gestion des utilisateurs, groupes et autorisations.