Logs de sécurité

Que sont les logs de sécurité dans le cloud ?

Les logs de sécurité cloud sont des enregistrements textuels structurés qui capturent les événements et activités au fur et à mesure qu’ils se produisent dans un environnement cloud, offrant une visibilité sur ce qui s’y passe en temps réel. Grâce à cette visibilité critique sur le fonctionnement des systèmes, les logs sont essentiels pour identifier et atténuer les menaces potentielles. Les logs de sécurité constituent souvent le seul moyen d’obtenir une visibilité en temps réel dans les environnements cloud où :

• le modèle de responsabilité partagée implique que les utilisateurs finaux n’ont pas le contrôle complet de l’infrastructure ;

• les solutions de sécurité basées sur des agents ne sont pas toujours envisageables.

Même si les logs de sécurité cloud partagent de nombreuses similitudes avec les logs traditionnels sur site, certaines différences sont majeures. La complexité et la verbosité des logs de sécurité cloud sont souvent bien plus élevées que dans les environnements traditionnels. Il est également courant que chaque service cloud ait son propre format de log, et que les logs soient répartis sur de multiples sources.

Dans cet article, nous présentons le contexte indispensable autour des logs de sécurité cloud et expliquons comment ils s’inscrivent dans le paysage de la détection et de la réponse cloud. C’est parti !

Cloud Logging Tips and Tricks: Everything You Need to Know

We review different log types and unveil our favorite tricks that we've picked up over the years to optimize logging configuration without straining budgets.

Votre adresse e-mail professionnelle ici

Download

Pourquoi les logs de sécurité sont-ils importants en cybersécurité ?

Les logs offrent une visibilité continue sur l’infrastructure, les applications et les services cloud. Des logs d’événements de sécurité robustes jouent un rôle clé dans sa stratégie globale de sécurité cloud de plusieurs façons :

• Supervision : Les logs cloud permettent de superviser en continu son environnement cloud en temps réel, ce qui est indispensable pour maintenir la sécurité. Ils permettent de détecter rapidement des comportements malveillants et d’autres problèmes pouvant conduire à des violations de sécurité.

• Détection et réponse aux incidents : Parce que les logs fournissent des informations en temps réel, les équipes peuvent agir dès qu’une anomalie est détectée. En agissant vite, les équipes de sécurité peuvent éviter des conséquences majeures en empêchant une compromission avant qu’elle ne démarre.

• Forensique : Après un incident de sécurité, les fichiers de logs associés au système affecté contiennent des informations précieuses pour comprendre et investiguer l’étendue de la compromission.

• Conformité : Certains secteurs sont soumis à des exigences réglementaires strictes. Des politiques, des normes ou des lois peuvent imposer à une entreprise de journaliser des informations spécifiques. Les logs jouent un rôle central en conformité, car ils sont considérés comme une source de vérité fiable qui capture ce qui s’est produit et quand.

Quels sont les types de logs d’événements de sécurité cloud les plus courants ?

Les logs peuvent documenter l’ensemble de l’activité d’un système, alimentés par de nombreuses sources différentes. Dans cette section, nous passons en revue les différents types de logs. Pour simplifier, nous les avons regroupés selon le cadre de Wiz afin d’indiquer quels logs consulter pour trouver les informations recherchées.

Logs d’identité

Les logs d’identité enregistrent les activités liées à l’authentification et à l’autorisation. Autrement dit, ils suivent ce que font les utilisateurs dès leur connexion. Ils incluent généralement les identifiants des utilisateurs, les tentatives d’authentification, les connexions réussies et échouées, ainsi que les détails de session. D’autres éléments peuvent inclure des horodatages, des adresses IP, les types d’authentification (mot de passe, méthodes d’authentification multifacteur, etc.) et les résultats des tentatives d’authentification.

Au-delà de la simple capture de données, les logs d’identité sont essentiels pour renforcer la sécurité via une analyse complète des comportements utilisateurs. En fournissant une visibilité détaillée des activités dans le temps, ils aident à établir des profils comportementaux et à détecter des anomalies. Certains systèmes de sécurité attribuent des scores de risque aux actions réalisées par les utilisateurs et signalent les activités critiques pour investigation. Par exemple, une séquence de tentatives de connexion échouées pour un identifiant donné depuis un lieu inhabituel peut indiquer une attaque par force brute, nécessitant une action immédiate comme le verrouillage du compte.

Logs d’événements de données

Les logs d’événements de données consignent les événements liés aux modifications et aux accès aux données. Chaque entrée de log précise quelles données ont été consultées, par qui, à quel moment, en quelle quantité, et depuis quel emplacement.

Les logs de modification de données détaillent tout changement apporté aux données. Leurs composants incluent souvent l’identifiant de l’utilisateur, l’identifiant de l’objet de données, les types d’opérations effectuées (lecture, écriture, suppression, mise à jour), les horodatages et l’adresse IP source. Ces logs jouent un rôle clé pour préserver le principe d’intégrité en cybersécurité grâce à une piste d’audit détaillée, qui renforce la transparence et réduit la surface d’attaque.

Logs réseau

Les logs d’événements réseau incluent généralement des informations telles que :

• les adresses IP source et destination ;

• les numéros de port ;

• les protocoles utilisés ;

• le volume de données transféré.

En analysant ces éléments, les analystes des menaces peuvent détecter des schémas dans le trafic, identifier des anomalies et mettre au jour des menaces potentielles au sein du réseau.

Les logs réseau sont essentiels pour la détection et l’atténuation des menaces, le suivi des performances et le bon fonctionnement des environnements multi-cloud et hybrides. Intégrés à des systèmes de détection d’intrusion (IDS), ils permettent de détecter et de contrer en temps réel des activités malveillantes, y compris la détection précoce d’attaques par déni de service distribué (DDoS). Ils fournissent aussi une visibilité sur l’utilisation de la bande passante, la latence et la perte de paquets, contribuant à prévenir la congestion.

Logs de calcul

Les logs de calcul surveillent l’utilisation et les activités des ressources de calcul, comme les machines virtuelles, les conteneurs et les fonctions serverless. Ils incluent des détails sur l’utilisation du CPU et de la mémoire, les entrées de démarrage/arrêt des instances, les activités d’autoscaling et les messages d’erreur. Les composants clés des logs de calcul sont l’identifiant d’instance, les métriques d’usage des ressources, les horodatages et les types d’événements.

En complément de la télémétrie au niveau hôte fournie par un runtime sensor, la journalisation des informations de calcul apporte plusieurs avantages stratégiques aux organisations. Elle améliore notamment l’optimisation des performances via des ajustements d’allocation de ressources et de répartition de charge, fondés sur l’analyse des profils d’usage.

Elle facilite des capacités d’automatisation robustes en fournissant les données nécessaires au scaling et à l’intégration avec des outils d’orchestration. Cela assure une gestion efficace et des performances optimales des applications conteneurisées. Par exemple, en surveillant des plateformes de conteneurs comme Kubernetes, on peut détecter rapidement une hausse soudaine de nouveaux workloads. C’est le signe potentiel d’un problème sérieux, éventuellement un cryptomineur déployé dans un cluster Kubernetes dont l’activité provoque une tension sur les ressources et une dégradation des performances.

Les logs de calcul peuvent aussi améliorer les résultats financiers. Les économies potentielles vont d’une facturation plus précise à l’identification d’opportunités de réduction des coûts, en passant par l’assurance d’une haute disponibilité. Ajoutez à cela un minimum d’interruptions et de pertes de données grâce aux opérations de reprise.

Le blog de Wiz

Intro to forensics in the cloud: A container was compromised. What’s next?

En savoir plus

Logs de contrôle et d’audit

Les logs de contrôle et d’audit suivent les changements de configuration et les actions administratives. Ils enregistrent qui a fait quoi, quand et comment, couvrant des actions comme des mises à jour de politiques, des modifications de permissions et le déploiement de nouveaux services. Leurs composants clés incluent l’identifiant de l’utilisateur, la description des changements, les horodatages et les ressources affectées.

Comme nous l’avons vu, les logs de contrôle et d’audit aident à répondre aux exigences réglementaires en fournissant des enregistrements détaillés. Ils soutiennent aussi des mesures de sécurité proactives en :

• appliquant des politiques de sécurité ;

• enregistrant les écarts ;

• permettant des alertes en temps réel sur des activités suspectes.

Dans les environnements cloud multilocataires, ils suivent les changements spécifiques à chaque locataire afin de garantir l’isolation entre tenants.

Autre avantage majeur : leur intégration avec les services cloud donne aux équipes sécurité une vue unifiée des actions administratives effectuées sur l’infrastructure cloud. Par exemple, les logs d’audit peuvent aider à détecter des attaques au niveau du plan de contrôle en identifiant des modifications non autorisées de rôles Identity and Access Management (IAM). Si un acteur malveillant réalise une escalade de privilèges en s’ajoutant à un rôle à droits élevés, les logs d’audit enregistreront cette modification non autorisée. Ils déclencheront également des alertes pour une investigation et une réponse immédiates, afin de prévenir des dommages supplémentaires.

Académie Wiz

Qu’est-ce que la sécurité IAM ? Composants, fonctionnalités, bonnes pratiques

En savoir plus

Quel est le rôle des logs de sécurité cloud dans la détection et la réponse cloud ?

Tout au long de cet article, nous avons vu à quel point les logs de sécurité cloud sont essentiels pour une détection et une réponse rapides aux incidents. Examinons maintenant la place des logs dans la détection et la réponse cloud (CDR).

La CDR désigne le processus de détection en temps réel des menaces et de mise en œuvre de réponses adaptées dans l’ensemble de l’écosystème cloud. En analysant les informations fournies par les logs de sécurité cloud, la CDR identifie des menaces courantes ou des anomalies. Elle propose aussi une atténuation rapide et renforce la sécurité globale du cloud.

Les logs de sécurité capturent un large éventail de données qui servent de base pour :

• surveiller les environnements ;

• analyser les activités ;

• détecter les incidents dès que possible.

Ces logs constituent une source d’information cruciale pour la CDR, la corrélation d’événements étant l’une des capacités les plus importantes d’une plateforme de CDR.

Sans détails chronologiques, il serait tout simplement impossible de corréler des événements. Les horodatages, généralement inclus dans les logs de sécurité cloud, indiquent quand des événements spécifiques se sont produits et qui était impliqué. La solution de CDR combine ensuite ces informations pour construire automatiquement une chronologie. Des événements corrélés permettent aux entreprises de :

• comprendre le déroulement d’une attaque ;

• identifier le point de compromission initial ;

• retracer les mouvements latéraux des menaces au sein de l’infrastructure cloud.

Les preuves numériques collectées sont inestimables pour la forensique, car elles permettent aux équipes de sécurité de reconstituer les événements, d’identifier les systèmes compromis et de déterminer les méthodes utilisées par les attaquants.

Par exemple, en cas d’attaque par ransomware, les logs de sécurité documenteront le point d’accès initial, les modifications de fichiers et les communications avec des serveurs externes. L’analyse de ces informations montrera comment l’attaque s’est déroulée, quels actifs ont été chiffrés et quelles mesures l’entreprise doit prendre pour éviter que cela ne se reproduise.

Comment Wiz améliore-t-il la réponse aux incidents ?

Les environnements cloud se complexifient, ce qui amène souvent les équipes sécurité à réagir aux incidents plutôt qu’à les prévenir. L’analyse de plus de 5 millions de workloads cloud montre que les entreprises mettent en évidence en moyenne 200 risques cloud critiques lors de leur premier scan avec Wiz.

Wiz propose une approche innovante qui renforce sa sécurité cloud et réduit sa surface d’attaque en offrant une visibilité globale. Les capacités de détection des menaces de Wiz s’étendent à travers les comptes et les environnements cloud. Vous bénéficiez d’une visibilité sur les configurations, les activités des utilisateurs, les comportements applicatifs et le trafic réseau. En exploitant des analyses avancées appliquées aux logs et aux configurations cloud, Wiz permet aux organisations d’obtenir une compréhension fine de leurs environnements.

Voici comment Wiz aborde l’analyse des logs et des configurations cloud :

• Collecte de données : Wiz s’intègre aux principaux fournisseurs de services cloud tels qu’AWS, Azure et Google Cloud Platform (GCP) pour collecter en continu, en temps réel, des logs et des configurations. Cela garantit une vision à jour de toutes les activités au sein de l’environnement cloud. Wiz prend en charge la détection des accès excessifs dans les environnements GCP à partir des logs d’audit Google. La détection des accès excessifs permet aux clients GCP d’identifier et d’ajuster correctement les permissions. Vous garantissez ainsi le respect du principe du moindre privilège (PoLP) en localisant des utilisateurs qui disposent de permissions trop étendues et en signalant des comptes inactifs. Contrairement à IAM Recommender de Google, qui exige un abonnement premium à Security Command Center (SCC) pour les clients au niveau de l’organisation, la solution de Wiz offre une visibilité homogène sur toutes les formules tarifaires.

• Parsing et normalisation des logs : Wiz extrait et normalise les informations pertinentes à partir des données brutes. Il les standardise dans un format qui facilite l’analyse et la corrélation à travers différentes plateformes et services cloud.

• Analytique comportementale : En appliquant des analyses comportementales avancées et des algorithmes de machine learning aux logs parsés, Wiz recherche des schémas d’activité anormaux susceptibles d’indiquer des menaces.

• Contextualisation avec le Wiz Security Graph : Le Wiz Security Graph est un composant central de la plateforme de Wiz qui corrèle des informations issues de sources diverses telles que des logs, des configurations et des flux externes de threat intelligence. Cette contextualisation enrichit l’analyse en offrant une vue d’ensemble de sa posture de sécurité et en identifiant les relations entre événements et entités au sein de l’environnement cloud.

• Détection basée sur des règles : Pour identifier des activités suspectes ou des indicateurs de compromission (IOC), Wiz utilise des mécanismes de détection basés sur des règles. Ces règles sont mises à jour en continu en fonction des menaces émergentes et des vulnérabilités identifiées par une recherche approfondie.

• Visualisation, reporting et conformité : Wiz fournit des outils de visualisation et des tableaux de bord qui permettent aux équipes sécurité de dégager des informations exploitables sur l’état de sécurité de leur infrastructure cloud. Cela permet aussi d’étayer des décisions éclairées pour la réponse et l’atténuation. Comptez sur Wiz non seulement pour améliorer les temps de réponse aux incidents, mais aussi pour vous aider à se conformer aux exigences réglementaires, renforçant ainsi la gouvernance et la gestion des risques.

Grâce à cette approche globale, Wiz atténue efficacement les risques et renforce les cadres de sécurité cloud. C’est pourquoi notre plateforme tout-en-un est plébiscitée par 40 % des entreprises du Fortune 100 pour renforcer leur sécurité.

Découvrez comment notre approche innovante de la journalisation de sécurité peut élever vos défenses et garantir une protection robuste face à des menaces en constante évolution. Pour voir concrètement comment Wiz peut transformer votre stratégie de sécurité cloud, demandez une démo dès aujourd’hui.

Detect active cloud threats

Learn how Wiz Defend detects active threats using runtime signals and cloud context—so you can respond faster and with precision.

Adresse e-mail professionnelle*

Prénom*

Nom*

Pays

Numéro de téléphone*

Entreprise*

Je souhaite recevoir des informations sur les nouveaux produits Wiz, les actualités du secteur et l’agenda des événements (vous pouvez vous désabonner à tout moment)

Abonnez-moi aux e-mails de synthèse du blog Wiz

Soumettre

Pour plus d’informations sur la façon dont Wiz traite vos données personnelles, veuillez consulter notre Politique de confidentialité.

Votre adresse e-mail professionnelle ici

Demander une démo