Snort et SIEM : détection des menaces avancée et centralisée

On ne peut pas se défendre contre ce que l’on ne voit pas. C’est pourquoi la première exigence en cybersécurité consiste à connaître en détail tout ce qui se passe dans nos systèmes. Pour cela, on implémente un IDS (Intrusion Detection System ou système de détection d’intrusions), qui supervise sans relâche chaque recoin de notre réseau, tel l’œil de Sauron, en signalant instantanément les tentatives de brèche et les comportements suspects. Parmi les options disponibles en matière d’IDS, Snort est l’une des plus populaires.
Cette popularité s’explique par son efficacité, son code open source, la qualité de son développement par Cisco, ainsi que sa compatibilité avec Windows, Linux et Unix.
Lorsqu’il fonctionne en tandem avec un SIEM (Security Information and Event Management) — qui permet une analyse et des alertes globales et avancées, voire des actions automatiques (comme envoyer les Nazgûl, ou le SOC, ce qui revient à peu près au même) —, nous pouvons efficacement protéger notre Mordor numérique.
Voyons donc comment fonctionne Snort et comment il s’intègre à un SIEM tel que Pandora SIEM.

Contenu :

Comment fonctionne Snort
Intégration de Snort avec un SIEM
Bénéfices de la détection avancée des menaces avec Snort et un SIEM
Les défis de l’utilisation de Snort avec un SIEM

Comment fonctionne Snort

Snort est un logiciel qui supervise le réseau en analysant les paquets qui le traversent comme un chien renifleur dans un aéroport. Il dispose également de certaines capacités de prévention, ce qui explique pourquoi il se désigne lui-même comme un IPS (Intrusion Prevention System).
Le fonctionnement de Snort repose sur un système de règles, qui définissent les comportements ou activités potentiellement malveillants. En se basant sur ces règles, Snort déclenche une alerte dès qu’il détecte quelque chose qui y correspond. C’est un peu comme s’il disposait d’avis de recherche façon western, et qu’il les comparait à chaque paquet analysé. Grâce à cela, Snort peut détecter des attaques DDoS, des scans de ports, des dépassements de tampon (buffer overflows), etc.
Mais Snort ne s’arrête pas là : c’est un outil hybride combinant principalement la détection par signatures, avec une analyse des protocoles et, dans une certaine mesure, la détection d’anomalies.
Snort utilise deux types de règles :

Les règles communautaires (Community Ruleset) : Téléchargeables et mises à jour gratuitement, elles sont maintenues par des experts de la communauté.
Les règles pour abonnés (Subscriber Ruleset) : Développées, testées et validées par Cisco Talos. En souscrivant un abonnement mensuel, on bénéficie d’un niveau de détection équivalent à celui des clients de Cisco.

Ces règles suivent une syntaxe composée d’un en-tête, ou partie initiale, et d’options dans la partie finale.
Lors de la création ou de la modification d’une règle, la partie la plus importante est le début de l’en-tête, car elle indique l’action que Snort doit entreprendre lorsqu’un paquet correspond à cette règle. Les actions principales sont :

alert : Elle enregistre le paquet et génère une alerte.
log : Elle enregistre simplement le paquet, sans alerte.
pass : Elle ignore le paquet.

Ce sont là des règles IDS, qui détectent et consignent sans intervenir directement. Mais Snort dispose aussi de capacités de prévention, avec des actions supplémentaires comme :

sdrop : La plus simple — bloque le paquet sans l’enregistrer.
drop : Bloque le paquet de manière préventive et l’enregistre.
reject : Elle fait la même chose que drop, mais envoie aussi un paquet de réponse en fonction du protocole (reset pour TCP/ICMP, port unreachable pour UDP).

Après l’action initiale, l’en-tête de la règle inclut les protocoles, ports, adresses IP sources et destinations, ainsi que les options de détection. En comprenant bien cette syntaxe, on peut créer toutes sortes de règles, comme cet exemple simple qui alerte en cas de trafic HTTP :

alert tcp any any -> 192.168.1.0/24 80 (msg: »HTTP Traffic Detected »; flow:to_server,established; sid:100001;)

En clair, cette règle déclenche une alerte sur tout trafic TCP provenant de n’importe quelle IP et port, à destination de l’adresse de sous-réseau 192.168.1.0/24 sur le port 80 (HTTP). Le champ msg définit le message d’alerte, et sid (Snort ID) permet d’attribuer un identifiant unique à la règle, ce qui facilite son gestionnaire de règles.
Comme on le voit, cet œil de Sauron est extrêmement flexible, permettant à l’administrateur :

D’être un utilisateur non enregistré, avec accès libre aux règles communautaires.
D’être un utilisateur enregistré, avec accès aux règles Cisco (mais avec un délai de 30 jours après les abonnés payants).
D’être un abonné payant (personnel ou entreprise), avec accès en temps réel aux règles à jour développées par Cisco.

Snort fonctionne selon plusieurs modes :

Mode Packet Sniffer : Il lit tout le trafic IP du réseau en temps réel et l’affiche à l’écran.
Mode Packet Logger : Il enregistre les paquets dans un fichier journal pour un audit ultérieur.
Mode NIPDS (Network Intrusion and Prevention Detection System) : Dans ce cas, le « chien de garde » n’aboie pas seulement, il mord aussi — Snort passe du statut d’IDS pur à un système qui intervient pour bloquer certaines intrusions simples.

Pour les infrastructures modestes, ce comportement mixte est souvent suffisant : Snort joue le rôle de vigile et policier local. Mais dans des environnements plus complexes, il faudra aller plus loin. En effet, les attaques avancées, comme celles décrites dans le cadre MITRE ATT&CK), arrivent parfois comme des vaisseaux romuliens équipés de dispositifs de dissimulation. Et pour les détecter, il faut des méthodes bien plus évoluées.

Intégration de Snort avec un SIEM

Snort scrute le réseau avec une vision d’aigle, analysant chaque paquet qui y circule. C’est formidable… mais aussi problématique : que ce soit en mode Sniffer ou Logger, Snort génère une énorme quantité de données et d’alertes potentielles.
Mais une chose est claire : beaucoup d’information ne signifie pas forcément beaucoup de connaissance.
En réalité, un excès d’informations nous noie dans une botte de foin, alors que ce que nous cherchons, c’est l’aiguille – et surtout, l’enlever avant de se piquer. C’est là qu’intervient l’intégration avec un SIEM (Security Information and Event Management), un outil spécialisé dans la conversion des données brutes en connaissances exploitables, en distillant ce qui est réellement important et en détectant des menaces avancées.
Grâce à ses capacités de corrélation, un SIEM met en lien ce que Snort enregistre sur le réseau avec ce qu’il reçoit d’autres sources de sécurité (comme des EDR sur les postes, par exemple).
Ainsi, même si la configuration exacte de Snort avec un SIEM dépendra de la solution utilisée, le principe général reste le même : le SIEM ingère les logs de Snort et les inclut dans son analyse.
Le SIEM voit alors la Matrice dans son ensemble.
Certaines plateformes, comme Pandora SIEM, vont plus loin en permettant des corrélations globales et en appliquant du Machine Learning pour identifier des anomalies complexes, qui échappent aux signatures de Snort ou dépassent le seul périmètre du réseau. De cette façon, même un vaisseau romulien masqué ne pourra pas envahir la Zone Neutre sans être détecté.

Bonnes pratiques pour une intégration efficace Snort + SIEM :

Filtrer les alertes de Snort en amont :Inutile de surcharger le SIEM avec du trafic légitime (comme une simple mise à jour Windows, par exemple).
Maintenir Snort et le SIEM à jour.
Tester régulièrement le fonctionnement de Snort : Vérifiez que les règles sont actives, que les logs ne sont pas vides ou pollués par du bruit inutile.
Adapter les règles et les alertes à votre contexte : Chaque entreprise a une surface d’attaque différente. Ce qui est critique pour l’une peut être secondaire pour une autre. Il est donc essentiel que l’administrateur personnalise les règles pour coller à son environnement.

Bénéfices de la détection avancée des menaces avec Snort et un SIEM

L’utilisation conjointe de Snort et d’un SIEM offre des avantages clairs et stratégiques pour la cybersécurité :

Visibilité centralisée des événements de sécurité. Snort supervise le réseau, mais tout ne commence ni ne se termine sur le réseau. D’autres vecteurs d’attaque existent, comme l’insertion d’un malware via un port USB, à travers une clé USB apparemment inoffensive — qui pourrait en réalité être un rubber ducky malveillant.
Grâce à un SIEM, on ajoute à l’« œil de Sauron » de Snort des Palantír à la manière de Saroumane, capables d’observer l’ensemble de l’infrastructure IT, au-delà du réseau.
Détection plus sophistiquée. Même avec une personnalisation poussée des fichiers de règles, Snort reste limité au trafic réseau. En revanche, le SIEM peut analyser et corréler des événements complexes et multi-sources, permettant ainsi de détecter des attaques qui passeraient inaperçues autrement.
Automatisation des réponses. Un SIEM avancé peut automatiser les réponses aux incidents, allant bien au-delà des capacités IPS de base offertes par Snort.
Réduction des faux positifs, des alertes et de la charge de travail. Le SIEM est conçu pour gérer la quantité massive d’informations générées par un IDS. Il filtre, corrèle et priorise, permettant ainsi de gagner du temps, réduire la fatigue des analystes et éviter de se perdre dans les lignes de log interminables.

Les défis de l’utilisation de Snort avec un SIEM

Tout ce qui précède est formidable, car cela permet de transformer notre royaume IT en forteresse numérique, où deux hobbits avec un anneau ne pourraient pas s’infiltrer pour semer le chaos.
Cependant, cela a un prix et comporte certains défis, tels que :

La balance éternelle entre argent et savoir-faire. Même si Snort peut être utilisé sans frais grâce à son code open source, rien n’est réellement gratuit dans la vie, et il faut compenser par des compétences, tant pour la configuration initiale de Snort que pour l’adaptation des règles et l’intégration avec le SIEM.
Maintenance et mises à jour constantes.
Vérification régulière que tout fonctionne correctement après ces mises à jour ou l’implémentation d’une nouvelle règle.
Le bruit, qui peut être atténué grâce à un réglage fin des configurations, des règles avancées et personnalisées (en utilisant des options comme threshold pour augmenter le seuil d’alerte), et en évitant peut-être de générer une alarme à chaque trafic HTTP, comme dans l’exemple analysé plus tôt.

En définitive, Snort met à la portée de toute organisation des capacités avancées de détection d’intrusion sur le réseau. Combiné à un SIEM, il peut ériger de puissants boucliers autour de notre infrastructure IT, mais ce n’est pas une solution prête à l’emploi.
C’est là le principal défi, mais pour les organisations avec une IT même modérément complexe, qui souhaitent suivre des méthodologies comme le
NIST, sont soumises à des réglementations telles que la NIS2, ou pour lesquelles un incident coûte cher, cette combinaison est indispensable.

Isaac García

Siempre con un teclado entre manos, desde el primer ZX Spectrum que abrí de par en par para ver cómo funcionaba, la tecnología ha sido mi pasión y trabajo, de lo que hablo y lo que escribo.

Always with a keyboard in my hands, ever since I opened up my first ZX Spectrum wide to see how it worked, technology has been my passion and my work, what I speak about and what I write about.

Qu’est-ce que Snort, comment cela fonctionne-t-il et quelle est son intégration avec un SIEM pour une cybersécurité renforcée ?

Comment fonctionne Snort

Intégration de Snort avec un SIEM

Bénéfices de la détection avancée des menaces avec Snort et un SIEM

Les défis de l’utilisation de Snort avec un SIEM

SEARCH BLOG

Latest articles

Optimisez votre analyse d’événements : rapports, filtres dynamiques et parsing de logs dans le SIEM de Pandora FMS

Gestion des changements dans Pandora ITSM avec traçabilité complète et workflows personnalisés

Qu’est-ce qu’un calculateur IP et comment l’utiliser pour gérer efficacement les réseaux

Datadog Alternative : Une comparaison intéressante avec Pandora FMS !

Renforcez la sécurité avec SAML : Pandora FMS est désormais compatible avec Azure Entra ID

Blog categories