Comment intégrer Splunk à UserLock

Les identifiants des employés constituent depuis longtemps le talon d’Achille de la sécurité, et il n’est pas difficile de comprendre pourquoi. Des identifiants volés permettent aux attaquants d’usurper l’identité d’utilisateurs légitimes, ce qui les rend plus difficiles à détecter. Les équipes de sécurité ont besoin d’une visibilité claire sur les événements de connexion et d’authentification afin de détecter les menaces potentielles et de réagir rapidement. Les outils de gestion des informations et des événements de sécurité (SIEM) comme Splunk rendent cela possible en analysant de grandes quantités de données d’événements pour y repérer des schémas et des anomalies. Mais encore faut-il d’abord collecter ces données.

UserLock s’intègre à Splunk de deux manières afin de fournir des données d’authentification en temps réel. Avec UserLock, les équipes peuvent suivre des événements tels que les échecs de connexion, les changements de mot de passe et les tentatives d’authentification multifacteur (MFA), afin d’identifier plus rapidement les activités suspectes et de mettre en place des réponses automatiques pour protéger le réseau.

Qu’est-ce que la sécurité réseau ? Dans de nombreux cas, la réponse la plus simple est la visibilité. Si vous pouvez « voir » ou détecter les traces de données et les anomalies laissées par les attaquants, vous pouvez bloquer leur chemin vers le réseau. Cependant, un obstacle majeur est que même les petits réseaux génèrent de grandes quantités de données, dont la majorité est totalement routinière et sans conséquence.

Les outils SIEM surmontent ce problème de séparation des « bonnes » données et des « mauvaises » données. De plus en plus proposés via des plateformes en mode software-as-a-service (SaaS), les SIEM modernes absorbent et traitent des données provenant d’un maximum de sources, y compris les pare-feu, ainsi que des applications et de nombreux autres appareils. Une fois intégrées dans un SIEM, les données sont corrélées et analysées, générant des alertes de sécurité en temps réel qui permettent de filtrer les événements significatifs du bruit de fond.

Autrefois, filtrer manuellement les données issues d’une poignée de systèmes était considéré comme suffisant. Aujourd’hui, nous comprenons mieux les limites de cette approche. Collecter les données et journaux de toutes les sources possibles est devenu la norme, une tâche que seuls des systèmes automatisés de grande envergure peuvent réellement gérer.

La croissance des données générées par les machines au cours des dernières décennies est l’une des plus grandes évolutions de l’informatique. À l’origine, ces données machine se limitaient aux informations de routine provenant d’appareils tels que les PC, les imprimantes et les serveurs, signalant leur état lors du démarrage, de l’arrêt ou du redémarrage. Puis les réseaux sont devenus plus complexes et les données générées par les machines, collectées dans des fichiers journaux, ont massivement augmenté pour inclure chaque appareil, chaque activité, ainsi que ce qui se passait à l’intérieur des applications.

La plupart des gens perçoivent les réseaux comme un ensemble d’objets physiques ou virtuels, tels que des ordinateurs et des applications. Cependant, une autre façon de comprendre le fonctionnement des réseaux est de les voir comme un maillage d’objets générant et communiquant des données chaque fois qu’un événement se produit. Les SIEM se contentent d’écouter et d’enregistrer les traces de ces événements afin d’obtenir une vision plus approfondie, fondée sur les données, de ce que fait le réseau à un instant donné.

Recevoir des données sur les événements d’authentification est essentiel pour les équipes qui utilisent des SIEM comme Splunk. Vous pouvez intégrer les données UserLock à Splunk de deux manières :

• Lecture directe depuis la base de données UserLock : Splunk peut extraire des données depuis une base de données. Il lui suffit d’une colonne incrémentale, indispensable pour récupérer les enregistrements sans en manquer ni en récupérer certains en double. Pour plus d’informations, consultez la documentation Splunk sur la création et la gestion des entrées de base de données.

• Utilisation d’un webhook : Dans ce cas, il n’y a pas d’intégration directe, car le collecteur d’événements HTTP (HTTP Event Collector) utilise un en-tête d’authentification qui n’est pas inclus par défaut dans UserLock. Les clients souhaitant cette fonctionnalité développent généralement un programme simple pour envoyer les événements d’accès du webhook UserLock vers le webhook Splunk en ajoutant l’en-tête d’authentification Splunk.

Le principe est extrêmement simple. Chaque fois qu’un événement d’authentification se produit — par exemple lorsqu’un utilisateur tente une MFA après avoir saisi ses identifiants — cet événement est publié vers une URL unique au format JSON ou XML. Le SIEM destinataire peut ensuite interroger cette URL pour en extraire les données. C’est cela, un webhook. L’expéditeur, en l’occurrence UserLock, pousse les données vers une URL web et l’application, Splunk (ou un autre SIEM), les récupère.

Il est important de noter que ces données permettent d’enregistrer non seulement le fait qu’une authentification a eu lieu, mais aussi son contexte détaillé. Par exemple, en plus de l’identifiant de l’utilisateur, un JSON peut également inclure :

• L’horodatage de l’événement

• L’adresse IP ou la géolocalisation de l’utilisateur

• Le type d’authentification utilisé

• Le résultat de l’authentification (réussie ou non)

• Les messages ou erreurs générés par l’utilisateur lors de l’authentification

Si l’utilisateur échoue à s’authentifier ou modifie son mot de passe, cela sera également enregistré, et des webhooks ultérieurs indiqueront qu’un utilisateur a verrouillé/déverrouillé son poste de travail ou s’est déconnecté.

Comme un attaquant peut usurper des notifications JSON, UserLock applique un champ unique et secret « UserLock ID » dans ses communications. Celui-ci permet d’identifier la notification comme provenant de UserLock et non d’un attaquant.

Les SIEM sont des systèmes gourmands en données. Plus ils reçoivent d’informations, plus les équipes IT ont de chances d’identifier des anomalies ou des tentatives de compromission. À tout moment, ces données peuvent s’avérer cruciales, permettant aux équipes de sécurité de mettre en place des automatisations, comme le blocage d’un utilisateur Active Directory (AD) à la suite d’un événement de connexion suspect.

Mais il ne s’agit pas uniquement des alertes générées par les SIEM. L’intégration avec un SIEM permet également de nombreuses automatisations avec des applications tierces. Par exemple, les données issues de ces événements peuvent être utilisées pour enregistrer avec précision les heures de travail et les heures supplémentaires des employés, ou pour s’intégrer à des applications externes permettant aux responsables hiérarchiques d’autoriser facilement des extensions temporaires de temps de connexion pour un utilisateur spécifique.