Les 13 meilleurs outils SIEM open source
Il n'existe aucun outil open source offrant une solution SIEM complète et prête à l'emploi. Chaque option présente des compromis : soit une solution SIEM dédiée mais avec des lacunes en matière d'analyse, soit une suite logicielle performante de journalisation et d'analyse qui nécessite l'intégration manuelle de la détection de sécurité.
Voici des outils open source gratuits, proches de la catégorie SIEM, pour construire votre propre solution de A à Z :
Outils SIEM open source
Outil | étoiles GitHub | Cas d'utilisation principal | Tarification |
|---|---|---|---|
Wazuh | Plus de 11 000 | SIEM | ✅ Gratuit (version sur site) |
Graylog | Plus de 7 600 | SIEM | ➕ Freemium |
OSSEC | Plus de 4 600 | SIEM | ➕ Freemium |
SecurityOnion | Plus de 3 600 | SIEM | ✅ Gratuit |
AlienVault OSSIM | 120+ | SIEM | ✅ Gratuit |
La pile ELK | Plus de 17 000 | Référentiel de journalisation et analyses | ➕ Freemium |
Courant | Plus de 13 000 | Référentiel de journalisation et analyses | ➕ Freemium |
OpenSearch | Plus de 10 000 | Référentiel de journalisation et analyses | ➕ Freemium |
Suricata | Plus de 5 000 | Détection d'intrusion | ➕ Freemium |
Snort3 | Plus de 2 800 | Détection d'intrusion | ➕ Freemium |
Ces outils stockent généralement les journaux dans des index Elasticsearch pour une durée de conservation configurable, en fonction des politiques de stockage et de données. Pour l'archivage à long terme, des procédures d'archivage ou des intégrations supplémentaires peuvent être nécessaires.
Fonctionnalités SIEM
*❌ : Nécessite des intégrations d'agents tiers (par exemple, Elastic Agent).
Les plateformes SIEM s'appuient sur des données précises concernant les terminaux. Découvrez comment les logiciels de gestion des terminaux améliorent la détection et la réponse en garantissant une gestion et une sécurité optimales des appareils.
Deux types d'outils open source
Les outils SIEM offrent nativement la plupart des fonctionnalités essentielles : corrélation des journaux, alertes, visualisation et certains rapports de conformité. Ils sont plus directifs et plus faciles à mettre en œuvre. Wazuh et SecurityOnion appartiennent à cette catégorie.
Les plateformes de journalisation et d'analyse sont des outils d'infrastructure de données puissants, excellents pour la collecte, le stockage et la visualisation des journaux , mais elles ne sont pas dotées de fonctionnalités de détection de sécurité. Il faut les considérer comme la base sur laquelle construire un SIEM. La suite ELK, OpenSearch et Graylog Open appartiennent à cette catégorie.
alternatives commerciales
Les outils SIEM open source sont généralement dépourvus des interfaces intuitives de création de règles présentes dans les outils commerciaux. De plus, leurs fonctionnalités de corrélation sont plus basiques et n'offrent généralement pas les capacités prêtes à l'emploi telles que :
- tableaux de bord prêts à l'emploi pour la gestion des journaux
- rapports de conformité (par exemple, PCI-DSS, HIPAA)
- intégrations avec d'autres outils d'entreprise, tels que les pare-feu, les systèmes de protection des terminaux,
Les outils SIEM commerciaux offrent des fonctionnalités SIEM de base, notamment :
- corrélation d'événements, analyse des journaux
- capacité à effectuer une évaluation des risques
- fournir des actions recommandées en fonction des scores de risque
- rétention à long terme jusqu'à 12 mois
- Analyse du comportement des utilisateurs et des entités à l'aide de modèles d'apprentissage automatique préconfigurés
Les outils SIEM commerciaux offrent diverses fonctions d'orchestration et de réponse, ainsi que des moyens d'automatiser les tâches SOC. Certains fournisseurs de SIEM ont intégré des fonctionnalités SOAR pour une meilleure réactivité. Cette évolution est courante, car de plus en plus d'outils de sécurité intègrent des fonctionnalités d'automatisation pour une utilisation plus simple et une productivité accrue. Dans certains cas, cela les classe dans la catégorie SOAR .
Explication des outils SIEM open source
Wazuh
Wazuh est le SIEM open source le plus complet actuellement disponible. Il est fourni sous forme de plateforme complète avec quatre composants : un indexeur (basé sur OpenSearch, qui stocke et indexe les alertes), un serveur (dont le moteur principal collecte les journaux des agents, analyse les événements et identifie les indicateurs de compromission), un tableau de bord (interface web permettant de visualiser les événements et les menaces) et un agent (qui s’exécute sur les terminaux et transmet les événements au serveur).
Il fournit nativement l'analyse des journaux de sécurité, la détection des vulnérabilités, l'évaluation de la configuration de sécurité et la production de rapports de conformité réglementaire, ainsi que des alertes et des rapports basés sur les événements, sans intégration tierce importante.
Voir le concept de Wazuh :
Graylog
Graylog centralise les journaux et propose des alertes et des tableaux de bord via une interface élégante. Il est important de noter que Graylog est distribué sous licence Server Side Public License (SSPL), qui n'est pas une licence open source approuvée par l'OSI ; elle est plus justement qualifiée d'open core ou de licence à code source disponible.
1L'offre gratuite couvre l'agrégation et l'alerte de base des journaux. Les fonctionnalités plus pertinentes pour une utilisation SIEM, telles que le filtrage de la recherche de journaux, l'archivage des journaux, la détection d'anomalies, les visualisations prédéfinies et les rapports de conformité, sont incluses dans l'offre payante Graylog Security. Graylog 7.0 a introduit un point de terminaison expérimental MCP (Model Context Protocol) permettant aux clients LLM de se connecter directement à une instance Graylog pour effectuer des requêtes en temps réel à l'aide d'invites en langage naturel.
OSSEC
OSSEC est un système de détection d'intrusion hôte (HIDS) open source. Il collecte et analyse les données de journalisation et offre certaines fonctionnalités proches d'un SIEM, mais ne dispose pas des composants de gestion et d'analyse des journaux attendus d'un SIEM complet. Il a été largement remplacé par Wazuh, dérivé d'OSSEC et toujours activement développé.
Composants :
- Gestionnaire : Collecte les journaux provenant des sources de données.
- Agents : Collecter et traiter les journaux.
OpenSearch en tant que solution SIEM : OSSEC offre des fonctionnalités SIEM de base : il collecte et analyse les données ; cependant, il lui manque certains des composants de base de gestion et d’analyse des journaux requis.
SecurityOnion
SecurityOnion fonctionne comme un système SIEM et un système de détection d'intrusion (IDS). Il intègre d'autres outils open source tels que Snort, Suricata et Wazuh pour offrir des fonctionnalités complètes de surveillance et de détection des intrusions réseau et système.
SecurityOnion inclut des outils utiles pour une analyse approfondie, tels que Wireshark pour l'analyse du trafic réseau et Network Miner pour la capture de paquets et l'analyse forensique du réseau.
SecurityOnion en tant que solution SIEM :
- Système de détection d'intrusion basé sur l'hôte et sur le réseau : surveille et détecte les activités suspectes sur les hôtes et les réseaux.
- Capture complète de paquets (FPC) : Capture le trafic réseau avec netsniff-ng pour détecter l'exfiltration de données, les logiciels malveillants, le phishing et autres attaques.
- Détection des menaces : Utilise SGUIL dans SecurityOnion pour identifier les activités malveillantes, y compris les échecs de connexion aux pare-feu et aux contrôleurs de domaine, améliorant ainsi la visibilité et les informations.
AlienVault OSSIM
OSSIM est la version open source de la plateforme de gestion de la sécurité unifiée d'AlienVault. Son principal atout réside dans l'intégration d'OpenVAS, un scanner de vulnérabilités open source, qui lui permet de corréler les alertes IDS de Snort et Suricata avec les résultats d'analyses de vulnérabilités ; une fonctionnalité particulièrement utile.
AlienVault OSSIM en tant que solution SIEM : L’un des principaux atouts d’OSSIM réside dans l’intégration d’ OpenVAS (un scanner de vulnérabilités open source). Cela permet à OSSIM de corréler les journaux IDS (provenant d’outils tels que Snort et Suricata) avec les résultats du scanner de vulnérabilités.
OSSIM propose :
- Collecte et traitement des événements.
- Corrélation des données de sécurité provenant de sources multiples.
- Évaluation des vulnérabilités avec intégration OpenVAS.
- Alertes basées sur les événements de sécurité.
Fonctionnalités clés manquantes :
La version open-source d'OSSIM ne possède pas certaines fonctionnalités SIEM disponibles dans la version commerciale, telles que :
- Signalement
- Console de réponse aux événements en temps réel ou d'alerte
- Possibilité d'étiqueter et de séparer les journaux
Pile ELK
La suite ELK est une infrastructure de stockage, de traitement et de visualisation des journaux. Ce n'est pas un SIEM ; c'est la plateforme sur laquelle vous développez des fonctionnalités similaires à celles d'un SIEM. Vous êtes libre de créer vos propres règles de détection, votre logique de corrélation et vos alertes. La suite n'est plus entièrement open source ; une version gratuite reste disponible sous la licence propriétaire d'Elastic.
Composants : Elasticsearch (stockage et indexation), Logstash (agrégation et normalisation des journaux), Kibana (visualisation) et Beats (outil léger d’envoi de journaux). Pour une utilisation SIEM, la version gratuite ne propose pas de moteur de corrélation intégré (l’outil open source Elastalert comble partiellement cette lacune), ni de règles de sécurité intégrées, ni de système d’alerte ou de reporting natif.
La suite ELK en tant que solution SIEM : la suite ELK assure l’agrégation, le traitement et la visualisation des journaux ; cependant, il ne s’agit pas d’un système SIEM complet.
- Fonctionnalités clés manquantes :
- Moteur de corrélation : La version gratuite d’ELK Stack n’intègre pas de fonction de corrélation. Cependant, des alternatives open source existent, telles que Yelp/Elastalert, permettant d’effectuer des corrélations.
- Système de rapports ou d'alertes intégré : il s'agit d'un inconvénient majeur pour l'utilisation des SIEM et les opérations informatiques en général.
- Règles de sécurité intégrées : cela augmente les besoins en ressources et en fonctionnement de la pile.
Courant
Fluentd est un collecteur et un transmetteur de journaux, et non un SIEM. Il collecte les journaux provenant de nombreuses sources et les achemine vers d'autres systèmes pour traitement. Il s'intègre parfaitement avec Elasticsearch, OpenSearch, Splunk et Snowflake, mais n'effectue aucune détection, corrélation ou alerte de menaces, et ne dispose d'aucune couche de stockage.
Fluentd en tant que solution SIEM
- Collecte et transmission des journaux : Fluentd est très efficace pour collecter les journaux provenant de plusieurs sources et les transmettre aux plateformes SIEM pour une analyse plus approfondie.
- Intégration : Fluentd s'intègre parfaitement avec des outils populaires comme Elasticsearch, Splunk et Snowflake en tant que composant essentiel d'ingestion de journaux.
- Traitement des données en temps réel : Fluentd traite les journaux en temps réel, permettant le transfert immédiat des données de journalisation.
Fonctionnalités clés manquantes :
- Détection des menaces : Fluentd n’effectue pas de détection ni d’analyse des menaces, une fonctionnalité essentielle des systèmes SIEM.
- Corrélation des journaux : Elle ne permet pas de corréler les événements provenant de plusieurs sources de données pour identifier les incidents de sécurité complexes.
- Alertes et rapports : Fluentd n’intègre pas les fonctionnalités d’alerte ou de rapport que l’on trouve généralement dans les solutions SIEM.
- Stockage de données à long terme : Fluentd ne propose pas de solutions de stockage pour les journaux ; il se contente de transférer les données vers des systèmes externes.
OpenSearch
OpenSearch, lancé en 2021 comme une bifurcation de Elasticsearch et Kibana, est un projet logiciel libre piloté par AWS. Il comprend OpenSearch (la base de données) et OpenSearch Dashboards (pour la visualisation et l'analyse).
OpenSearch comme solution SIEM : Bien qu’il ne s’agisse pas d’un SIEM complet, OpenSearch permet aux organisations de stocker et d’analyser des données de sécurité. Cependant, à l’instar de la suite ELK, son utilisation nécessite le déploiement manuel de fonctionnalités SIEM essentielles telles que la détection et l’analyse des menaces.
Suricata
Suricata est un système de détection et de prévention des intrusions réseau (IDS/IPS) qui assure une inspection approfondie des paquets et une surveillance du réseau. Suricata n'est pas une solution SIEM complète.
Suricata s'intègre à la suite Elastic Stack for SIEM en utilisant Elasticsearch pour le stockage et l'interrogation des journaux, Filebeat pour le transfert des données et Kibana pour la visualisation et l'analyse des événements de sécurité réseau. Cette configuration permet aux organisations de surveiller et de contrer proactivement les menaces de sécurité en temps réel.
Suricata comme solution SIEM :
- Fonction principale : Suricata analyse le trafic réseau à la recherche d'attaques (similaire à Snort), y compris l'analyse spécifique au protocole (par exemple, HTTP, DNS, SSH) et la détection au niveau de la couche application.
- Alertes : Suricata génère des alertes en temps réel basées sur les anomalies ou menaces détectées, qui peuvent être transmises aux plateformes SIEM pour un traitement ultérieur.
- Points forts : Fournit des informations plus détaillées sur la couche application, telles que la détection du trafic HTTP et SSH.
Renifler
Snort est un système de détection d'intrusion réseau largement déployé, axé sur les attaques réseau : DDoS, analyses de ports furtives et identification du système d'exploitation. À l'instar de Suricata, il ne s'agit pas d'un SIEM complet. Il génère des alertes pour un traitement ultérieur et s'intègre avec Logstash et Splunk pour la corrélation des données. Utilisé seul, il ne propose ni normalisation des journaux, ni stockage centralisé, ni réponse aux incidents.
Snort comme solution SIEM :
- Fonction principale : Détecter les attaques réseau telles que les attaques DDoS, les analyses de ports furtives et l'identification du système d'exploitation.
- Alertes : Snort génère des alertes en fonction des menaces détectées et les envoie à syslog ou à d'autres systèmes de journalisation, qui peuvent ensuite être traités et analysés par une plateforme SIEM.
- Intégration : Snort peut s'intégrer à d'autres outils SIEM comme Elasticsearch, Logstash ou Splunk pour une corrélation et une analyse améliorées des événements de sécurité réseau.
- Limitations : En tant que solution autonome, Snort ne propose pas de fonctionnalités SIEM essentielles telles que la normalisation des journaux, le stockage centralisé et une gestion complète des incidents. Elle se concentre exclusivement sur la détection des intrusions réseau.
Zabbix
Zabbix est un outil de surveillance des réseaux et des infrastructures, et non un SIEM. Il peut analyser les journaux des systèmes Windows et Linux et s'avère utile pour collecter des données historiques de performance. Certaines organisations l'utilisent en complément d'un SIEM : Zabbix assure la surveillance de l'état de l'infrastructure et envoie des alertes via des webhooks, tandis que le SIEM gère la corrélation des journaux et l'analyse de sécurité.
Nagios
Nagios surveille l'état des hôtes, des services et des réseaux, en suivant les services réseau (SMTP, HTTP, PING) et les ressources hôtes (CPU, disque), et prend en charge les plugins de surveillance créés par l'utilisateur. Son moteur de serveur de journalisation collecte les données en temps réel, alimente une interface de recherche et gère la rotation et l'archivage automatisés des journaux. Il n'est pas conçu pour la corrélation des événements de sécurité ni pour la détection des menaces.
Caractéristiques principales :
- Surveillance:
- Surveille les services réseau (par exemple, SMTP, HTTP, PING) et les ressources de l'hôte (par exemple, utilisation du processeur et du disque).
- Surveillance des services créée par l'utilisateur via des plugins.
- Gestion des journaux :
- Rotation et archivage automatisés des journaux.
- Filtre les données de journalisation par origine géographique.
- Interface en ligne pour la consultation de l'état du réseau et des journaux.
FAQ
Vous n'avez probablement pas besoin d'un SIEM si vous avez moins de 50 terminaux et aucune obligation réglementaire, si votre organisation utilise principalement des applications SaaS avec une infrastructure sur site minimale, ou si vous n'avez personne pour le surveiller et l'optimiser. Un SIEM non surveillé crée une fausse sécurité, et non une sécurité réelle.
Vous devriez sérieusement envisager d'en utiliser une si vous êtes soumis à des cadres réglementaires tels que PCI-DSS, HIPAA ou RGPD, si vous disposez d'une équipe de sécurité dédiée ou d'un SOC, ou si vous avez besoin d'une visibilité centralisée sur un environnement complexe et multisite.
Pour les petites organisations qui ne disposent pas de ces facteurs, l'externalisation auprès d'un MSSP est souvent plus rentable que la gestion d'un SIEM interne.
Il existe des outils axés sur le SIEM et des plateformes de journalisation/analyse.
Ils offrent nativement la plupart des fonctionnalités essentielles : corrélation des journaux, alertes, visualisation et certains rapports de conformité. Ils sont plus directifs et plus faciles à mettre en œuvre. Wazuh et SecurityOnion en sont les principaux exemples.
Ce sont des outils d'infrastructure de données performants, excellents pour la collecte, le stockage et la visualisation des journaux, mais ils ne comportent pas de logique de détection de sécurité. Il faut les considérer comme la base sur laquelle construire un SIEM, et non comme un SIEM à part entière.
Pour plus de détails :
- Les 10 meilleurs systèmes SIEM : comment choisir la solution la plus adaptée ?
- Plus de 10 alternatives logicielles et open source à SOAR
Liens de référence
Soyez le premier à commenter
Votre adresse courriel ne sera pas publiée. Tous les champs sont obligatoires.