Comparatif de solutions SIEM : Splunk et ELK

I – Introduction aux solutions SIEM

Les différents équipements réseaux (pare-feu, switch, routeur, applications, base de données, serveurs…) stockent de plus en plus d’historique d’événements plus souvent appelés logs. Ces logs permettent d’analyser presque en temps réel l’activité d’un processus. Les logs sont donc principalement utilisés pour tenter d’identifier les raisons et les origines d’une panne d’un équipement.

Un système SEM (Security Event Management) centralise le stockage et l’interprétation des logs, et permet une analyse en quasi-temps réel. Le personnel de sécurité peut ainsi mieux s’organiser pour prendre des mesures défensives plus rapidement.

Un système SIM (Security Information Management) collecte des données et les place dans un référentiel  central à des fins d’analyse de tendances. Il est ensuite possible de générer des rapports centralisés et automatisés.

Ainsi, un SIEM (Security Information and Event Management) collecte tout document lié à la sécurité, essentiellement les logs (rôle du SEM) pour ensuite les analyser (rôle du SIM).

II –  Les différentes / principales solutions SIEM du marché

Une solution SIEM doit avant tout être évolutive car la réglementation et les sources de données peuvent évoluer. Elle doit être donc relativement simple à déployer et à maintenir, et doit pouvoir apporter le stockage à long terme des rapports associés.

Nous allons nous intéresser ici aux principales solutions SIEM du marché OpenSource et Propriétaires.

Les solutions OpenSource

SIEM open source.PNG

Parmis les solutions SIEM OpenSource les plus connues, on retrouve OSSIM d’Alien Vault, Wazuh couplé de l’HIDS (Host-based Intrusion Detection System) Ossec. Enfin, la « stack » ELK composé d’Elasticsearch Logstash et Kibana qui est la SIEM open source la plus utilisé aujourd’hui.

Les solutions Propriétaires

Siem propriétaire.PNG

Il existe une abondance de solutions SIEM propriétaires. Splunk s’impose comme le leader des solutions SIEM actuelles. Il en existe cependant beaucoup d’autres qui peuvent rivaliser comme LogRhythm ou encore IBM QRadar.

III – Comparaison de Splunk et ELK

Capture

Nous allons ici nous intéresser tout particulièrement aux deux principales solutions SIEM du marché à savoir Splunk (propriétaire) et la stack open source ELK.                      A titre d’information, Splunk est entre autre utilisé par des entreprises comme Adobe, Coca-Cola, ING. Les clients d’ELK sont tout aussi important comme Ebay, Netflix, Cisco…

Présentation d’ELK

Comme nous l’avons vu précédemment, ELK est composé de trois logiciels open source, sponsorisé par la société Elastic.

Logstash est un outil qui ingère différentes données du parc IT : logs, base de données, web service etc…  Logstash récupère toutes les données, les ingère, les transforme et les envoie ensuite à la base de donnée ElasticSearch.

ElasticSearch est un moteur de recherche (en Json) qui permet de retrouver les donnés que l’on recherche dans logstash.

Kibana est l’interface graphique qui permet de naviguer dans les données de Elasticsearch. On peut ensuite générer des tableaux, des graphiques, des camemberts à partir de Kibana.

Enfin, il existe autre alternative à logstash pour formater et expédier différents types de données dans ElasticSearch. Il s’agit de Beats, comme par exemple Filebeat, qui est un outil à installer sur les serveurs pour que les données soient transmisses à logstash.

Cela permet de régler le problème de logstash qui est connu pour ses longues périodes de démarrage et qui était avant la principale option pour l’envoi de données à ElasticSearch.

Présentation de Splunk

Splunk est un SIEM propriétaire mais qui possède une version gratuite. Cette version gratuite vous permets de stocker jusqu’à 500Mo de logs par jour. Splunk se suffit à lui-même pour ingérer les données, les transformer et les analyser.

Splunk dispose également de plusieurs forwarders à installer sur les équipements à superviser afin qu’ils puissent envoyer leurs logs vers Splunk.

Comparaison

Capacités

Splunk et ELK / Elastic Stack sont des plates-formes d’analyse et de gestion de logs puissantes et complètes. Les deux sont hautement personnalisables et disposent de plusieurs fonctions : rapports avancés, capacités de recherche avancée,  alertes / notifications, visualisations des données et plus encore.

Installation

Splunk est très complet et très simple d’installation. En effet, il suffit de récupérer l’archive sur leur site officiel, de suivre les procédures d’installation et l’interface de Splunk est déjà accessible. Pour ce qui est de la configuration, elle est aussi relativement simple puisqu’elle se fait principalement via l’interface web.

La plus grande critique que l’on peut faire sur Splunk est qu’il soit propriétaire donc payant. Du côté d’ELK, bien que gratuit et open source, son installation et sa configuration sont plus complexes.

Traitement des données

add data splunk

 

L’envoi de données à Splunk est relativement facile. Depuis l’interface web, il est possible d’importer directement des données ou de configurer un port d’écoute (pour les données syslog des équipements réseaux par exemple) ou encore de transmettre d’autres types de données grâce aux différents forwardeurs de Splunk. Autre avantage pour Splunk, celui de pouvoir extraire des champs de données à tout moment, les données étant stockées au format brut.

Pour ELK, il est nécessaire de configurer Logstash de sorte que celui-ci transmette les données à ElasticSearch. La configuration de Logstash peut être compliqué pour ceux qui ne travaillent pas avec les langages de script tels que Bash, Python ou Ruby. Il existe tout de même un bon support en ligne et une communauté importante.

Interface web et recherche

Pour visualiser les différentes données, les interfaces web de Splunk et Kibana pour Elk sont similaires. Il est possible pour les deux plateformes de générer des tableaux, graphiques, camemberts et d’enregistrer le tout dans des tableaux de bords.

La recherche d’information des logs se fait sur l’interface web de Splunk et Kibana. La syntaxe de requête de Kibana est basée sur la syntaxe de requête Lucene (bibliothèque open source écrite en Java qui permet d’indexer et chercher du texte).  Splunk utilise lui sa propre syntaxe de requête SPL (Splunk Search Processing Language). Ceux qui connaissent les langages de scripts peuvent se familiariser plus rapidement avec Kibana étant donné qu’il utilise une bibliothèque open source. Pour Splunk, SPL est propriétaire et il faudra donc l’apprendre.

Personnellement, j’ai une petite préférence pour ELK que je trouve plus simple d’utilisation une fois installé et configuré. L’interface web de Kibana est certes moins complète que celle de Splunk mais est plus intuitive. Splunk permet d’aller bien plus loin que Kibana mais il faudra aussi y passer plus de temps.

Prix

Splunk dispose de plusieurs versions. La version gratuite limitée à 500 Mo de données par jours ne bénéficie pas entre autre des fonctions d’alertes et de supervision. Il faut en effet passer à la version Splunk Enterprise si vous souhaitez profiter pleinement de toutes les fonctionnalités de Splunk (alertes, monitoring, pas de limite de données…). De plus, avec la version free, en cas de problème vous n’aurez que l’aide de la communauté. Il faut en effet souscrire à un des abonnements pour bénéficier du support total de Splunk.

splunk

Source : https://www.splunk.com/fr_fr/products/features-comparison-chart.html

ELK repose sur trois solutions open source mais s’il on veut profiter de plusieurs fonctionnalités comme les alertes, le monitoring, il est possible d’investir dans le « X-Pack ». Ce pack comporte un ensemble de plugins qui viendront complémenter la stack de base ELK. Cela permet de rivaliser avec Splunk qui comporte plus de 1000 add-ons et applications dans son portail d’application.

Comme pour Splunk, il existe différentes offres selon les besoins. La aussi, pour profiter d’un support complet, il est nécessaire de souscrire à une des offres.

xpack

Source : https://www.elastic.co/subscriptions

Gestion des utilisateurs et sécurité

Les versions gratuites de Splunk et ELK (sans le X-pack), ne permettent par exemple pas de gérer plusieurs utilisateurs ce qui peut être problématique dans certaines organisations. De plus, pour ELK, tout le monde à accès à l’interface de Kibana puisque celle ci n’est pas protégée par un mot de passe, il faut la aussi investir dans le X-Pack qui est gratuit 30 jours puis nécessite une licence.

Conclusion

Splunk est souvent plébiscité par les grandes entreprises, il est très complet et très personnalisable.

ELK est également présent dans grand nombre d’entreprises, mais il est plus complexe et il faudra passer plus de temps dans son déploiement.

ELK séduit donc par son absence de licence, Splunk fournit plus d’assistance à l’utilisateur et permet d’extraire des données plus facilement qu’avec Logstash.

Que ce soit pour ELK et Splunk, ils disposent tout deux d’une grande communauté et de nombreuses documentations facilement accessibles.

 

SOURCES :

https://www.upguard.com/articles/splunk-vs-elk

https://devops.com/splunk-elk-stack-side-side-comparison/

https://blog.takipi.com/splunk-vs-elk-the-log-management-tools-decision-making-guide/

https://www.clevernetsystems.com/meetup-controler-efficacement-temps-reel-securite-informatique-de-entreprise/

5 commentaires sur “Comparatif de solutions SIEM : Splunk et ELK

Ajouter un commentaire

  1. Ping: Installation de Splunk et récupération de Syslog sur Debian – Maxime Piazzola
  2. Ping: Installation et configuration de la stack ELK – Maxime Piazzola

  4. Super article et super blog que je viens de découvrir. Depuis hier, les deux dernières versions d’ELK (6.8.0, 7.1.0) permettent de gérer les utilisateurs pour accéder notamment au portail de monitoring, sans avoir a payer de licence. Merci encore pour cette article très instructif et qui répond exactement aux questions que je me posais.

    J’aime

    Réponse

Laisser un commentaire

Créez un site ou un blog sur WordPress.com

Retour en haut ↑