Critique : Ingénierie des Données pour la CyberSécurité

« L’ingénierie des données pour la cybersécurité » vise à combler un vide auquel de nombreuses équipes de sécurité sont confrontées : comprendre comment exploiter le flot de journaux, d’événements et de télémetries qu’elles collectent.

Contenu du livre

Ce livre se divise en quatre parties. La première, « Fondements de l’ingénierie des données sécurisées », introduit des concepts clés tels que l’intégration des données dans un SIEM, la gestion du débit et la normalisation des événements. L’auteur aborde les formats de sérialisation des données tels que JSON, YAML et le Elastic Common Schema, tout en soulignant l’importance de la centralisation temporaire et du caching des événements. Cette section est idéale pour les lecteurs qui n’ont pas de formation formelle en ingénierie des données, mais qui travaillent quotidiennement avec des données dans un contexte de sécurité.

La deuxième partie, « Extraction et gestion des journaux », se concentre sur la collecte. Des chapitres sont dédiés aux données des points de terminaison et du réseau, aux journaux Windows, à l’intégration et au stockage des données, ainsi qu’à l’utilisation de syslog. Ces chapitres présentent des outils comme Filebeat, Winlogbeat et Rsyslog, tout en expliquant comment configurer TLS pour un transport sécurisé des données. L’accent est mis sur une ingestion fiable, avec des discussions additionnelles sur la lutte contre la divulgation de données sensibles avant leur traitement ultérieur.

La troisième partie, « Transformation et normalisation des données », se penche sur la manipulation des données entrantes afin de les rendre plus exploitables. L’auteur explique comment configurer des pipelines Logstash, appliquer des filtres de transformation et enrichir les événements avec du contexte supplémentaire. L’accent est mis sur la création de données cohérentes et utilisables pour la détection, la réponse et la chasse aux menaces. Cette section sera familière à quiconque a travaillé sur la cartographie de journaux divers dans un schéma commun, tout en incluant des exemples concrets pour clarifier le processus.

La dernière partie, « Centralisation, automatisation et enrichissement des données », se concentre sur l’évolutivité et l’efficacité. Elle couvre la centralisation des données de sécurité dans un environnement comme Elasticsearch, l’automatisation des configurations d’outils avec Ansible et le caching des flux de renseignement sur les menaces. Ces chapitres montrent comment l’automatisation peut réduire l’effort manuel tout en améliorant la cohérence au sein d’un programme de sécurité.

Une des forces de cet ouvrage réside dans son accent sur les outils open source. Chaque exemple repose sur des outils que la plupart des équipes peuvent accéder sans approbation budgétaire, rendant cela pratique tant pour les entreprises que pour les environnements à ressources limitées. Même si les étapes peuvent être détaillées, l’auteur ne présume pas de trop, et les explications sont suffisamment claires pour les professionnels de la sécurité qui ne sont pas des ingénieurs à plein temps.

Le style est pédagogique sans être aride. Des captures d’écran, des extraits de configuration et des progressions logiques facilitent le suivi. Le livre ne passe pas beaucoup de temps sur le « pourquoi » de la collecte des données de sécurité, supposant que le lecteur comprend déjà la valeur de celle-ci. Au contraire, il se concentre sur le « comment », ce que recherchent probablement la plupart des praticiens.

Pour qui ?

« L’ingénierie des données pour la cybersécurité » s’adresse principalement aux ingénieurs de sécurité, aux analystes SOC et aux intervenants en cas d’incident qui souhaitent améliorer leurs pipelines de données ou prendre davantage possession de leurs flux de journaux et de télémetries.

Si votre équipe doit passer d’une collecte ad hoc à un pipeline structuré, automatisé et sécurisé, cet ouvrage propose une feuille de route que vous pouvez adapter à votre propre environnement.