Dans le domaine de l'analyse forensique, l'analyse de logs consiste à exploiter les journaux d'événements et les données de trace (logs) pour reconstituer les activités qui ont eu lieu sur un système informatique.

Cette activité s'avère indispensable lorsqu'il s'agit d'enquêter sur un incident de sécurité (attaque, défaillance, comportement déviant, …).

Pour mener une analyse de logs, il est impératif d'avoir accès aux fichiers de journaux d'événements du système concerné.

• Compréhension du fonctionnement des systèmes informatiques ;
• Connaissance des techniques d'attaques utilisées et des vulnérabilités pouvant être exploitées pour effectuer une analyse de log efficace ;
• Maîtrise des formats de logs courants et des protocoles réseau.

• Des outils d'analyse de logs tels que Splunk, ELK Stack (Elasticsearch, Logstash, Kibana) ou encore Graylog peuvent grandement faciliter l'analyse, bien qu'il soit possible d'effectuer une analyse de base sans outils spécifiques ;
• Un éditeur de texte avancé ou un outil capable de traiter de grands volumes de données textuelles peut également être utile.

Collecter des données de log à partir de différentes sources comme les serveurs, les routeurs, les firewalls et les postes informatiques. Il est important de s'assurer que les données de log soient complètes, intègrent et couvrent la période d'intérêt, car elles constitueront la base de l'analyse.

Analyser les données de log collectées pour trouver des indices pertinents en utilisant, soit une approche manuelle, soit des outils d'analyse automatisés. L'analyse peut inclure la recherche de motifs d'attaques connus, de comportements anormaux, la reconstruction de séquences d'événements et l'identification des acteurs malveillants.

Par exemple, lors de l'analyse des logs d'une application web sur un serveur Apache, pour comprendre une attaque récente, cherchez des modèles d'attaques connus, des adresses IP suspectes ou des User-Agent ayant effectué un nombre anormalement élevé de requêtes sur une courte période.

Consultez les solutions de chaque challenge.

L'analyse de logs peut permettre :

• La découverte de failles de sécurité ;
• L'identification d'acteurs malveillants et de leurs méthodes d'attaque ;
• La compréhension des impacts d'une attaque ou d'une défaillance sur un système.

Les prérequis suivants peuvent permettre de faciliter l'analyse de logs :

• Mettre en place et appliquer une politique de journalisation adaptée au exigences légales et réglementaires ;
• Utiliser des outils de surveillance et d'analyse de logs en temps réel.

• Cyber fiches vulnérabilités