Détection : optimiser la collecte de logs

Théophane Villedieu

Centraliser les logs et enrichir les événements facilite la détection d’incidents. Ce court article présente les formats recommandés et les champs essentiels à conserver.

La qualité de la détection dépend d’abord de la qualité des données collectées. Sans logs complets, corrélés et enrichis, même le meilleur moteur de détection aura des angles morts. Cet article explique comment concevoir une collecte de logs efficace et adaptée aux besoins opérationnels.

Sources de logs à prioriser

  • Systèmes d’authentification (Active Directory, IAM cloud)
  • Pare-feux et gateways
  • Endpoints et agents EDR
  • Applications critiques (serveurs web, bases de données)
  • Services cloud et API

Champs essentiels et format

Chaque événement doit contenir des éléments minimaux :

  • horodatage
  • hôte/source
  • utilisateur
  • action
  • résultat
  • contexte (URL, processus, commande) Standardisez les formats (JSON ou ECS) pour faciliter la normalisation et la corrélation.

Enrichissement des événements

L’enrichissement ajoute du contexte utile :

  • géolocalisation d’IP
  • réputation d’URL
  • mapping d’actifs (criticité, propriétaire)
  • balises d’environnement (prod/test) L’enrichissement rend les règles plus précises et réduit le bruit.

Centralisation et rétention

Une plate-forme centralisée (SIEM ou alternatives modernes) permet l’analyse à l’échelle. Définissez les durées de rétention en fonction des besoins réglementaires et forensic, et archivez les logs sensibles de manière chiffrée.

Pipeline et filtres

Construisez un pipeline performant :

  • collecte
  • parsing
  • enrichment
  • stockage
  • indexation Implémentez des filtres pour réduire le volume (ex. suppression de logs trop verbeux ou non pertinents) mais conservez toujours ce qui est utile pour une enquête post-incident.

Tests et validation

Validez la couverture en simulant scénarios d’attaque et en vérifiant que les événements nécessaires sont présents et exploitables. Mesurez le délai moyen entre l’évènement et la disponibilité dans le SIEM.

Gouvernance et qualité

Attribuez la responsabilité des pipelines de logs et mettez en place des contrôles de qualité :

  • monitoring de la latence
  • alertes en cas de perte de sources
  • revue périodique des mappings d’actifs

Conclusion

Une collecte de logs bien conçue est le socle de toute stratégie de détection efficace. En standardisant, en enrichissant et en testant régulièrement vos pipelines, vous augmentez la probabilité de détecter et répondre rapidement aux incidents.