Qu’est-ce que le SIEM ? Informations de sécurité et gestion des événements expliquées
Les outils de gestion des informations et des événements de sécurité (SIEM) collectent et regroupent les données des journaux et des événements pour aider à identifier et à suivre les violations. Ce sont des systèmes puissants qui donnent aux professionnels de la sécurité d’entreprise à la fois un aperçu de ce qui se passe dans leur environnement informatique en ce moment et un historique des événements pertinents qui se sont produits dans le passé.
Le logiciel SIEM (prononcé sim ; le e est silencieux) collecte et agrège les données des journaux et des événements générées dans l’ensemble de l’infrastructure technologique de l’organisation, des systèmes hôtes et des applications aux dispositifs de réseau et de sécurité tels que les pare-feu et les filtres antivirus. L’objectif d’un outil SIEM est de corréler les signaux de toutes ces données afin de fournir aux équipes de sécurité les informations dont elles ont besoin pour identifier et suivre les violations et autres problèmes.
Le terme « SIEM » a en fait été inventé par les analystes de Gartner en 2005, et ils continuent d’évaluer les différents fournisseurs en utilisant leur méthodologie Magic Quadrant. Vous pouvez voir la tranche 2021 du Magic Quadrant pour SIEM ici. Les entreprises du quadrant « Leaders » incluent Splunk, IBM, Exabeam, Securonix et LogRythm.
SIM contre SIEM
Avant de plonger dans les détails du fonctionnement du logiciel SIEM, nous devons comprendre deux acronymes liés : SIM et SEM.
SIM, Qui veut dire gestion des informations de sécurité, est un outil qui fournit des analyses et des rapports pour historique événements de sécurité avec historique ici signifiant non pas que ces événements font partie d’un événement historique épique et important, mais simplement qu’ils se sont produits dans le passé. Les systèmes SIM sont nés de la discipline de gestion des journaux et travaillent à automatiser la collecte des données de journal à partir de divers outils et systèmes de sécurité et à présenter ces informations aux responsables de la sécurité.
MEB, Qui veut dire gestion des événements de sécurité, est similaire à SIM, bien qu’au lieu de se concentrer sur les données historiques du journal, il tente de travailler en temps réel, ou aussi près que possible, pour identifier des événements spécifiques pertinents pour les professionnels de la sécurité. Par exemple, si un utilisateur quelque part sur votre réseau parvient à élever ses privilèges au statut d’administrateur d’une manière qui sort de l’ordinaire, un système SEM devrait vous en informer.
un système SIEM est simplement un outil qui combine les fonctionnalités des logiciels SIM et SEM. Il est assez rare à ce stade de trouver des logiciels qui n’offrent que des fonctionnalités SIM ou SEM, et le SIEM est à l’ordre du jour depuis une décennie ou plus.
À première vue, il peut sembler étrange que SEM ait fini par être combiné avec SIM plutôt que de le remplacer. L’attrait de recevoir des alertes sur les événements de sécurité en temps réel est évident, et si vous pouvez le faire, à quoi bon extraire des informations d’un vieux journal poussiéreux ? En fait, une grande partie du travail d’un professionnel de la sécurité consiste à travailler à rebours à partir d’alertes en temps réel pour essayer de comprendre ce qui se passe sur votre réseau. Une fois que vous recevez cet avertissement concernant l’utilisateur qui a réussi à se faire administrateur, vous devrez consulter l’historique des connexions et du comportement de cet utilisateur pour essayer d’aller au fond de ce qui se passe, et vous avez besoin d’outils SIM qui peuvent rapidement trouver ces informations pour vous dans vos journaux.
Le logiciel SIEM a donc deux objectifs principaux :
- fournir des rapports sur les incidents et événements liés à la sécurité, tels que les connexions réussies et échouées, l’activité des logiciels malveillants et d’autres activités malveillantes possibles ; et
- envoyer des alertes si l’analyse montre qu’une activité s’exécute contre des ensembles de règles prédéterminés et indique ainsi un problème de sécurité potentiel.
Comment fonctionne SIEM ?
Les journaux et autres données doivent être exportés de tous vos systèmes de sécurité vers la plate-forme SIEM. Ceci peut être réalisé par SIEM agentsdes programmes s’exécutant sur vos différents systèmes qui analysent et exportent les données dans le SIEM ; alternativement, la plupart des systèmes de sécurité ont des capacités intégrées pour exporter les données de journal vers un serveur central, et votre plate-forme SIEM peut les importer à partir de là.
L’option que vous choisirez dépendra de la topographie de votre réseau et des capacités de bande passante, ainsi que des types de systèmes dont vous avez besoin pour obtenir les journaux. La quantité de données transmises et la puissance de traitement nécessaire aux points d’extrémité peuvent dégrader les performances de vos systèmes ou de votre réseau si vous n’implémentez pas les choses avec soin ; Les agents SIEM en périphérie peuvent alléger une partie de cette charge en analysant automatiquement certaines données avant même de les envoyer sur le réseau. Dans tous les cas, vous voudrez vous assurer que l’ensemble de votre infrastructure est instrumentée pour SIEM, à la fois sur site et dans le cloud.
De toute évidence, la quantité de données générées par cette instrumentation SIEM est énorme, plus que votre personnel ne pourrait en analyser. La principale valeur offerte par les suites SIEM est qu’elles appliquent l’analyse des données pour s’assurer que seules les informations utiles sont transmises à votre centre d’opérations de sécurité. Ces plateformes utilisent moteurs de corrélation tenter de connecter des entrées de journal disparates ou d’autres signaux qui ne semblent pas inquiétants en eux-mêmes mais qui, pris ensemble, peuvent causer des problèmes. Ces moteurs, combinés aux techniques spécifiques d’intelligence artificielle et d’apprentissage automatique utilisées pour détecter les attaques, sont ce que divers fournisseurs de SIEM utilisent pour différencier leurs offres les unes des autres.
Les outils SIEM tirent également des informations de flux de renseignements sur les menacesessentiellement, des flux de données mis à jour sur les nouvelles formes de logiciels malveillants et les dernières menaces persistantes avancées. Certains de ces flux sont gérés par les fournisseurs SIEM, mais d’autres sont open source ou gérés en interne par les équipes de sécurité de grandes organisations, et certaines plates-formes SIEM vous permettent d’utiliser vos favoris. D’autres options de personnalisation incluent la possibilité d’intégrer étroitement votre plate-forme SIEM avec des outils de sécurité spécifiques.
Nous avons noté ci-dessus que le SIEM a été initialement adopté pour sa capacité à faciliter la conformité réglementaire ; c’est toujours un rôle important pour ces outils, et de nombreuses plates-formes ont des capacités intégrées qui visent à assurer et à documenter votre conformité avec diverses lois et normes. Et enfin, certaines plateformes SIEM intègrent également des capacités SOAR, qui peuvent automatiser partiellement ou totalement les réponses aux menaces qu’elles détectent.
Principaux outils et fournisseurs SIEM
Comment évaluer les outils SIEM ? OSCde Tim Ferrill a un excellent guide de l’acheteur sur les principales fonctionnalités et considérations qui devraient éclairer votre choix d’un système, y compris s’il s’agit d’un système cloud ou sur site, les capacités d’analyse, l’ingestion de journaux, la correction automatisée et l’accès basé sur les rôles, entre autres. .
La liste de Ferrill examine également certains des principaux fournisseurs SIEM, ce qui constitue un bon guide à travers le paysage de ce segment de marché :
- Exabeam
- IBM
- LogRythme
- Microsoft
- Rapide7
- RSA
- Sécuronix
- Splunk
- FireEye
Tous ces différents fournisseurs ont leurs propres forces et faiblesses. Par exemple, l’offre Azure Sentinel de Microsoft n’est disponible que sur le cloud de Microsoft, mais s’intègre facilement à Microsoft 365 et Windows Defender. La plate-forme de RSA est conçue avec un volume de données massif à l’esprit, tandis que Securonix a une architecture ouverte qui permet d’ajouter une grande variété de plug-ins d’analyse tiers.
Nous devrions prendre un moment pour mettre en lumière Splunk, puisqu’il a été l’un des premiers éditeurs de logiciels à découvrir de l’or dans l’analyse des fichiers journaux. Splunk Enterprise Security s’appuie sur les capacités éprouvées d’analyse et de visualisation des données de l’entreprise pour fournir une solution SIEM intégrée aux informations sur les menaces et disponible dans le cloud ou sur site. IDC soutient que Splunk détient la plus grande part de marché SIEM.
À ce stade, vous devriez avoir une bonne idée de ce que SIEM devrait faire pour votre entreprise. Mais ces plates-formes ne sont pas bon marché, et cela signifie que vous devez faire tout ce que vous pouvez pour vous préparer avant d’en déployer une. Par exemple, les logiciels SIEM nécessitent des données de haute qualité pour un rendement maximal. Et les technologies SIEM sont gourmandes en ressources et nécessitent un personnel expérimenté pour les mettre en œuvre, les entretenir et les perfectionner, dans lesquelles toutes les organisations n’ont pas encore pleinement investi.
Copyright © 2022 IDG Communications, Inc.