La gestion des informations et des événements de sécurité (SIEM) est une approche de la gestion de la sécurité qui combine les fonctions SIM (gestion des informations de sécurité) et SEM (gestion des événements de sécurité) en une seule système de gestion de la sécurité. L’acronyme SIEM se prononce «sim» avec un e silencieux.

Les principes sous-jacents de chaque système SIEM sont d’agréger les données pertinentes de plusieurs sources, d’identifier les écarts par rapport à la norme et de prendre les mesures appropriées. Par exemple, lorsqu’un problème potentiel est détecté, un système SIEM peut enregistrer des informations supplémentaires, générer une alerte et demander à d’autres contrôles de sécurité d’arrêter la progression d’une activité.

Au niveau le plus élémentaire, un système SIEM peuvent être basés sur des règles ou utiliser un moteur de corrélation statistique pour établir des relations entre les entrées du journal des événements. Les systèmes SIEM avancés ont évolué pour inclure l’analyse du comportement des utilisateurs et des entités (UEBA) et l’orchestration, l’automatisation et la réponse de la sécurité (SOAR).

La conformité à la norme PCI DSS (Payment Card Industry Data Security Standard) a initialement conduit à l’adoption du SIEM dans les grandes entreprises, mais les préoccupations concernant les menaces persistantes avancées (APT) ont conduit les petites entreprises à examiner les avantages que les fournisseurs de services de sécurité gérés (MSSP) SIEM peuvent offrir. Le fait de pouvoir examiner toutes les données liées à la sécurité d’un point de vue unique permet aux organisations de toutes tailles de repérer plus facilement les modèles qui sortent de l’ordinaire.

Les systèmes SIEM fonctionnent en déployant plusieurs agents de collecte de manière hiérarchique pour collecter les événements liés à la sécurité des appareils des utilisateurs finaux, des serveurs et des équipements de réseau, ainsi que des équipements de sécurité spécialisés, tels que des pare-feu, des antivirus ou des systèmes de prévention des intrusions (IPS). Les collecteurs transmettent les événements à une console de gestion centralisée, où les analystes de sécurité passent au crible le bruit, relient les points et hiérarchisent les incidents de sécurité.

Dans certains systèmes, le prétraitement peut avoir lieu au niveau des collecteurs de périphérie , seuls certains événements étant transmis à un nœud de gestion centralisé. De cette manière, le volume d’informations communiquées et stockées peut être réduit. Bien que les progrès de l’apprentissage automatique aident les systèmes à signaler les anomalies avec plus de précision, les analystes doivent toujours fournir des commentaires, informant en permanence le système de l’environnement.

Voici quelques-unes des fonctionnalités les plus importantes à examiner lors de l’évaluation des produits SIEM:

• Intégration avec d’autres contrôles. Le système peut-il donner des commandes à d’autres contrôles de sécurité de l’entreprise pour empêcher ou arrêter les attaques en cours?
• Intelligence artificielle (IA). Le système peut-il améliorer sa propre précision grâce à l’apprentissage automatique et à l’apprentissage en profondeur?
• Flux d’informations sur les menaces. Le système peut-il prendre en charge les flux d’informations sur les menaces choisis par l’organisation ou est-il mandaté pour utiliser un flux particulier?
• Rapports de conformité complets. Le système inclut-il des rapports intégrés pour les besoins de conformité courants et fournit-il les organisation avec la possibilité de personnaliser ou de créer de nouveaux rapports de conformité?
• Fonctions d’investigation. Le système peut-il capturer des informations supplémentaires sur les événements de sécurité en enregistrant les en-têtes et le contenu des paquets d’intérêt?

Comment fonctionne le SIEM?

Les outils SIEM fonctionnent en rassemblant les données d’événement et de journal créées par les systèmes hôtes, les applications et les dispositifs de sécurité, tels que les filtres antivirus et les pare-feu, dans l’infrastructure d’une entreprise et en les apportant données ensemble sur une plate-forme centralisée. Les outils SIEM identifient et trient les données dans des catégories telles que les connexions réussies et échouées, les activités malveillantes et autres activités malveillantes probables.

Le logiciel SIEM génère ensuite des alertes de sécurité lorsqu’il identifie des problèmes de sécurité potentiels. À l’aide d’un ensemble de règles prédéfinies, les organisations peuvent définir ces alertes comme étant de priorité faible ou élevée.

Par exemple, un compte d’utilisateur qui génère 25 échecs de connexion en 25 minutes peut être signalé comme suspect mais toujours défini sur une priorité inférieure car les tentatives de connexion ont probablement été faites par l’utilisateur qui avait probablement oublié ses informations de connexion.

Cependant, un compte utilisateur qui génère 130 tentatives de connexion infructueuses en cinq minutes serait signalé comme hautement prioritaire car il s’agit probablement d’une attaque par force brute en cours.

Pourquoi SIEM est-il important?

Le SIEM est important car il permet aux entreprises de gérer plus facilement la sécurité en filtrant les quantités de données de sécurité et la hiérarchisation des alertes de sécurité générées par le logiciel.

Le logiciel SIEM permet aux entreprises de détecter des incidents qui, autrement, pourraient ne pas être détectés. Le logiciel analyse les entrées de journal pour identifier les signes d’activité malveillante.De plus, comme le système rassemble les événements de différentes sources sur le réseau, il peut recréer la chronologie d’une attaque, permettant à une entreprise de déterminer la nature de l’attaque et son impact sur l’entreprise.

Un SIEM Le système peut également aider une organisation à répondre aux exigences de conformité en générant automatiquement des rapports qui incluent tous les événements de sécurité enregistrés parmi ces sources. Sans le logiciel SIEM, l’entreprise devrait collecter les données de journal et compiler les rapports manuellement.

Un système SIEM améliore également la gestion des incidents en permettant à l’équipe de sécurité de l’entreprise de découvrir l’itinéraire qu’une attaque emprunte sur le réseau , identifiez les sources qui ont été compromises et fournissez les outils automatisés pour empêcher les attaques en cours.

Avantages de SIEM

Certains des avantages de SIEM sont les suivants:

• raccourcit le temps nécessaire pour identifier les menaces de manière significative, minimisant les dommages causés par ces menaces;
• offre une vue holistique de l’environnement de sécurité des informations d’une organisation, ce qui facilite la collecte et l’analyse informations de sécurité pour assurer la sécurité des systèmes – toutes les données d’une organisation sont placées dans un référentiel centralisé où elles sont stockées et facilement accessibles;
• peuvent être utilisées par les entreprises pour une variété de cas d’utilisation qui tournent autour des données ou journaux, y compris les programmes de sécurité, les rapports d’audit et de dépannage du bureau et du réseau lp;
• prend en charge de grandes quantités de données afin que les organisations puissent continuer à évoluer et augmenter leurs données;
• fournit des alertes de détection des menaces et de sécurité; et
• peut effectuer une analyse médico-légale détaillée en cas de faille de sécurité majeure.

Limitations du SIEM

Malgré ses avantages, il existe encore des limitations de SIEM, y compris les suivantes:

• Généralement, sa mise en œuvre prend beaucoup de temps car elle nécessite un support pour garantir une intégration réussie avec les contrôles de sécurité d’une organisation et les nombreux hôtes de son infrastructure. Il faut généralement 90 jours ou plus pour installer SIEM avant qu’il ne commence à fonctionner.
• C’est cher. L’investissement initial dans SIEM peut s’élever à des centaines de milliers de dollars. Et les coûts associés peuvent également s’additionner, y compris les coûts de personnel pour gérer et surveiller une implémentation SIEM, le support annuel et les logiciels ou agents pour collecter des données.
• L’analyse, la configuration et l’intégration de rapports nécessitent le talent de experts. C’est pourquoi certains systèmes SIEM sont gérés directement au sein d’un centre d’opérations de sécurité (SOC), une unité centralisée dotée d’une équipe de sécurité de l’information qui s’occupe des problèmes de sécurité d’une organisation.
• Les outils SIEM dépendent généralement de règles pour analyser toutes les données enregistrées. Le problème est que le réseau d’une entreprise génère un grand nombre d’alertes – généralement 10 000 par jour – qui peuvent être positives ou non. Par conséquent, il est difficile d’identifier les attaques potentielles en raison du nombre de journaux non pertinents.
• Un outil SIEM mal configuré peut manquer d’importants événements de sécurité, rendant la gestion des risques liés à l’information moins efficace.

Outils et logiciels SIEM

Certains des outils dans l’espace SIEM, incluez les éléments suivants:

• Splunk. Splunk est un système SIEM complet sur site. Splunk prend en charge la surveillance de la sécurité et offre des fonctionnalités avancées de détection des menaces.
• IBM QRadar. QRadar peut être déployé en tant qu’appliance matérielle, virtuelle ou logicielle, selon les besoins et la capacité d’une entreprise. QRadar on Cloud est un service cloud fourni par IBM Cloud basé sur le produit QRadar SIEM.
• LogRhythm. LogRhythm, un bon système SIEM pour les petites organisations, unifie le SIEM, la gestion des journaux, la surveillance et l’analyse de la sécurité du réseau et des points de terminaison, et l’analyse de la sécurité.
• Exabeam. Le produit SIEM d’Exabeam offre plusieurs fonctionnalités, notamment UEBA, un lac de données, des analyses avancées et un chasseur de menaces.
• RSA. RSA NetWitness Platform est un outil de détection et de réponse aux menaces qui comprend l’acquisition, la transmission, le stockage et l’analyse de données. RSA propose également SOAR.

Comment choisir le bon produit SIEM

Le choix du bon outil SIEM varie en fonction d’un certain nombre de facteurs, y compris le budget d’une organisation et posture de sécurité.

Cependant, les entreprises doivent rechercher des outils SIEM qui offrent les fonctionnalités suivantes:

• rapports de conformité;
• réponse aux incidents et criminalistique;
• surveillance des accès aux bases de données et aux serveurs;
• détection des menaces internes et externes;
• surveillance, corrélation et analyse des menaces en temps réel sur une variété d’applications et de systèmes;
• système de détection d’intrusion (IDS), IPS, pare-feu, journal des applications d’événements et autres intégrations d’applications et de systèmes;
• renseignements sur les menaces; et
• surveillance de l’activité des utilisateurs ( UAM).

Histoire du SIEM

La technologie SIEM, qui existe depuis le milieu des années 2000, a d’abord évolué à partir de la discipline de gestion des journaux, des processus collectifs et des politiques utilisées pour administrer et faciliter la génération, la transmission, l’analyse, le stockage, l’archivage et l’élimination finale des grands volumes de données de journal créés dans un système d’information.

Les analystes de Gartner Inc. ont inventé le terme SIEM dans le rapport Gartner 2005, « Améliorer Sécurité informatique avec gestion des vulnérabilités.  » Dans le rapport, les analystes ont proposé un nouveau système d’information de sécurité basé sur SIM et SEM.

Basé sur des systèmes de gestion de collecte de journaux hérités, SIM a introduit une analyse du stockage à long terme et des rapports sur les données des journaux. SIM a également intégré des journaux avec des renseignements sur les menaces. SEM s’est penché sur l’identification, la collecte, la surveillance et le signalement des événements liés à la sécurité dans les logiciels, les systèmes ou l’infrastructure informatique.

Ensuite, les fournisseurs ont créé SIEM en combinant SEM, qui analyse les données des journaux et des événements en temps réel, assurant une surveillance des menaces , corrélation d’événements et réponse aux incidents, avec SIM, qui collecte, analyse et rapporte les données des journaux.

L’avenir du SIEM

Les tendances futures du SIEM sont les suivantes:

• Orchestration améliorée. Actuellement, SIEM ne fournit aux entreprises qu’une automatisation de base du flux de travail. Cependant, à mesure que les organisations continuent de croître, SIEM devra offrir des capacités supplémentaires. Par exemple, en raison de la commercialisation accrue de l’IA et de l’apprentissage automatique, les outils SIEM devront offrir une orchestration plus rapide pour fournir aux différents services d’une entreprise le même niveau de protection. De plus, les protocoles de sécurité et l’exécution de ces protocoles seront plus rapides, plus efficaces et plus efficaces.
• Meilleure collaboration avec les outils de détection et de réponse gérés (MDR). Alors que les menaces de piratage et d’accès non autorisés continuent d’augmenter, il est important que les organisations mettent en œuvre une approche à deux niveaux pour détecter et analyser les menaces de sécurité. L’équipe informatique d’une entreprise peut implémenter SIEM en interne, tandis qu’un fournisseur de services gérés (MSP ) peut implémenter l’outil MDR.
• Amélioration de la gestion et de la surveillance du cloud. Les fournisseurs de SIEM amélioreront les capacités de gestion et de surveillance du cloud de leurs outils pour mieux répondre aux besoins de sécurité des organisations qui utilisent le cloud.
• SIEM et SOAR évolueront en un seul outil. Recherchez les produits SIEM traditionnels pour profiter des avantages de SOAR; cependant, les fournisseurs SOAR répondront probablement en étendant les capacités de leurs produits.