Security event manager
Security event manager (SEM, « Gestion des événements de sécurité »), ainsi que les SIM et SIEM connexes, sont des disciplines de sécurité informatique qui utilisent des outils d'inspection des données pour centraliser le stockage et l'interprétation des journaux ou des événements générés par d'autres logiciels exécutés sur un réseau[1] - [2] - [3].
Description
Les acronymes SEM, SIM et SIEM sont parfois utilisés de manière interchangeable, mais font généralement référence aux différents objectifs principaux des produits[4] - [5] :
- Gestion des journaux : se concentre sur la collecte et le stockage simples des messages de journal et des pistes d'audit.
- Gestion des informations de sécurité (SIM) : stockage à long terme ainsi que l'analyse et la création de rapports sur les données des journaux.
- Gestionnaire d'événements de sécurité (SEM) : surveillance en temps réel, corrélation des événements, notifications et vues de la console.
- Gestion des informations et des événements de sécurité (SIEM) : combine SIM et SEM et fournit une analyse en temps réel des alertes de sécurité générées par le matériel et les applications du réseau[6] - [7].
Journaux de logs
De nombreux systèmes et applications qui s'exécutent sur un réseau informatique génèrent des logs qui sont conservés dans des journaux d'événements. Ces journaux sont essentiellement des listes d'activités qui se sont produites, avec des enregistrements de nouveaux événements ajoutés à la fin des journaux au fur et à mesure qu'ils se produisent. Des protocoles, tels que syslog et SNMP, peuvent être utilisés pour transporter ces événements, au fur et à mesure qu'ils sont générés, vers un logiciel de journalisation qui ne se trouve pas sur un hôte distinct de celui sur lequel les événements ont été générés. Les meilleurs SEM fournissent une gamme flexible de protocoles de communication pour permettre la plus large gamme de collecte d'événements.
Il est avantageux d'envoyer tous les événements à un système SEM centralisé pour différentes raisons :
- L'accès à tous les journaux peut être fourni via une interface centrale cohérente.
- Le SEM peut fournir un stockage et un archivage sécurisé, fiable - et compatible avec les obligation legales - des journaux d'événements.
- De puissants outils de création de rapports peuvent être exécutés sur le SEM pour extraire les journaux à la recherche d'informations utiles.
- Les événements peuvent être analysés au fur et à mesure qu'ils atteignent le SEM, et lors du dépassement de seuils, des alertes et des notifications peuvent être immédiatement envoyées aux parties prenantes.
- Les événements connexes se produisant sur plusieurs systèmes peuvent être détectés, ce qui serait compliqué si chaque système disposait d'un journal distinct.
- Les événements envoyés d'un système à un SEM restent sur le SEM même si le système émetteur tombe en panne ou si les journaux qu'il contient sont accidentellement ou intentionnellement effacés.
Analyse de sécurité
Bien que la journalisation centralisée existe depuis longtemps, les SEM sont une idée relativement nouvelle, lancée en 1999 par une petite entreprise appelée E-Security[8], et évoluent encore rapidement. La fonctionnalité clé d'un outil de gestion des événements de sécurité est la capacité d'analyser les journaux collectés pour mettre en évidence les événements ou les comportements sortant de l'ordinaire, par exemple une connexion de compte admin en dehors des heures normales de bureau. Il peut s'agir de joindre des informations contextuelles, telles que des informations sur l'hôte (valeur, propriétaire, emplacement, etc.), des informations d'identité (informations sur l'utilisateur liées aux comptes référencés dans l'événement, telles que le nom/prénom, l'ID, le nom du responsable, etc.), et ainsi de suite. Ces informations contextuelles peuvent être exploitées pour fournir de meilleures capacités de corrélation et de création de rapports et sont souvent appelées métadonnées. Les produits peuvent également s'intégrer à des outils externes de remédiation, de billetterie et de flux de travail pour faciliter le processus de résolution des incidents. Les meilleurs SEM fourniront un ensemble flexible et extensible de capacités d'intégration pour garantir que le SEM fonctionnera avec la plupart des environnements client.
Exigences réglementaires
Les SEM sont souvent vendus pour aider les entreprises à satisfaire aux exigences réglementaires américaines telles que celles de Sarbanes–Oxley, PCI-DSS, GLBA .
Standardisation
L'un des problèmes majeurs dans l'espace SEM est la difficulté d'analyser de manière cohérente les données d'événements. Chaque fournisseur - et meme souvent différents produits d'un même fournisseur - utilise un format de données d'événement propriétaire et une méthode de livraison différents. Même dans les cas où une « norme » est utilisée pour une partie de la chaîne, comme Syslog, les normes ne contiennent généralement pas suffisamment de conseils pour aider les développeurs à générer des événements, les administrateurs à les rassembler correctement et de manière fiable, et les consommateurs pour les analyser efficacement.
Pour lutter contre ce problème, plusieurs efforts de normalisation sont en cours. Tout d'abord, The Open Group met à jour sa norme XDAS en 1997. Celle-ci ne depasse jamais le statut de brouillon. Ce nouvel effort, baptisé XDAS v2, tentera de formaliser un format d'événement, y compris quelles données doivent être incluses dans les événements et comment elles doivent être exprimées. La norme XDAS v2 n'inclura pas les normes de livraison d'événements, mais d'autres normes en cours de développement par le groupe de travail sur la gestion distribuée peuvent fournir un wrapper.
De son coté, MITRE, pour unifier les rapports d'événements developpe l'expression d'événement commune (CEE) qui a une portée un peu plus large car tentant de définir une structure d'événement ainsi que des méthodes de livraison. Le projet cependant vient a manquer de financement en 2014.
Voir aussi
Références
- « Security Event Management » [archive du ] (consulté le ) SIEM
- Preparing for Security Event Management
- A Practical Application of SIM/SEM/SIEM Automating Threat Identification
- Swift, « A Practical Application of SIM/SEM/SIEM, Automating Threat Identification » [PDF], SANS Institute, (consulté le ) : « ...the acronym SIEM will be used generically to refer... », p. 3
- (en) Kelley, « Report: Security Management Convergence via SIM (Security Information Management)—A Requirements Perspective », Journal of Network and Systems Management, vol. 12, no 1,‎ , p. 137–144 (ISSN 1064-7570, DOI 10.1023/B:JONS.0000015702.05980.d2, S2CID 1204926, lire en ligne)
- « SIEM: A Market Snapshot », Dr.Dobb's Journal,
- The Future of SIEM - The market will begin to diverge
- "Novell buys e-Security", 2006, ZDNet