Accueil🇫🇷Chercher

Security event manager

Security event manager (SEM, « Gestion des événements de sécurité »), ainsi que les SIM et SIEM connexes, sont des disciplines de sécurité informatique qui utilisent des outils d'inspection des données pour centraliser le stockage et l'interprétation des journaux ou des événements générés par d'autres logiciels exécutés sur un réseau[1] - [2] - [3].

Description

Les acronymes SEM, SIM et SIEM sont parfois utilisés de manière interchangeable, mais font généralement référence aux différents objectifs principaux des produits[4] - [5] :

  • Gestion des journaux : se concentre sur la collecte et le stockage simples des messages de journal et des pistes d'audit.
  • Gestion des informations de sĂ©curitĂ© (SIM) : stockage Ă  long terme ainsi que l'analyse et la crĂ©ation de rapports sur les donnĂ©es des journaux.
  • Gestionnaire d'Ă©vĂ©nements de sĂ©curitĂ© (SEM) : surveillance en temps rĂ©el, corrĂ©lation des Ă©vĂ©nements, notifications et vues de la console.
  • Gestion des informations et des Ă©vĂ©nements de sĂ©curitĂ© (SIEM) : combine SIM et SEM et fournit une analyse en temps rĂ©el des alertes de sĂ©curitĂ© gĂ©nĂ©rĂ©es par le matĂ©riel et les applications du rĂ©seau[6] - [7].

Journaux de logs

De nombreux systèmes et applications qui s'exécutent sur un réseau informatique génèrent des logs qui sont conservés dans des journaux d'événements. Ces journaux sont essentiellement des listes d'activités qui se sont produites, avec des enregistrements de nouveaux événements ajoutés à la fin des journaux au fur et à mesure qu'ils se produisent. Des protocoles, tels que syslog et SNMP, peuvent être utilisés pour transporter ces événements, au fur et à mesure qu'ils sont générés, vers un logiciel de journalisation qui ne se trouve pas sur un hôte distinct de celui sur lequel les événements ont été générés. Les meilleurs SEM fournissent une gamme flexible de protocoles de communication pour permettre la plus large gamme de collecte d'événements.

Il est avantageux d'envoyer tous les événements à un système SEM centralisé pour différentes raisons :

  • L'accès Ă  tous les journaux peut ĂŞtre fourni via une interface centrale cohĂ©rente.
  • Le SEM peut fournir un stockage et un archivage sĂ©curisĂ©, fiable - et compatible avec les obligation legales - des journaux d'Ă©vĂ©nements.
  • De puissants outils de crĂ©ation de rapports peuvent ĂŞtre exĂ©cutĂ©s sur le SEM pour extraire les journaux Ă  la recherche d'informations utiles.
  • Les Ă©vĂ©nements peuvent ĂŞtre analysĂ©s au fur et Ă  mesure qu'ils atteignent le SEM, et lors du dĂ©passement de seuils, des alertes et des notifications peuvent ĂŞtre immĂ©diatement envoyĂ©es aux parties prenantes.
  • Les Ă©vĂ©nements connexes se produisant sur plusieurs systèmes peuvent ĂŞtre dĂ©tectĂ©s, ce qui serait compliquĂ© si chaque système disposait d'un journal distinct.
  • Les Ă©vĂ©nements envoyĂ©s d'un système Ă  un SEM restent sur le SEM mĂŞme si le système Ă©metteur tombe en panne ou si les journaux qu'il contient sont accidentellement ou intentionnellement effacĂ©s.

Analyse de sécurité

Bien que la journalisation centralisée existe depuis longtemps, les SEM sont une idée relativement nouvelle, lancée en 1999 par une petite entreprise appelée E-Security[8], et évoluent encore rapidement. La fonctionnalité clé d'un outil de gestion des événements de sécurité est la capacité d'analyser les journaux collectés pour mettre en évidence les événements ou les comportements sortant de l'ordinaire, par exemple une connexion de compte admin en dehors des heures normales de bureau. Il peut s'agir de joindre des informations contextuelles, telles que des informations sur l'hôte (valeur, propriétaire, emplacement, etc.), des informations d'identité (informations sur l'utilisateur liées aux comptes référencés dans l'événement, telles que le nom/prénom, l'ID, le nom du responsable, etc.), et ainsi de suite. Ces informations contextuelles peuvent être exploitées pour fournir de meilleures capacités de corrélation et de création de rapports et sont souvent appelées métadonnées. Les produits peuvent également s'intégrer à des outils externes de remédiation, de billetterie et de flux de travail pour faciliter le processus de résolution des incidents. Les meilleurs SEM fourniront un ensemble flexible et extensible de capacités d'intégration pour garantir que le SEM fonctionnera avec la plupart des environnements client.

Exigences réglementaires

Les SEM sont souvent vendus pour aider les entreprises à satisfaire aux exigences réglementaires américaines telles que celles de Sarbanes–Oxley, PCI-DSS, GLBA .

Standardisation

L'un des problèmes majeurs dans l'espace SEM est la difficulté d'analyser de manière cohérente les données d'événements. Chaque fournisseur - et meme souvent différents produits d'un même fournisseur - utilise un format de données d'événement propriétaire et une méthode de livraison différents. Même dans les cas où une « norme » est utilisée pour une partie de la chaîne, comme Syslog, les normes ne contiennent généralement pas suffisamment de conseils pour aider les développeurs à générer des événements, les administrateurs à les rassembler correctement et de manière fiable, et les consommateurs pour les analyser efficacement.

Pour lutter contre ce problème, plusieurs efforts de normalisation sont en cours. Tout d'abord, The Open Group met à jour sa norme XDAS en 1997. Celle-ci ne depasse jamais le statut de brouillon. Ce nouvel effort, baptisé XDAS v2, tentera de formaliser un format d'événement, y compris quelles données doivent être incluses dans les événements et comment elles doivent être exprimées. La norme XDAS v2 n'inclura pas les normes de livraison d'événements, mais d'autres normes en cours de développement par le groupe de travail sur la gestion distribuée peuvent fournir un wrapper.

De son coté, MITRE, pour unifier les rapports d'événements developpe l'expression d'événement commune (CEE) qui a une portée un peu plus large car tentant de définir une structure d'événement ainsi que des méthodes de livraison. Le projet cependant vient a manquer de financement en 2014.

Voir aussi

Références

  1. « Security Event Management » [archive du ] (consulté le ) SIEM
  2. Preparing for Security Event Management
  3. A Practical Application of SIM/SEM/SIEM Automating Threat Identification
  4. Swift, « A Practical Application of SIM/SEM/SIEM, Automating Threat Identification » [PDF], SANS Institute, (consultĂ© le ) : « ...the acronym SIEM will be used generically to refer... », p. 3
  5. (en) Kelley, « Report: Security Management Convergence via SIM (Security Information Management)—A Requirements Perspective », Journal of Network and Systems Management, vol. 12, no 1,‎ , p. 137–144 (ISSN 1064-7570, DOI 10.1023/B:JONS.0000015702.05980.d2, S2CID 1204926, lire en ligne)
  6. « SIEM: A Market Snapshot », Dr.Dobb's Journal,
  7. The Future of SIEM - The market will begin to diverge
  8. "Novell buys e-Security", 2006, ZDNet

Liens externes

Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.