Accueil🇫🇷Chercher

Security information and event management

Le Security Information and Event Management (SIEM, « systèmes de gestion des événements et des informations de sécurité »[1]), est un domaine de la sécurité informatique, au sein duquel les produits et services logiciels combinent la gestion des informations de sécurité (SIM) et la gestion des événements de sécurité (SEM). Ils fournissent ainsi une analyse en temps réel des alertes de sécurité générées par les applications et le matériel réseau.

Les SIEM sont vendus sous forme logicielle, matérielle ou sous forme de services gérés. Ces produits sont également utilisés pour enregistrer les données de sécurité et générer des rapports à des fins de conformité[2].

Histoire

Le terme et le sigle SIEM est inventé par Mark Nicolett et Amrit Williams de Gartner en 2005[3].

Fonctionnement

Le SIEM permet : la collecte des données, leur normalisation, leur agrégation, la recherche de corrélation, le reporting, l'archivage, le rejeu des événements.

Collecte

Les logiciels de SIEM prennent en entrée les événements collectés du SI, les journaux système des équipements : pare-feux, routeurs, serveurs, bases de données… Ils permettent de prendre en compte différents formats (syslog, Traps SNMP, fichiers plats, OPSEC, formats propriétaires, etc.) ou nativement le format IDMEF (Intrusion Detection Message Exchange Format), spécialement conçu et validé par l'IETF sous forme de RFC pour partager l'information qui intéresse un système de détection et de protection contre les intrusions.

La collecte peut se faire de façon passive, en écoutant simplement les échanges sur le(s) réseau(x), ou de façon active, en mettant en place des agents directement sur les équipements ou à distance. Les solutions permettent également de développer des collecteurs pour prendre en compte des nouveaux formats de journaux systèmes : API, expression rationnelle…

Normalisation

Les traces brutes sont stockées sans modification pour garder leur valeur juridique. On parle de valeur probante.

Ces traces sont généralement copiées puis normalisées sous un format plus lisible. En effet, la normalisation permet de faire des recherches multi-critères, sur un champ ou sur une date. Ce sont ces événements qui seront enrichis avec d'autres données puis envoyés vers le moteur de corrélation.

Agrégation

Plusieurs règles de filtrage peuvent être appliquées. Ils sont ensuite agrégés selon les solutions, puis envoyés vers le moteur de corrélation.

Corrélation

Les règles de corrélation permettent d'identifier un événement qui a causé la génération de plusieurs autres (un hacker qui s'est introduit sur le réseau, puis a manipulé tel équipement…). Elles permettent aussi de remonter une alerte via un trap, un courriel, SMS ou ouvrir un ticket si la solution SIEM est interfacée avec un outil de gestion de tickets.

Reporting

Les SIEM permettent également de créer et générer des tableaux de bord et des rapports. Ainsi, les différents acteurs du SI, RSSI, administrateurs, utilisateurs peuvent avoir une visibilité sur le SI (nombre d'attaques, nombre d'alertes par jour…).

Archivage

Les solutions SIEM sont utilisées également pour des raisons juridiques et réglementaires. Un archivage à valeur probante permet de garantir l'intégrité des traces.

Les solutions peuvent utiliser des disques en RAID, calculer l'empreinte, utiliser du chiffrement ou autre pour garantir l'intégrité des traces.

Rejeu des événements

La majorité des solutions permettent également de rejouer les anciens événements pour mener des enquêtes post-incident. Il est également possible de modifier une règle et de rejouer les événements pour voir son comportement.

Terminologie

Les acronymes SEM, SIM et SIEM sont parfois utilisés de manière interchangeable[4], mais font généralement référence aux différents objectifs principaux des produits :

  • Gestion des logs : elle se concentre sur la collecte et le stockage simple des enregistreurs de donnĂ©es et des pistes d'audit[5].
  • Security information management (SIM) : il se focalise sur le stockage Ă  long terme ainsi que l'analyse et la crĂ©ation de rapports sur les donnĂ©es des journaux[6].
  • Security event manager (SEM) : il se focalise sur la surveillance en temps rĂ©el, la corrĂ©lation des Ă©vĂ©nements, les notifications et les tableaux de bords.
  • Security information and event management (SIEM) : il combine SIM et SEM et fournit une analyse en temps rĂ©el des alertes de sĂ©curitĂ© gĂ©nĂ©rĂ©es par le matĂ©riel et les applications du rĂ©seau[7] - [8].
  • Managed Security Service (MSS) ou Managed Security Service Provider (MSSP) : les services gĂ©rĂ©s les plus courants semblent Ă©voluer autour de la connectivitĂ© et de la bande passante, de la surveillance du rĂ©seau, de la sĂ©curitĂ©, de la virtualisation et de la reprise après sinistre.
  • Security as a service (SECaaS) : Ces services de sĂ©curitĂ© incluent souvent l'authentification, l'antivirus, l'anti-malware, la dĂ©tection d'intrusion, les tests d'intrusion, la gestion des Ă©vĂ©nements de sĂ©curitĂ©, etc.

En pratique, de nombreuses solutions de cyber sécurité mélangent ces fonctions, il y a donc souvent un chevauchement et de nombreux fournisseurs promeuvent leur propre terminologie[9]. Souvent, les fournisseurs commerciaux proposent différentes combinaisons de ces fonctionnalités qui tendent à améliorer le SIEM dans son ensemble. La gestion des journaux à elle seule ne fournit pas d'informations en temps réel sur la sécurité du réseau, le SEM à lui seul ne fournira pas de données complètes pour une analyse approfondie des menaces. Lorsque le SEM et la gestion des journaux sont combinés, plus d'informations sont disponibles pour que SIEM puisse les surveiller[10].

Composants
Infrastructure SIEM de base

Les architectures SIEM peuvent varier selon le fournisseur, généralement, les composants essentiels sont les suivants[11] :

  • Un collecteur de donnĂ©es transmettant les journaux d'audit sĂ©lectionnĂ©s Ă  partir d'un hĂ´te[12] - [13].
  • Un point d'agrĂ©gation de points d'ingestion et d'indexation pour l'analyse, la corrĂ©lation et la normalisation des donnĂ©es[14].
  • Un nĹ“ud de recherche utilisĂ© pour la visualisation, les requĂŞtes, les rapports et les alertes (l'analyse a lieu sur un nĹ“ud de recherche)[15].

Voir aussi

Références
  1. « C'est quoi un outil SIEM (security information event management)? », sur Splunk (consulté le )
  2. « SIEM: A Market Snapshot », Dr.Dobb's Journal,
  3. Williams, « Improve IT Security With Vulnerability Management », (consultĂ© le ) : « Security information and event management (SIEM) »
  4. Swift, « A Practical Application of SIM/SEM/SIEM, Automating Threat Identification » [PDF], SANS Institute, (consultĂ© le ) : « ...the acronym SIEM will be used generically to refer... », p. 3
  5. Kent et Souppaya, « Guide to Computer Security Log Management », NIST, Computer Security Resource Center, NIST,‎ (DOI 10.6028/NIST.SP.800-92, S2CID 221183642, lire en ligne)
  6. Jamil, Amir, « The difference between SEM, SIM and SIEM »,
  7. « SIEM: A Market Snapshot », Dr.Dobb's Journal,
  8. The Future of SIEM - The market will begin to diverge
  9. Bhatt, Manadhata et Zomlot, « The Operational Role of Security Information and Event Management Systems », IEEE Security & Privacy, vol. 12, no 5,‎ , p. 35–41 (DOI 10.1109/MSP.2014.103, S2CID 16419710, lire en ligne)
  10. Jamil, Amir, « The difference between SEM, SIM and SIEM »,
  11. Kotenko, Polubelova et Saenko, « The Ontological Approach for SIEM Data Repository Implementation », 2012 IEEE International Conference on Green Computing and Communications, Besancon, France, IEEE,‎ , p. 761–766 (ISBN 978-1-4673-5146-1, DOI 10.1109/GreenCom.2012.125, S2CID 18920083, lire en ligne)
  12. Kotenko et Chechulin, « Common Framework for Attack Modeling and Security Evaluation in SIEM Systems », 2012 IEEE International Conference on Green Computing and Communications,‎ , p. 94–101 (ISBN 978-1-4673-5146-1, DOI 10.1109/GreenCom.2012.24, S2CID 15834187, lire en ligne)
  13. (en-US) Karl-Bridge-Microsoft, « Eventlog Key - Win32 apps », docs.microsoft.com (consulté le )
  14. Kotenko, Polubelova et Saenko, « The Ontological Approach for SIEM Data Repository Implementation », 2012 IEEE International Conference on Green Computing and Communications,‎ , p. 761–766 (ISBN 978-1-4673-5146-1, DOI 10.1109/GreenCom.2012.125, S2CID 18920083, lire en ligne)
  15. Azodi, Jaeger, Cheng et Meinel, « Pushing the Limits in Event Normalisation to Improve Attack Detection in IDS/SIEM Systems », 2013 International Conference on Advanced Cloud and Big Data,‎ , p. 69–76 (ISBN 978-1-4799-3261-0, DOI 10.1109/CBD.2013.27, S2CID 1066886, lire en ligne)
Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.