Security information management system
Le security information management (SIM, « Gestion de l'information de sécurité ») est une fonction de la sécurité du système d'information qui stocke à long terme, analyse et crée des rapports sur les données des journaux.
Le SIM est parfois confondu avec le SEM (security event management) ou SEIM (security event information management) ou encore avec le SIEM (security information and event management).
Terminologie
Les acronymes SEM, SIM et SIEM sont parfois utilisés de manière interchangeable[1], mais font généralement référence aux différents objectifs principaux des produits :
- Gestion des logs : elle se concentre sur la collecte et le stockage simple des enregistreurs de données et des pistes d'audit[2].
- Security information management (SIM, « Gestion de l'information de sécurité ») : il se focalise sur le stockage à long terme ainsi que l'analyse et la création de rapports sur les données des journaux[3].
- Security event manager (SEM, « Gestion des événements de sécurité ») : il se focalise sur la surveillance en temps réel, la corrélation des événements, les notifications et les tableaux de bords.
- Security information and event management (SIEM, « Gestion de l'information et des événements de sécurité ») : il combine SIM et SEM et fournit une analyse en temps réel des alertes de sécurité générées par le matériel et les applications du réseau[4] - [5].
En pratique, de nombreuses solutions de cyber sécurité mélangent ces fonctions, il y a donc souvent un chevauchement et de nombreux fournisseurs promeuvent leur propre terminologie[6]. Souvent, les fournisseurs commerciaux proposent différentes combinaisons de ces fonctionnalités qui tendent à améliorer le SIEM dans son ensemble. La gestion des journaux à elle seule ne fournit pas d'informations en temps réel sur la sécurité du réseau, le SEM à lui seul ne fournira pas de données complètes pour une analyse approfondie des menaces. Lorsque le SEM et la gestion des journaux sont combinés, plus d'informations sont disponibles pour que SIEM puisse les surveiller[7].
Entreprises chefs de file du marché des SIM/SEM
Entreprises chefs de file du marché des SIM/SEM[8] - [9] - [10] - [11] :
- Alcatel-Lucent OA Safeguard
- Araknos Akab2
- BlackStratus Netforensics
- Cisco Cisco Security Manager
- Correlog Correlog Solution Suite
- CS PreludeSIEM - Smart Security - IDMEF
- eIQ Networks SecureView
- Extreme Networks[12] Solution SIEM
- EMC RSA Security
- Inetum - KeenaĂŻ
- HP ArcSight
- IBM Qradar
- LogLogic (en) Enterprise Virtual Appliance (Ă la suite du rachat de Exaprotect)
- Logpoint [13] SIEM. But different.
- LogRhythm SIEM 2.0
- NetIQ Security Manager
- NitroSecurity McAfee Enterprise Security Manager (un produit McAfee)
- Novell Sentinel
- Q1 Labs Qradar (Groupe IBM)
- SenSage Advanced SIEM and Log Management
- Sekoia Sekoia.io
- Splunk Splunk Enterprise
- Symantec Security Information Manager (le produit n'est plus commercialisé)[14]
- Tripwire Log Center
- TrustWave Intellitactics Security Manager for SIEM
- McAfee ESM
- Elastic Stack Elastic (avec le X-pack) [15]
Notes et références
- Swift, « A Practical Application of SIM/SEM/SIEM, Automating Threat Identification » [PDF], SANS Institute, (consulté le ) : « ...the acronym SIEM will be used generically to refer... », p. 3
- Kent et Souppaya, « Guide to Computer Security Log Management », NIST, Computer Security Resource Center, NIST,‎ (DOI 10.6028/NIST.SP.800-92, S2CID 221183642, lire en ligne)
- Jamil, Amir, « The difference between SEM, SIM and SIEM »,
- « SIEM: A Market Snapshot », Dr.Dobb's Journal,
- The Future of SIEM - The market will begin to diverge
- Bhatt, Manadhata et Zomlot, « The Operational Role of Security Information and Event Management Systems », IEEE Security & Privacy, vol. 12, no 5,‎ , p. 35–41 (DOI 10.1109/MSP.2014.103, S2CID 16419710, lire en ligne)
- Jamil, Amir, « The difference between SEM, SIM and SIEM »,
- Gartner Magic Quadrant May 2008
- Gartner Magic Quadrant May 2010
- Gartner Magic Quadrant May 2011
- Effective Security Monitoring Requires Context - 16 janvier 2012 - Gartner Report
- « Solution SIEM »
- (en) « logpoint Siem »
- « Symantec™ Security Information Manager (SSIM) is being discontinued for new customer sales as of September 2, 2013. | Symantec Connect », sur www.symantec.com (consulté le )
- Gartner Magic Quadrant May 2018