Qu’est-ce que SIEM ?

La plateforme SIEM (gestion des informations et événements de sécurité) est une solution de surveillance, de détection et d'investigation en matière de cybersécurité. SIEM collecte, gère et analyse les journaux d'événements générés par les réseaux et les systèmes, contribuant ainsi à la détection précoce des incidents de sécurité et à une réponse rapide.

Présentation de SIEM

Fonctions de SIEM

  • Collecte des journaux : Collecte des données d'alerte et de journal à partir de divers appareils et applications.
  • Corrélation des événements de sécurité : Détectez les anomalies et les signes d'attaques en mettant en corrélation plusieurs événements et journaux.
  • Alertes et notifications : Détecte les activités anormales et les incidents de sécurité et émet des alertes en fonction de règles prédéfinies.
  • Génération de rapports : Fournit des informations et des procédures pour une réponse rapide aux incidents de sécurité et génère des flux de travail et des rapports pour la gestion des incidents.

Cas d'utilisation de SIEM dans un SOC

La solution SIEM est principalement utilisée dans un centre d'opérations de sécurité (SOC), une organisation qui surveille la sécurité au sein d'une organisation et comprend l'occurrence des cyberattaques et des incidents. SIEM est un outil important permettant aux professionnels de la sécurité de prendre en charge des opérations de sécurité efficaces des manières suivantes

Notification d'alerte via la gestion intégrée des journaux : Les solutions SIEM gèrent divers journaux de manière intégrée, détectent les signes d'activités anormales ou d'attaques et alertent le personnel de sécurité. Par exemple, en plus de détecter les malwares et autres comportements non autorisés, SIEM vous alertera en cas d'événements suspects, tels que des tentatives de connexion multiples à des serveurs où sont stockées des informations critiques, ou l'utilisation de services cloud non autorisés par votre Société. 

Enquête et réponse en cas d'incident : Sur la base d'événements non autorisés ou suspects, SIEM détermine s'il s'agit ou non d'une cyberattaque (comportement normal, erreur d'accès, etc.). S'il est déterminé qu'il s'agit d'une cyberattaque, l'itinéraire et la portée de l'attaque, notamment s'il s'agit d'une cyberattaque externe ou interne, peuvent être retracés afin de fournir des indices pour la réponse à l'incident. Les mesures suivantes seront prises

  • S'il est établi qu'il s'agit d'une cyberattaque externe : Bloquer l'IP de la source d'accès, modifier le seuil de blocage par le produit de sécurité, etc.
  • Si le comportement est causé par un employé : Si l'employé enfreint une politique établie par la Société (par exemple, il y a un accès au stockage cloud alors que l'utilisation de ce type de stockage est interdite), adresser un avertissement à l'employé, etc.

Reporting : Dans une perspective à moyen et long terme, visualisez l'état des violations des politiques de sécurité de votre Société et l'impact des cyberattaques, et créez un rapport. En visualisant le type de cyberattaques dont la Société a fait l'objet sur une période d'un mois, de trois mois, de six mois, d'un an, etc. la Société peut envisager les prochaines mesures de sécurité à prendre.

Les principaux cas d'utilisation de SIEM sont énumérés ci-dessus, mais le plus grand avantage de SIEM pour le personnel de sécurité est la capacité de visualiser rapidement les événements et les informations de journal provenant de plusieurs produits différents et de les relier à l'action suivante.

Les défis de SIEM

xBien que SIEM apporte des avantages aux SOC et à d'autres organisations en termes d'amélioration de la sécurité et de l'efficacité opérationnelle, il présente également les défis suivants.

Implémentation et configuration complexes : Les plateformes SIEM sont des systèmes complexes dont la mise en œuvre et la configuration nécessitent du temps et de l'expertise. Les professionnels de la sécurité doivent continuellement travailler à l'intégration des journaux des appareils et des sources de données, à la configuration des règles et à l'ajustement des alertes.

Traitement de grandes quantités de données de connexion : Une grande quantité de données de journalisation doit être traitée et analysée. Des ressources matérielles et de stockage appropriées sont nécessaires pour traiter de grandes quantités de données. Il est également nécessaire de gérer les périodes de conservation des données et la compression/réduction des données. 

Réponse continue aux faux positifs et à la surcharge d'alertes : Les SIEM génèrent des alertes sur la base de règles et de modèles prédéfinis. Cependant, des faux positifs (faux positifs : activité légitime détectée par erreur comme étant malveillante) et des faux négatifs (faux négatifs : activité malveillante non détectée) peuvent se produire. En outre, selon la configuration, un grand nombre d'alertes peuvent être reçues, ce qui nécessite un réglage continu des alertes et une amélioration des règles du côté de l'utilisateur.

Réponse après la détection d'un incident : Lorsqu'un événement est détecté en temps réel, l'incident réel doit être confirmé et faire l'objet d'une réponse. Si le personnel de sécurité ne règle pas les alertes à l'avance, il devra répondre à des alertes de différentes tailles, ce qui risque de réduire l'efficacité opérationnelle.

Compétences et ressources requises : La mise en œuvre et le fonctionnement corrects d'un système SIEM requièrent des compétences en matière d'analyse de la sécurité et de gestion des journaux. Il faut également disposer des ressources appropriées (personnel, matériel et logiciels).

Différences entre SIEM et XDR

XDR (Extended Detection and Response) est un outil similaire à SIEM pour améliorer le niveau de sécurité et l'efficacité. Les différences entre SIEM et XDR sont les suivantes :

Objectifs de la collecte de données et contextualisation

  • SIEM : Collecte, gère et analyse les événements et les journaux générés au sein d'un réseau ou d'un système. L'analyse est effectuée principalement sur les données des journaux afin de détecter les activités anormales et les signes d'attaques.
  • XDR : Collecte et analyse les données télémétriques provenant de plusieurs sources de données, y compris les endpoints, les réseaux et le cloud. Il recueille non seulement les événements de sécurité, mais aussi les informations sur les fichiers et les processus des endpoints, les données sur le trafic réseau, etc.

Analyse et détection

  • SIEM : Analyse les données collectées en fonction de règles et d'algorithmes prédéfinis. Il détecte les activités inhabituelles ou les signes d'attaques et génère les alertes et avertissements appropriés. Certains produits ont la capacité d'effectuer une analyse de corrélation entre les journaux mécaniques. Toutefois, l'appréciation du caractère possible d'une cyberattaque repose essentiellement sur "l'intuition humaine" de l'opérateur.
  • XDR : Sur la base de la veille sur les menaces (malwares, sites malveillants, e-mails malveillants, méthodes d'attaque utilisées par les cyberattaquants, etc.) détenus par les sociétés de cybersécurité qui fournissent XDR, les signes de cyberattaques sont déterminés pour la télémétrie collectée. Par exemple, des outils légitimes fournis par Microsoft, tels que PsExec, Cobalt Strike et Mimikatz, sont souvent utilisés à mauvais escient dans le cadre de cyberattaques.

Réponse aux incidents et automatisation

  • SIEM : Fournit des informations et des procédures de base sur les incidents de sécurité afin de faciliter la réponse aux incidents ; SIEM se concentre principalement sur la génération et la surveillance d’alertes, tandis que d’autres produits peuvent être nécessaires pour les procédures de réponse proprement dites.
  • XDR : Fournit des fonctionnalités d’automatisation et d’orchestration pour favoriser une réponse rapide aux incidents de sécurité. Les menaces détectées sont analysées et des conseils de réponse sont fournis en temps réel.

Dépendance à la source

  • La valeur d'une solution SIEM est directement liée aux sources à partir desquelles elle obtient ses informations. S’il existe des lacunes dans la couverture, elles sont souvent détectées tardivement, voire pas du tout.
  • Par conséquent, si l’on compare SIEM à XDR, il convient également de souligner que dans la plupart des cas, il ne s’agit pas d’une décision soit l'un, soit l'autre. Le plus souvent, il s'agit de XDR et de SIEM, car les SIEM tirent la plus grande valeur des journaux de réponse de & détection. Que diriez-vous de ceci comme « dernier mot célèbre » :
  • En raison de la dépendance d'une solution SIEM à l'égard de la qualité des informations générées par des fournisseurs tiers, il arrive souvent que les deux variantes soient utilisées en parallèle et que les solutions XDR transmettent les données pré-corrélées à SIEM.

SIEM

Informations connexes