Vous êtes sur la page 1sur 8

1

Les SIEM (Security Information and Event


Management) : Gestion de la scurit
centralise
N. Cherriere, G. Montassier, R. Picard et E. Thuiller, Sujet R1

EtudeCe document de recherche se concentre sur la


gestion centralise de la Scurit des Systmes
d'Information, et plus particulirement sur les SIEM
(Security Information and Event Management). Nous
allons nous intresser l'utilit d'une telle gestion en
comprenant pourquoi les entreprises en ont besoin de nos
jours, puis tudier le fonctionnement thorique d'un tel
systme, et enfin nous plonger dans quelques mises en
pratique. Enfin, nous comparerons nos rsultats pour
dterminer le meilleur moyen de protger le systme de
scurit d'une entreprise.
Mots Cls Gestion centralise de la scurit, LogLogic,
Prelude, Security Information and Event Management,
SIEM

I. INTRODUCTION

epuis plusieurs dcennies, l'information est


devenue, pour lentreprise, une ressource
essentielle quelle soit prive ou publique. Une
guerre de linformation est donc apparue et est devenue
presque plus intraitable que les guerres meurtrires.
Beaucoup d'activits de l'entreprise se sont
informatises. On peut citer un certain nombre de
dclarations de taxes et impts et enfin les systmes
industriels informatiss et/ou relis au systme
d'information avec une gestion de la qualit des produits.
Avec laugmentation du nombre de processus mtier
transitant par voies informatiques, tout un panel de
matriels, logiciels et personnes travaillent pour assurer
les scurits des actifs de lentreprise. Mme les
lments qui ne sont pas, a priori, des lments apportant
des fonctions de scurit sont utiliss des fins
dtournes
pour
apporter
une
scurit
supplmentaire : les VLAN sur un switch.

Le systme dinformation et la loi


Quelles informations sont autorises tre collecter et
traiter? Combien de temps l'entreprise peut-elle les
garder ? Par quels moyens, sur quels supports ?
C'est tout autant de rponses apportes par les textes
lgislateurs franais et europens et auxquels les
entreprises doivent se conformer sous peine de sanction.
Depuis peu de temps, des donnes informatiques
peuvent constituer des preuves recevables par un juge
(en France) sous certaines conditions. Ainsi, pour
pouvoir, aprs un prjudice, retrouver le malfaiteur (quil
soit en interne mais aussi en externe) et que les
informations recueillies puisse appuyer les accusations
de lentreprise vis--vis du fautif ayant agi
volontairement ou non.
Changements et mergence dun nouveau besoin : la vue
globale de la SSI.
Une attaque ne se prpare pas du jour pour le
lendemain, il y a quantit d'tapes pralables pour la
mettre en place. Ces tapes peuvent reprsenter des
mois, voire plusieurs annes de travail de la part des
pirates. Le pirate a besoin d'avoir une vision trs prcise
du rseau qu'il convoite. Certaines de ces tapes sont
directement de la recherche d'information sur les SI,
donc il est possible de les reprer. En soi, si une seule
tape est effectue, elle n'est pas spcialement
dangereuse (des scans de ports ont lieu tous les jours)
mais associe une tentative d'intrusion ou l'installation
d'un morceau de code (par exemple, une backdoor) sur
un PC qui n'a pas t demand ou effectu par le
personnel de la direction des systmes d'information
alors on peut avoir de forte prsomption qu'une attaque
est en train de se prparer. Ce scnario simple met en
vidence le besoin d'avoir une vue globale de tout ce qui
se passe sur le rseau pour non seulement identifier les
incidents mais aussi les associer entre eux pour dceler
des attaques bien plus complexes.

Complexification des Systmes dInformation


Les systmes d'information se sont complexifis car
en plus des lments permettant de faire fonctionner le
rseau, des lments utiles pour permettre les processus
mtier sont venus se greffer par-dessus. De plus en plus
de technologies sont implantes dans le rseau, de
nouveaux services, l'mergence des rseaux sociaux
(pouvant amener des fuites d'information) prcde par
l'avnement de la tlphonie mobile et des smartphones.
Globalement, la mobilit des collaborateurs est
problmatique (avec les tlphones, PDA, PC portables,
netbook, Tablet PC dans des environnements non srs
tels que les cybercafs et rseaux publiques, les rseaux
d'entreprises clientes, les transports...).
Complexification des attaques
Les attaques informatiques se sont multiplies depuis
plusieurs dizaines d'annes et sont devenues de plus en
plus complexes. Le mythe du hacker agissant seul,
simplement motiv par le fait d'tre le premier trouver
une faille dans un systme a petit petit laiss place un
cyber crime organis. Les commanditaires (les clans
mafieux, des tats, des clans terroristes, des
organisations professionnelles) disposent de moyens
financiers pour acheter une attaque contre une cible.
Plus les sommes d'argent en jeu sont leves (bnfice
pour le commanditaire si l'attaque est russie ; paie des
techniciens laborant l'attaque), plus les attaques peuvent
tre sophistiques.
La constante augmentation de la complexit des
systmes d'information, base de l'entreprise, pose la
scurit des SI au cur des problmatiques de
l'entreprise. Les enjeux de scurit, de sret de
fonctionnement et la gestion des incidents sur les SI sont
normes et font l'objet d'attaques la hauteur de ces
enjeux. Ainsi, les Security Information and Event
Management (SIEM) sont la rponse ce besoin de
vision globale de la scurit des SI.
Les SIEM proposent de centraliser la gestion des
alertes de scurit alors quon attend des systmes
actuels quils ne sarrtent jamais, ainsi nallouer quune
machine pour superviser la scurit du SI parait risqu.
Pour pallier une interruption de service, il est par
contre possible de crer une machine maitresse (master)
et une machine secondaire (slave), comme il est possible
de faire avec les serveurs DNS, DHCP, afin de garantir
une continuit de fonctionnement par redondance.
Dans un premier temps, nous tudierons les normes
quutilisent les SIEM et les tapes cls de leurs
fonctionnements. Fort de cette approche gnrale, nous

nous attarderons sur deux propositions logicielles :


Loglogic et Prelude. Enfin, nous montrerons les atouts
que comportent les deux solutions, lune par rapport
lautre pour ensuite les confronter la thorie des SIEM.
II. THEORIE
A. Prsentation
Les SIEM sont des outils de supervision de la scurit,
ils utilisent les informations en provenance de divers
quipements et logiciels de scurit. Les SIEM
combinent deux lments [1] :
--Les SIM (Security Information Management) :
Outils de supervision de la scurit qui se concentrent
principalement sur lanalyse dinformations de
scurit passes, en vue damliorer lefficacit pour
la gestion long terme du systme dinformation [1].
--Les SEM (Security Event Management) : Outils
de supervision de la scurit sorientant sur la collecte
de donnes dans le but de fournir une grande quantit
dinformations pouvant tre traites immdiatement
[1].
La fusion des SIM et des SEM dans un processus
intgr de contrle de la scurit avec des informations
pertinentes recueillies dans linfrastructure du systme
dinformation est rsume sous le terme de SIEM [1].
Les SIEM utilisent des tapes de rcupration, analyse
et gestion de linformation, ce sont la collecte, la
normalisation, lagrgation, la corrlation, le reporting et
la rponse [2]. (figure 2)
B. Collecte
Les quipements et logiciels de scurit sont
nombreux dans un systme dinformation, ils grent
gnralement de faon indpendante des informations de
scurit dites locales . Le principe de ltape de
collecte est de fournir au SIEM des donnes traiter.
Ces donnes peuvent tre de nature diverse en fonction
de lquipement ou du logiciel, mais aussi tre envoyes
de manires tout fait diffrentes. On distingue deux
modes de fonctionnement [3]:
--Mode actif : Le SIEM possde un ou plusieurs
agents dploys sur les quipements superviser. Ces
agents ont pour fonction de rcuprer les informations
des quipements et logiciels de scurit et de les
envoyer au SIEM. Un lment de scurit qui a t
conu nativement pour tre un agent du SIEM est
appel une sonde.
--Mode passif : Le SIEM est en coute directe sur
les quipements superviser. Pour cette mthode, cest
lquipement ou le logiciel qui envoie des informations
sans intermdiaire au SIEM.

C. Normalisation
Les informations collectes viennent dquipements et
logiciels htrognes ayant pour la plupart leurs propres
moyens de formater les donnes. Cette tape permet
duniformiser les informations selon un format unique
pour faciliter le traitement par le SIEM. Des formats ont
t mis au point par IETF pour structurer les
informations de scurit et pouvoir les changer et les
traiter plus facilement, ce sont :
--IDMEF (Intrusion Detection Message Exchange
Format) : Cest un standard, dfini dans la RFC 4765,
permettant linteroprabilit entre les systmes
commerciaux, open-source et de recherche. Il est bas
sur le format XML et est un format conu pour dfinir
les vnements et des alertes de scurit. Il est
galement adapt pour le stockage en base de donnes,
laffichage et la gestion des informations [4].
Le format IDMEF permet de dcrire les vnements
de scurit et Heartbeat. Selon un modle hirarchique,
les vnements de scurit sont dcrits avec les sources
et cibles des attaques mais aussi la sonde
correspondante ainsi que les diffrents temps de
cration et de dtection. (figure 1)

fig 1 : Format du message IDMEF

--IODEF (Incident Object Description and


Exchange Format) : Cest un standard, dfini dans la
RFC 5070, reprsentant les informations de scurit

changes entre les quipes CSIRTs (Computer


Security Incident Response Teams). Il est bas sur le
format XML et est un format conu pour transmettre
des incidents de scurit entre les domaines
administratifs et les parties qui ont une responsabilit
oprationnelle. Ce modle de donnes encode
linformation des htes, des rseaux, des services [5]
Le format IDMEF est utilis juste aprs la collecte, il
permet ainsi aux informations normalises en
vnements de scurit dtre agrges, corrles,
stockes en base de donnes et affiches [4].
Le format IODEF est plus complet que le format
IDMEF, il est utilis aprs ltape de corrlation pour
structurer les donnes en vue dun reporting et du
traitement par un systme de rponse [5].
D. Agrgation
Lagrgation est le premier traitement des vnements
de scurit. Il consiste en un regroupement
dvnements de scurit selon certains critres. Ces
critres sont gnralement dfinis via des rgles appeles
rgles dagrgation et sappliquent des vnements
ayant des similarits [6]. Le rle principal de
lagrgation est de rduire le nombre dvnements en
associant un poids ceux-ci. Ainsi un regroupement
de trois vnements de scurit selon un critre dfini
sera un seul vnement avec un poids de trois. Cela
facilite notamment le traitement de ltape de
corrlation, qui gre alors non plus des vnements
individuels, mais des groupes dvnements [7].
E. Corrlation
La corrlation correspond lanalyse dvnements
selon certains critres. Ces critres sont gnralement
dfinis via des rgles appeles rgles de corrlation. Le
but de cette tape est dtablir des relations entre
vnements, pour ensuite pouvoir crer des alertes de
corrlations, des incidents de scurits, des rapports
dactivit La corrlation se diffrencie sur plusieurs
points [8] :
--Auto-apprentissage
et
connaissances
rapportes: Pour pouvoir fonctionner, les moteurs de
corrlation ont besoin dinformations sur les systmes
et rseaux de linfrastructure. Ces informations
peuvent tre collectes automatiquement et/ou saisies
manuellement par un oprateur [8].
--Temps rel et donnes retardes : Dans certains
cas, les vnements bruts sont forgs et envoys
directement pour tre corrls en temps rel. Dans
dautres cas, les vnements sont dabord stocks, et
envoys aprs un premier traitement (ex : agrgation),
leur envoi peut tre alors conditionn [8].

--Corrlation active et passive : La corrlation


active a la possibilit de complter les vnements
reus en recueillant des informations supplmentaires
pour prendre des dcisions. La corrlation passive est
une corrlation qui ne peut pas interagir avec son
environnement, elle reoit des vnements et prend
des dcisions [8].
La cross-correlation est une corrlation capable
dassocier et de prioriser les vnements de scurit
reus, mais aussi dautres informations (scanners de
vulnrabilit, NMS). Cest une corrlation active
largie de nombreux outils [9].

fig 2 : schma du fonctionnement thorique d'un SIEM

F. Gestion des alertes


Il y a plusieurs faons pour un SIEM de grer des
alertes, plusieurs dentre elles peuvent tre utiliss
simultanment :
--Le reporting : les rapports gnrs
contiennent la fois une synthse des alertes et une
vue densemble de la scurit du systme un instant
T (statistiques, intrusions, vulnrabilits exploites,
classification des attaques) [7].

--Le stockage : les alertes, incidents et rapports


peuvent tre stocks dans des bases de donnes pour
pouvoir tre analyss ultrieurement par des moteurs
de corrlation [8].
--La rponse : les mcanismes de rponse aux
alertes doivent permettre de stopper une attaque ou de
limiter ses effets de faon automatique. La rponse
une intrusion dpend de la politique de scurit [10].
III. PRATIQUE 1 : PRELUDE
A. Prsentation
Prelude est un SIEM issu dun projet open source qui
fut cr en 1998 par Yoann Vandoorselaere [11]. Ce
projet est n de lide que le nombre de systmes de
dtection dintrusion augmentait mais quil nexistait pas
de systme pour les faire communiquer entre eux, ce qui
diminuait leur efficacit [12]. (figure 3)
B. Collecte
Prelude fonctionne en mode actif, cest dire quil
utilise des agents qui sont installs sur les systmes
surveiller et qui vont soccuper de la phase de collecte.
Dans un premier temps, lagent (appel Prelude-LML)
doit tre configur, Il faut indiquer celui-ci les formats
de logs des logiciels surveiller pour que celui-ci puisse
les prendre en compte.
Ensuite, lagent dmarr peut collecter les logs de
deux faons diffrentes : soit il surveille les journaux
systmes de lhte sur lequel il est install, soit il reoit
les journaux venant de diffrentes machines places sur
le rseau. Ces messages sont scuriss (en TLS) et
possdent un mcanisme d'autorgulation pour ne pas
surcharger le rseau. Lintrt de cette deuxime
mthode est de permettre aux systmes ne supportant pas
lagent Prelude de pouvoir tre surveills en envoyant
leurs logs un agent distant.
Une fois les informations rcupres, lagent les
compare avec ses jeux de rgles (bass sur des
expressions rgulires) et si une condition prcise est
reconnue, un vnement de scurit est cr. [14].
Lavantage de cette mthode de collecte est la
flexibilit par rapport au rseau. Les mcanismes mis en
place empchent la perte de paquet (autorgulation,
rmission) et assurent leurs intgrits. Par contre, la
confidentialit (chiffrement TLS) nest pas assure
totalement car seuls les changes entre lagent et le
manager sont scuriss, contrairement aux changes
entre lagent et les systmes distants, qui lui envoient
leurs logs.

Un autre avantage est le mode sonde : ce mode


permet quun agent soit directement patch au code
source dun logiciel de scurit (ils sont alors
indissociables). [13], [14]
C. Normalisation
Prelude a particip au projet Intrusion Detection
Message Exchange Format (IDMEF). Cest donc
videment ce format qui fut choisit pour le SIEM. [12],
[16]
La normalisation est ralise par lagent Prelude-LML
qui formate les vnements avant de les envoyer au
manager.
LIDMEF est un format de message pour les
vnements de scurit et les alertes de corrlation. Il
sert donc uniquement mettre en forme ceux-ci.
Les vnements et alertes sont donc dcrits par ce
format de manire tre trait plus facilement par le
SIEM.

--Lorsque que des vnements sont dtects, il


affiche les alarmes via sa console graphique Prewikka.
--Il peut aussi prendre la dcision de transmettre
lalerte un autre manager Prelude (dans le cas dun
fonctionnement hirarchique).
--Il peut galement, grce un plugin , envoyer
des mails dalerte contenant lalerte dtecte.
Prelude possde des ajouts transmettant les alertes
des moteurs de raction.

Latout principal de faire normaliser les logs par


lagent est dallger le traitement ralis par le manager.
De plus, le choix dun format normalis permet une
comprhension simplifie et une plus grande
adaptabilit.
D. Agrgation
Prelude ne fait pas dagrgation car il ny a aucun
traitement sur les vnements, cependant il possde un
systme pour amliorer le traitement des informations
par les utilisateurs.. [15]
E. Corrlation
Tous les vnements envoys au manager sont stocks
puis transmis au moteur de corrlation appel PreludeCorrelator. Ce moteur se base sur des rgles (crites en
langage python) pour analyser les vnements de
scurit et ainsi crer des alertes de corrlation . Ces
alertes sont alors renvoyes au manager qui les
stocke.[17], [18]
Le systme de corrlation est encore instable, on
pourra mettre en avant que lcriture des rgles est
complexe, car elle demande une bonne comprhension
du langage python, de la norme IDMEF, du rseau
surveill et des attaques surveilles.
F. Gestion des alertes
Prelude peut raliser le reporting de trois faons :

Fig 3 : schma du fonctionnement du SIEM Prelude

IV. PRATIQUE 2 : LOGLOGIC


A. Prsentation
Loglogic, anciennement Exaprotect a t cr en 2004
par la socit franaise Exaprotect. Celle-ci a t
rachete en 2009 par lentreprise amricaine LogLogic et
est donc devenu LogLogic par la mme occasion. De
plus, LogLogic est une appliance , c'est--dire que le
logiciel est indissociable du matriel. [19] (figure 4)
B. Collecte
Loglogic fonctionne en mode actif, il faut donc
dployer des agents sur les quipements surveiller pour
quils ralisent la collecte.
Les agents nont presque pas de configuration, ils
dterminent lors de linstallation le format des logs
collecter et agissent ensuite en autonomie. Cest dire

quils collectent les logs, les normalisent, puis les


envoient de faon scurise au SIEM.
Si un agent nest pas nativement compatible avec un
quipement, il faut alors configurer lagent pour quil
puisse comprendre ceux-ci laide de rgles pour
parser ceux-ci.
Lavantage de Loglogic est sa simplicit de mise en
uvre. Les agents sinstallent facilement et la
configuration est simplifie. La configuration peut de
surcroit tre ralise distance depuis le manager de
Loglogic.
Les changes entre les agents et le SIEM sont
scuriss par TLS. [20]

De plus Loglogic ralise automatiquement des rapports


dynamiques, qui sont composs de graphiques et de
rsumes des attaques rpertories. [21] [23]
La rponse se fait par lenvoi dincidents IODEF ou
Alertes de corrlation IDMEF un moteur de raction
quelconque. Celui-ci agira en fonction des vnements
reus.

C. Normalisation
Loglogic utilise le format normalis IDMEF.
Les Logs sont normaliss par les agents avant quils
envoient les alertes au manager.
Le choix dun format normalis (IDMEF) permet que
les logs soient comprhensibles par le SIEM et
facilement trait par celui-ci. [21]
D. Agrgation
LogLogic
possde
un
moteur
dagrgation
paramtrable laide de rgles. Cest une tape
importante qui dtermine comment les vnements
seront regroups avant dtre envoys au corrlateur. En
plus dtre affichs dans la console graphique de
LogLogic, les vnements agrgs sont regroups par
critres dfinis au pralable, ce qui permet une meilleure
corrlation car les vnements sont dj rassembls pour
tre corrls, et peuvent mme tre fusionns ou
redfinis. [21] [22] [23]
E. Corrlation
Toutes les alertes reues par LogLogic sont transmises
au moteur dagrgation, puis au corrlateur et celui-ci les
traite en fonction de ses rgles de corrlation. Quand une
alerte de corrlation est cre, elle est stocke dans la
base de donnes et est affiche dans la console
graphique. LogLogic permet de dfinir des scnarios
qui sont des regroupements dalertes de corrlation. Cela
ajoute un traitement supplmentaire par le SIEM. [23]
F. Gestion des alertes
Loglogic peut raliser un reporting en fonction du
type dalerte dtecte. On peut donc dcider que pour un
type dattaque dtect on ralise une action particulire.
Les actions ralisables par Loglogic sont nombreuses :
on peut envoyer un mail, un SMS, envoyer lincident
un autre serveur, ou mme crer un trap SNMP

Fig 4 : schma de fonctionnement d'un SIEM dans LogLogic

V. COMPARAISONS
A. Prelude / LogLogic
Collecte
Les deux logiciels fonctionnent en mode actif : le
manager reoit donc les informations de la part des
agents. Les deux propositions logicielles permettent de
superviser des machines o des agents ne peuvent pas
tre installs. Donc, le dploiement peut se faire dans un
rseau htrogne. Cependant, lagent Prelude a un net
avantage sur son concurrent, car il est compatible avec
beaucoup plus de logiciels et quipements de scurit
grce la communaut open-source.
Normalisation
Dans les deux cas, les logs sont formats en IDMEF
par lagent qui les reoit et celui-ci les envoie au
manager. Les deux logiciels fonctionnent donc de la
mme faon pour la normalisation

Agrgation
Loglogic est le seul logiciel parmi les deux proposer
un rel systme dagrgation. Cela vite une surcharge
dvnements en utilisant un systme de regroupement,
ce qui facilite le travail de corrlation. On conomise
donc les ressources rseau et de calcul.
Corrlation
Les deux SIEM proposent une corrlation entre
vnements et un stockage en base de donnes pour tre
ensuite affich laide dune interface. Cependant,
Loglogic ajoute la possibilit de crer des scenarios, ce
qui augmente un niveau de traitement pour les alertes de
corrlation.
Reporting
Le systme de reporting de Loglogic est plus
complet que celui de Prelude. Les deux logiciels
proposent laffichage dans une interface, ce qui parait
tre le minimum mais le premier est capable denvoyer
des mails ou de gnrer des trap SNMP et permet de
crer des rapports plus complets (avec graphes), ce qui
peut tre utile dans une dmarche continue danalyse de
risques. Le second nest capable de faire que du
reporting simpliste, moins que lon utilise la
version payante, qui possde galement des graphes
statistiques, et de la gnration de rapports en PDF.
Pour aller plus loin
LogLogic peut envoyer des messages au format
IDMEF et IODEF un moteur de raction pour rpondre
une attaque. Ce moteur nest pas inclus dans Loglogic
mais lutilisation de messages dans un format normalis
permet de sinterfacer avec un module charg des
contre-mesures. Prelude est lui aussi capable denvoyer
des informations un moteur de raction, mais
seulement au format IDMEF.
Puisque lide sous-jacente des SIEM est de centraliser
les alertes de scurit, Loglogic et Prelude (en version
professionnelle) donnent les moyens de configurer les
agents directement partir du manager. Les deux SIEM
permettent aussi la gestion de tickets dincidents.
B. Thorie / Logiciels
Les logiciels tudis sont une interprtation gnrale de
la thorie, et des implmentations particulires qui leurs
sont propres. Labsence dagrgation pour Prelude et la
gestion de lIODEF par LogLogic en tmoignent. Le
fonctionnement des deux produits repose tout de mme
sur des formats de messages standardiss (IDMEF et
IODEF) ce qui les rend facile traiter.

Les logiciels respectent donc les standards, mais les


constructeurs ont orient leurs produits vers des chemins
divers
VI. CONCLUSION
Lobjectif de ce rapport tait dapporter des rponses
quant au fonctionnement des SIEM dans le cadre dune
gestion centralise. Pour cela, nous avons commenc par
expliquer le contexte : lintrt de lutilisation de cette
mthode centralis. Nous avons ensuite tudi le
fonctionnement thorique de cette mthode, ainsi que
deux implmentations concrtes.
Notre tude nous a aussi permis dtudier les
principaux avantages de la gestion centralise :
- la simplicit de configuration du manager
- la visibilit globale du rseau par le manager
- la cohrence des alertes et des dcisions menes
Cependant cette technique possde aussi des
faiblesses. Par exemple la centralisation peut amener
rapidement un problme de disponibilit du service si le
manager est dfaillant.
Nous pouvons conclure que les SIEM en gestion
centralise permettent une relle scurisation du
systme, mais que lon doit sassurer de leur
disponibilit, et quil semble malvenu dutiliser les
envois non scuriss de logs.
Les deux SIEM tudis ont chacun leurs particularits.
Prelude vient du monde open-source, ce qui lui permet
une trs large compatibilit avec dautres logiciels et
quipements. LogLogic est, quant lui, un produit issu
de lindustrie et possde un systme de traitement des
alertes trs performant. Le reporting est presque
identique, puisque Prelude en version professionnelle a
de nombreux ajouts. Les deux SIEM sont de plus trs
volutifs car leurs auteurs permettent aux diverses
entreprises de demander des amliorations et
modifications
sur-mesure,
moyennant
finance
videmment.
Une thorie des SIEM existe donc, ainsi que des
standards. Les dveloppeurs de logiciels de SIEM ont un
panel de caractristiques possibles exploiter et ceux-ci
choisissent ce qui les intresse en fonction de leur
politique technique, organisationnelle et commerciale.
Nous pouvons donc trouver une multitude de SIEM sur
le march avec aussi bien des ressemblances que des
divergences qui font les faiblesses et forces de chacun.

Nous conclurons sur lintrt de lutilisation dun


systme tel que le SIEM pour une entreprise. En effet, la
possibilit de pouvoir rcuprer et agrger la totalit des
logs du rseau permet davoir la fois une vision
complte, mais aussi une comprhension affine des
vnements qui se passent sur celui-ci. La combinaison
de ces deux lments (vison + comprhension) fait des
SIEM un lment ncessaire en terme de scurit
informatique et est donc indispensable pour les
entreprises.
REFERENCES
[1]

[2]

[3]

[4]
[5]
[6]
[7]

[8]

[9]

[10]
[11]
[12]
[13]

[14]

[15]
[16]
[17]
[18]

[19]
[20]

Gabriel, R. et al. Analyzing Malware Log Data to Support


Security Information and Event Management: Some Research
Results. First International Conference on Advances in
Databases, 2009.
Zoho Corp. Analyzing Logs For Security Information Event
Management, 2007. Whitepaper.
http://www.manageengine.com/products/eventlog/AnalyzingLogs-for-SIEM-Whitepaper.pdf
Stevens, M ; CERT. Security Information and Event
Management, 2005, Nebraska
www.certconf.org/presentations/2005/files/WC4.pdf
The IETF TRUST. RFC 4765, 2007.
http://www.ietf.org/rfc/rfc4765.txt
The IETF TRUST. RFC 5070, 2007.
http://www.ietf.org/rfc/rfc5070.txt
Cuppens, F. Managing Alerts in a Multi-Intrusion Detection
Environment. www.acsac.org/2001/papers/70.pdf
Reddy, R. ; Reddy, S. Facilitating Alerts Analysis and Response
Decision Making. Conference paper of csreaSAM, Security and
Management, p448-455. 2006
Mullet, A. Masters Thesis Event Correlation Engine Computer,
Engineering and Networks Laboratory, 2009. 0x7.ch/text/eventcorrelation-engine-slides.pdf
AlienVault. SIEM System Description AlienVault LLC, 2010.
www.alienvault.com/docs/AV%20SIEM%20System%20Descri
ption-v4.pdf
Debar, H. Analyse et dtection dintrusions. Scurit des
systmes d'information, Techniques de l'ingnieur, 2004.
Site officiel de Prelude. http://www.preludetechnologies.com/fr/menu/a-propos-de-prelude/index.html
Vandoorselaere, Y. Foreword. https://dev.preludetechnologies.com/wiki/prelude/PreludeForeword
Site officiel de Prelude. http://www.preludetechnologies.com/fr/solutions/les-briques-preludepro/index.html
Site officiel de Prelude. http://www.preludetechnologies.com/fr/developpement/documentation/compatibilit
e/index.html
Vandoorselaere, Y. IDMEF Criteria, Wiki on Prelude
Technologies, 2006.
RFC 4765. http://www.ietf.org/rfc/rfc4765.txt
Vandoorselaere, Y. Prelude Correlator., Wiki on Prelude
Technologies, 2006.
Chifflier, P. ; Tricaud, S. Intrusion Detection Systems
Correlation: a Weapon of Mass Investigation, CanSecWest
Vancouver 2008.
Site officiel de LogLogic. http://www.loglogic.com/
Papiers blancs de LogLogic.
http://www.loglogic.com/resources/white-papers/

[21] Donnes techniques de LogLogic.

http://www.loglogic.com/resources/datasheets
[22] Kelly, D. Information Security mag. SIMs : More than just a

pile of logs. pp. 13-19.


http://media.techtarget.com/searchSecurity/downloads/0609_IS
M.pdf
[23] McGuire, M. ; Briguet, C. Introduction to Secure Event
Manager, Visibility & Controlon IT Security, LogLogic, 2008.