Scribd Logo
Importer

Bienvenue sur Scribd !

  • Mooc s6 2

    Transféré par

    mobio jean
    13 vues12 pages

    Titre original

    mooc_s6_2

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    13 vues12 pages

    Mooc s6 2

    Transféré par

    mobio jean

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 12

    Cybersécurité

    SIEM
    Définitions et produits
    Semaine 6
    L’histoire du SIEM

    L'acronyme SIEM et sa définition ont été


    proposés pour la première fois par Mark
    Nicolett et Amrit Williams analystes chez
    Gartner en 2005, décrivant comme suit les
    fonctionnalités du produit :
    Les fonctions du SIEM

    Collecter, analyser et présenter les


    informations « sécurité » :

    • Des équipements réseau et sécurité


    • Des outils de gestion des applications et des
    accès
    • Des outils de gestion de vulnérabilités et de
    conformité
    • Des logs des systèmes d'exploitation, bases
    de données et applications
    • Des données de sources de menaces
    externes et référentiels.
    L’écosystème du SIEM

    • Une foule d'acronymes qui recouvrent des


    domaines parfois flous : LMS / SIM / SEM /
    SIEM / …

    • Gestion de logs, analyse de logs, corrélation


    de logs, exploitation de logs, collecte de logs,
    analytics, Business Process Monitoring, IT
    monitoring, supervision IT, supervision de
    sécurité...
    LMS+SIM+SEM+SEC = SIEM

    • LMS : Log Management System

    • SIM : Security Information Management

    • SEM : Security Event Management

    • SEC : Security Event Correlation

    • SIEM : Security Information and Event


    Management
    Les domaines cibles

    • Management d'applications

    • Monitoring d'infrastructures

    • Supervision des endpoints

    • Investigation sécurité des endpoints

    • Investigation sécurité des infrastructures


    All machine data is security relevant
    Logs et journaux d’événements
    Logs et journaux d’événements
    Logs et journaux d’évènements
    91.214.92.22 - - [09/Feb/2014:16:49:49] "GET
    /category.screen?categoryId=STRATEGY&JSESSIONID=SD5SL4FF10ADFF4974
    HTTP 1.1" 200 2142 "http://www.google.com" "Googlebot/2.1
    (http://www.googlebot.com/bot.html)" 247

    • Exemple de logs produits par un serveur


    web Apache suite à la consultation d'une
    ressource.

    • Le format des logs est ici appelé « Format


    de journalisation combiné ».

    • Un log = des informations horodatées.


    Logs et journaux d’évènements
    91.214.92.22 - - [09/Feb/2014:16:49:49] "GET
    /category.screen?categoryId=STRATEGY&JSESSIONID=SD5SL4FF10ADFF4974
    HTTP 1.1" 200 2142 "http://www.google.com" "Googlebot/2.1
    (http://www.googlebot.com/bot.html)" 247

    • Le 9 février 2014, le navigateur web ayant


    l'adresse 91.214.92.22 a demandé au travers
    d'une requête GET les ressources de catégorie
    « stratégie » en utilisant le protocole HTTP 1.1

    • La ressource (page) qui faisait 2 142 octets a


    bien été transmise (code 200).

    • La page depuis laquelle était demandée la


    ressource était issue d'un robot d'indexation
    Google
    Les produits du marché

    Vous aimerez peut-être aussi