SIEM Définitions et produits Semaine 6 L’histoire du SIEM
L'acronyme SIEM et sa définition ont été
proposés pour la première fois par Mark Nicolett et Amrit Williams analystes chez Gartner en 2005, décrivant comme suit les fonctionnalités du produit : Les fonctions du SIEM
Collecter, analyser et présenter les
informations « sécurité » :
• Des équipements réseau et sécurité
• Des outils de gestion des applications et des accès • Des outils de gestion de vulnérabilités et de conformité • Des logs des systèmes d'exploitation, bases de données et applications • Des données de sources de menaces externes et référentiels. L’écosystème du SIEM
• Une foule d'acronymes qui recouvrent des
domaines parfois flous : LMS / SIM / SEM / SIEM / …
• Gestion de logs, analyse de logs, corrélation
de logs, exploitation de logs, collecte de logs, analytics, Business Process Monitoring, IT monitoring, supervision IT, supervision de sécurité... LMS+SIM+SEM+SEC = SIEM
• LMS : Log Management System
• SIM : Security Information Management
• SEM : Security Event Management
• SEC : Security Event Correlation
• SIEM : Security Information and Event
Management Les domaines cibles
• Management d'applications
• Monitoring d'infrastructures
• Supervision des endpoints
• Investigation sécurité des endpoints
• Investigation sécurité des infrastructures
All machine data is security relevant Logs et journaux d’événements Logs et journaux d’événements Logs et journaux d’évènements 91.214.92.22 - - [09/Feb/2014:16:49:49] "GET /category.screen?categoryId=STRATEGY&JSESSIONID=SD5SL4FF10ADFF4974 HTTP 1.1" 200 2142 "http://www.google.com" "Googlebot/2.1 (http://www.googlebot.com/bot.html)" 247
• Exemple de logs produits par un serveur
web Apache suite à la consultation d'une ressource.