Académique Documents
Professionnel Documents
Culture Documents
1. la collecte
2. l'agrégation
3. la normalisation
4. la corrélation
5. le reporting
6. l'archivage
7. le rejeu des événements
Sommaire
1Collecte
2Normalisation
3Agrégation
4Corrélation
5Reporting
6Archivage
7Rejeu des événements
8Entreprises chefs de file du marché des SIM/SEM
Collecte
Les logiciels de SIEM prennent en entrée les événements collectés du SI, les
journaux système des équipements : pare-feux, routeurs, serveurs, bases de
données… Ils permettent de prendre en compte différents formats (syslog,
Traps SNMP, fichiers plats, OPSEC, formats propriétaires, etc.) ou nativement le
format IDMEF (Intrusion Detection Message Exchange Format), spécialement conçu
et validé par l'IETF sous forme de RFC pour partager l'information qui intéresse un
système de détection et de protection contre les intrusions.
La collecte peut se faire de façon passive en mode écoute ou active en mettant en
place des agents directement sur les équipements ou à distance. Les solutions
permettent également de développer des collecteurs pour prendre en compte des
nouveaux formats de journaux systèmes : API, expression rationnelle…
Normalisation
Les traces brutes sont stockées sans modification pour garder leur valeur juridique.
On parle de valeur probante.
Ces traces sont généralement copiées puis normalisées sous un format plus lisible.
En effet, la normalisation permet de faire des recherches multi-critères, sur un champ
ou sur une date. Ce sont ces événements qui seront enrichis avec d'autres données
puis envoyés vers le moteur de corrélation.
Agrégation
Plusieurs règles de filtrage peuvent être appliquées. Ils sont ensuite agrégés selon
les solutions, puis envoyés vers le moteur de corrélation.
Corrélation
Les règles de corrélation permettent d'identifier un événement qui a causé la
génération de plusieurs autres (un hacker qui s'est introduit sur le réseau, puis a
manipulé tel équipement…). Elles permettent aussi de remonter une alerte via
un trap, un courriel, SMS ou ouvrir un ticket si la solution SIEM est interfacée avec
un outil de gestion de tickets.
Reporting
Les SIEM permettent également de créer et générer des tableaux de bord et des
rapports. Ainsi, les différents acteurs du SI, RSSI, administrateurs, utilisateurs
peuvent avoir une visibilité sur le SI (nombre d'attaques, nombre d'alertes par jour…).
Archivage
Les solutions SIEM sont utilisées également pour des raisons juridiques et
réglementaires. Un archivage à valeur probante permet de garantir l'intégrité des
traces.
Les solutions peuvent utiliser des disques en RAID, calculer l'empreinte, utiliser du
chiffrement ou autre pour garantir l'intégrité des traces.
Alcatel-Lucent OA Safeguard
Araknos Akab2
BlackStratus Netforensics
Cisco Cisco Security Manager
Correlog Correlog Solution Suite
CS PreludeSIEM - Smart Security - IDMEF
eIQ Networks SecureView
Extreme Networks5 Solution SIEM
EMC RSA Security
Gfi Informatique - Keenaï
HP ArcSight
IBM Qradar [archive]
LogLogic (en) Enterprise Virtual Appliance (à la suite du rachat de Exaprotect)
Logpoint [archive] 6 SIEM. But different.
LogRhythm SIEM 2.0
NetIQ Security Manager
NitroSecurity McAfee Enterprise Security Manager (un produit McAfee)
Novell Sentinel
Q1 Labs Qradar (Groupe IBM)
SenSage Advanced SIEM and Log Management
Splunk Splunk Enterprise
Symantec Security Information Manager (le produit n'est plus commercialisé)7
Tripwire Log Center
TrustWave Intellitactics Security Manager for SIEM
McAfee ESM
Elastic [archive] Stack Elastic (avec le X-pack) 8