Security information management system

Le principe du security information management (SIM, « Gestion de l'information

de sécurité ») est de gérer les événements de sécurité du système d'information (SI).
Appelés également SEM (security event management, « Gestion des événements de
sécurité ») ou SEIM (security event information management, « Gestion de
l'information des événements de sécurité ») ou encore SIEM (security information
and event management, « Gestion de l'information et des événements de sécurité »),
ils permettent de gérer et corréler les journaux. On parle de corrélation car ces
solutions sont munies de moteurs de corrélation qui permettent de relier plusieurs
événements à une même cause.
Face au nombre d'événements générés par les composants d'un système
d'information, il est difficile de les traiter à la volée.
Les SIEM permettent :

1. la collecte
2. l'agrégation
3. la normalisation
4. la corrélation
5. le reporting
6. l'archivage
7. le rejeu des événements

Sommaire

 1Collecte
 2Normalisation
 3Agrégation
 4Corrélation
 5Reporting
 6Archivage
 7Rejeu des événements
 8Entreprises chefs de file du marché des SIM/SEM

Collecte
Les logiciels de SIEM prennent en entrée les événements collectés du SI, les
journaux système des équipements : pare-feux, routeurs, serveurs, bases de
données… Ils permettent de prendre en compte différents formats (syslog,
Traps SNMP, fichiers plats, OPSEC, formats propriétaires, etc.) ou nativement le
format IDMEF (Intrusion Detection Message Exchange Format), spécialement conçu
et validé par l'IETF sous forme de RFC pour partager l'information qui intéresse un
système de détection et de protection contre les intrusions.
La collecte peut se faire de façon passive en mode écoute ou active en mettant en
place des agents directement sur les équipements ou à distance. Les solutions
permettent également de développer des collecteurs pour prendre en compte des
nouveaux formats de journaux systèmes : API, expression rationnelle…

Normalisation
Les traces brutes sont stockées sans modification pour garder leur valeur juridique.
On parle de valeur probante.
Ces traces sont généralement copiées puis normalisées sous un format plus lisible.
En effet, la normalisation permet de faire des recherches multi-critères, sur un champ
ou sur une date. Ce sont ces événements qui seront enrichis avec d'autres données
puis envoyés vers le moteur de corrélation.

Agrégation
Plusieurs règles de filtrage peuvent être appliquées. Ils sont ensuite agrégés selon
les solutions, puis envoyés vers le moteur de corrélation.

Corrélation
Les règles de corrélation permettent d'identifier un événement qui a causé la
génération de plusieurs autres (un hacker qui s'est introduit sur le réseau, puis a
manipulé tel équipement…). Elles permettent aussi de remonter une alerte via
un trap, un courriel, SMS ou ouvrir un ticket si la solution SIEM est interfacée avec
un outil de gestion de tickets.

Reporting
Les SIEM permettent également de créer et générer des tableaux de bord et des
rapports. Ainsi, les différents acteurs du SI, RSSI, administrateurs, utilisateurs
peuvent avoir une visibilité sur le SI (nombre d'attaques, nombre d'alertes par jour…).

Archivage
Les solutions SIEM sont utilisées également pour des raisons juridiques et
réglementaires. Un archivage à valeur probante permet de garantir l'intégrité des
traces.
Les solutions peuvent utiliser des disques en RAID, calculer l'empreinte, utiliser du
chiffrement ou autre pour garantir l'intégrité des traces.

Rejeu des événements

La majorité des solutions permettent également de rejouer les anciens événements
pour mener des enquêtes post-incidentes. Il est également possible de modifier une
règle et de rejouer les événements pour voir son comportement.

Entreprises chefs de file du marché des SIM/SEM

Entreprises chefs de file du marché des SIM/SEM:

 Alcatel-Lucent OA Safeguard
 Araknos Akab2
 BlackStratus Netforensics
 Cisco Cisco Security Manager
 Correlog Correlog Solution Suite
 CS PreludeSIEM - Smart Security - IDMEF
 eIQ Networks SecureView
 Extreme Networks5 Solution SIEM
 EMC RSA Security
 Gfi Informatique - Keenaï
 HP ArcSight
 IBM Qradar [archive]
 LogLogic (en) Enterprise Virtual Appliance (à la suite du rachat de Exaprotect)
 Logpoint [archive] 6 SIEM. But different.
 LogRhythm SIEM 2.0
 NetIQ Security Manager
 NitroSecurity McAfee Enterprise Security Manager (un produit McAfee)
 Novell Sentinel
 Q1 Labs Qradar (Groupe IBM)
 SenSage Advanced SIEM and Log Management
 Splunk Splunk Enterprise
 Symantec Security Information Manager (le produit n'est plus commercialisé)7
 Tripwire Log Center
 TrustWave Intellitactics Security Manager for SIEM
 McAfee ESM
 Elastic [archive] Stack Elastic (avec le X-pack) 8