Un SIEM, dit Security Information and Event Management, a pour mission la collecte et l’analyse de tous les trafics de sûreté et d’en produire en parallèle des comptes rendus et des tableaux de bord. L’objectif étant de contrôler les réseaux en real time pour l’amélioration de leur sécurité.
Suite à un premier entretien dédié aux atouts du SIEM, Cyrille Aubergier, spécialiste en analyse de logs et de processus opérationnels de sûreté, argumente sur la manière de gérer quotidiennement le SIEM afin de profiter de toute sa performance.
À quoi sert un SIEM ?
Les SIEM sont conçus pour réunir davantage de données et de renforcer les sources : en supplément des syslog, il faut considérer les snmp, le netflow, et les différentes applications qui peuvent éventuellement provoquer des alarmes. A l’avenir, il faudra aussi mettre en relation des statuts d’alerte avec des sources d’événements neuves, telles que des événements de sûreté résultant d’applications ou bien de bases de données. De même, il faut installer une corrélation entre les événements du genre réseau ou sécurité via les événements d’erreurs des serveurs ou des bases d’informations. De nos jours, il n’existe aucune analyse rapportée de tous ces faits.
Les 3 caractéristiques de base
Un adhérent du SOC doit certifier les trois qualités vitales : la préparation, la dextérité et plus particulièrement l’espionnage, à savoir le planning, car une étude requiert du temps, ainsi que la fouille d’une base de données. Il faut de l’efficacité pour le lancement en simultanée et aller immédiatement à l’objectif. On doit donc instaurer un bon calibrage entre le contrôle pur et dur, l’examen des rapports et la gérance des incidents. La maestria et la curiosité sont aussi capitales : vouloir s’instruire et comprendre.
En bref, le gestionnaire de SIEM doit être apte à sauvegarder un gros volume de données, et ce, pendant fort longtemps. Cela va permettre d’enquêter sur les faits passés et de reconnaitre les potentiels défauts dans les techniques de surveillance en real time.