Qu'est-ce que le SIEM (Security Information and Event Management) ?
SIEM, abréviation de Security Information and Event Management, est un système qui centralise la collecte, le stockage et la gestion des journaux générés par divers appareils et logiciels, les analyse en temps réel pour détecter les menaces de sécurité et émet des alertes lors d'événements anormaux. Le terme SIEM désigne également le logiciel utilisé à cet effet.
Les principales caractéristiques du SIEM incluent :
Collecte et stockage des journaux d'événements :
Les systèmes SIEM collectent et stockent les journaux d'événements liés à la sécurité provenant de diverses sources telles que les pare-feu, les WAF, les logiciels antivirus, les serveurs proxy, les systèmes d'exploitation et les applications. Cependant, la collecte d’un trop grand nombre de journaux peut augmenter la charge de travail opérationnelle et compliquer des processus tels que la normalisation. Il est donc essentiel de prioriser et de sélectionner soigneusement les sources de journaux.
Normalisation des données du journal :
Les données collectées doivent être unifiées en termes de format et d’interprétation tout en éliminant les redondances. Ce processus est appelé normalisation.
Analyse de corrélation entre les données du journal :
Certaines menaces de sécurité ne peuvent pas être détectées par une seule entrée de journal. Les systèmes SIEM analysent plusieurs entrées de journal ensemble pour identifier les modèles et les menaces que les journaux individuels ne peuvent pas afficher. Par exemple, les attaques par liste de mots de passe comportent beaucoup moins de tentatives de connexion que les attaques par force brute, ce qui les rend impossibles à distinguer des erreurs de saisie typiques de l'utilisateur. En agrégeant les journaux en fonction de l'adresse IP source et en détectant plusieurs tentatives de connexion utilisant différents identifiants de la même IP, SIEM peut identifier les attaques par liste de mots de passe.
Alertes et rapports :
Si SIEM identifie des événements indiquant des menaces de sécurité, il envoie des alertes aux administrateurs. De plus, il génère des rapports qui présentent visuellement ces événements, permettant une meilleure gestion et une optimisation des défenses de sécurité.
Le BIG-IP de F5 enregistre de nombreuses données liées à la sécurité et peut s'intégrer à divers outils SIEM, améliorant ainsi encore les mesures de sécurité grâce à une analyse complète des données et à la détection des menaces.