Le logiciel de gestion des informations et des événements de sécurité recueille des informations pour aider à identifier et suivre les cyber violations. Voici comment comprendre leurs fonctionnalités et comment ils peuvent aider à défendre votre infrastructure d’entreprise.
Introduction à Siem
Les produits de logiciels de gestion de la sécurité et de gestion des événements (SIEM) font partie du logiciel Enterprise depuis que la catégorie a été créée en 2005 par quelques analystes de Gartner. Il s’agit d’un terme parapluie qui définit un moyen de gérer le déluge des données du journal des événements pour aider à surveiller la posture de sécurité d’une entreprise et à être un avertissement précoce des applications compromises ou mal comportementales.
L’objectif des produits SIEM est de distiller cette grande quantité de télémétrie pour fournir des informations de sécurité exploitables et, espérons-le,. À mesure que le nombre d’alertes augmente, ces produits doivent éliminer les événements les plus importants sur lesquels les analystes SOC peuvent se concentrer. Cela signifie une utilisation minutieuse et significative de l’automatisation, de l’orchestration et de diverses techniques de réponse à la sécurité. Ce dernier point est la raison pour laquelle vous trouvez maintenant les fonctionnalités SIEM intégrées dans d’autres outils de sécurité. «Compte tenu de plus d’interdépendances, les acheteurs informatiques doivent être conscients de la façon dont le déploiement d’une solution SIEM aura un impact sur leur écosystème de produits de sécurité existant, les coûts impliqués et l’expérience des analystes», écrit Andrew Green de Gigaom dans un rapport de 2024.
Au cours des années qui ont suivi la reconnaissance de SIEM comme une catégorie de produits, son objectif et ses fonctionnalités ont augmenté de portée. Les composants clés peuvent couvrir plusieurs des technologies suivantes:
- À la base, un SIEM est conçu pour analyser et analyser divers fichiers journaux, y compris les pare-feu, les serveurs, les routeurs, etc. Cela signifie que SIEMS peut devenir le «centre nerveux» central d’un centre d’opérations de sécurité, ce qui entraîne d’autres fonctions de surveillance pour résoudre les différentes alertes quotidiennes.
- À ces données, divers flux de renseignements sur les menaces peuvent être utilisés pour corréler les entrées du journal et identifier un dispositif compromis potentiel. Les analystes de Gartner indiquent dans leur dernier rapport SIEM à partir de mai 2024 que tout outil devrait avoir «la possibilité pour les utilisateurs finaux de développer, de modifier et de maintenir les cas d’utilisation de détection de menace en utilisant des méthodes basées sur la corrélation, l’analyse et la signature.»
- De nombreux SIEM ajoutent également la capacité de faire des risques et de produire une série d’actions recommandées à prendre en fonction de ces scores.
- Certains fournissent diverses fonctions d’orchestration et de réponse, ainsi que des moyens d’automatiser les tâches SOC. «Nous voyons que la plupart des vendeurs de SIEM ont incorporé des capacités de soar et les construisent plus robustes», explique Mellen. Ceci est typique car davantage d’outils de sécurité ajoutent plus de fonctionnalités d’automatisation pour les rendre plus faciles à utiliser et plus productifs. Dans certains cas, cela emmène ces produits dans la catégorie SOAR. «Beaucoup de ces vendeurs de divorance autonomes sur le marché finissent par faire pivoter de nouvelles fonctionnalités et capacités sur d’autres marchés pour construire une offre plus complète», dit-elle.
Comment fonctionne Siem
Un produit SIEM typique suit trois grandes étapes. Premièrement, il recueille et agrége les données dans une variété de sources d’infrastructure et de sécurité des réseaux et des applications. Au fil des ans, le logiciel SIEM a élargi leur objectif pour collecter des données à la fois sur site et aux systèmes basés sur le cloud. Leur fonctionnalité distinctive est la quantité de données qu’ils peuvent ingérer et catégoriser à tout moment. «Avec de plus en plus d’infrastructures et de services numériques qui deviennent critiques à chaque entreprise, les outils SIEM doivent gérer des volumes de données plus élevés», écrit Gigaom’s Green. À titre d’exemple de leur complexité croissante, les journaux Kubernetes peuvent se présenter sous diverses formes, y compris les journaux d’audit généraux, les journaux de processus de contrôleur, les demandes et les réponses de l’API et les événements de planification – qui peuvent contenir l’intelligence de sécurité critique. Cela signifie que les acheteurs potentiels d’un SIEM devraient comprendre la profondeur de la couverture d’un produit potentiel.
Ensuite, ils analysent et font rapport en temps quasi réel sur ce qui se passe dans votre entreprise sur toutes les menaces ou les anomalies détectées. Cela stimule la troisième étape pour guider toute réponse, atténuation et recommander toute activité de conformité. Les analystes verts et autres soulignent que lorsque les réglementations prolifèrent, SIEM devient essentiel et indispensable et, dans certains cas, son utilisation est mandatée par les processus de conformité réglementaire légaux.
Avantages et composants clés de SIEM
Les produits SIEM ont plusieurs avantages clés, correspondant à leurs principales technologies de composants.
Premièrement, ils améliorent les capacités typiques de détection des menaces en ayant une vue plus large de ce qui se passe dans votre entreprise. Cela pourrait être fourni en combinant leur propre intelligence de menaces et en s’intégrant à plusieurs flux de menaces publiques ou privées. Puisqu’ils collectent ces sources d’événements disparates et se combinent avec l’analyse des journaux, ils peuvent fournir une image plus complète de la menace du compromis initial au déploiement éventuel. En règle générale, cela se fait avec des tableaux de bord de données et divers outils de visualisation pour pouvoir afficher et agir sur les différentes alertes.
De nombreux produits SIEM ont commencé à offrir des analyses de comportement des utilisateurs et des entités supplémentaires (UEBA) dans le cadre de leur boîte à outils. Cela examine les modèles d’opérations par les utilisateurs et les points de terminaison pour établir des lignes de base prévisibles. Par exemple, une ligne de base pourrait être si un utilisateur visite périodiquement un site Web particulier ou télécharge une certaine collection de fichiers à un certain moment de la journée. Un changement dans ces modèles pourrait générer une alerte pour le SIEM pour analyser et évaluer comme une menace de sécurité potentielle.
De plus, SIEMS aide à améliorer les fonctions de conformité et de rapport, offrant de meilleures pistes d’audit et évaluations de ces événements. Enfin, ils peuvent centraliser la gestion de la sécurité en s’intégrant à une variété de systèmes de sécurité existants, tels que Soar, EDR et d’autres outils d’automatisation. Certains des fournisseurs de SIEM s’orientent vers la combinaison des fonctions SIEM et SOAR en une seule offre, comme avec l’orchestrateur Sentinel and Netwitness de Microsoft. Une alternative est lorsque deux fournisseurs combinent des forces, telles que SOAR de Future enregistrée dans les opérations de sécurité de Google. D’autres fournisseurs tels que le cortex de Fortinet et Palo Alto Networks conservent les deux collections d’outils en tant que produits distincts. «Les outils de soar peuvent commencer à exécuter indépendamment des outils SIEM pour renforcer la posture de sécurité d’une organisation et automatiser également les processus non sécurité», explique Gigaom’s Green dans son rapport d’octobre 2024 lié ci-dessus.
La tendance à une meilleure intégration de sécurité est un autre grand avantage de SIEM, car il peut réduire l’étalement des outils. «Avec autant d’outils en jeu, le maintien d’une visibilité complète à travers le réseau devient difficile. Cette visibilité fragmentée peut entraîner des angles morts, où les incidents de sécurité peuvent passer inaperçus ou non traités », a écrit Kim Larsen, le CISO de Keetit.
Défis et limites de SIEM
L’un des plus grands défis de la mise en œuvre d’un SIEM est de le connecter à votre collection d’outils de sécurité existante. «Beaucoup de clients à qui nous parlons veulent un outil intégré aux workflows qu’ils utilisent», explique Mellen. Cela semble du bon sens, mais n’est toujours pas universel car pour qu’un SIEM soit utile, cela devrait s’intégrer dans de nombreux endroits différents. Le défi est également pour les vendeurs d’offrir autant de intégrations que possible pour s’adapter aux circonstances particulières.
Plusieurs analystes ont cité un autre obstacle, à avoir à trouver du personnel qualifié qui peut utiliser un produit SIEM et utiliser ses nombreuses fonctionnalités.
Enfin, trouver des prix précis est toujours un défi. Un point lumineux est la page de tarification transparente de LogPoint, où il calculera le coût en fonction de la quantité et des fonctionnalités sélectionnées. La plupart des vendeurs sont plus circonspectifs ou opaques jusqu’à ce que vous vous déplacez plus loin dans le processus de vente avant de citer un prix.
Avenir de Siem
Même si les produits SIEM existent depuis près de deux décennies, la catégorie continue d’adopter et d’étendre son objectif d’origine, grâce à l’ajout de support UEBA et d’autres méthodes d’analyse comportementale, ainsi qu’à pouvoir adapter les risques pour améliorer les cas d’utilisation de corrélation et l’analyse. La plupart des outils ont renforcé leurs règles de corrélation et d’alerte prêtes à l’emploi, ce qui les rend à la fois plus productifs et plus faciles à embarquer et à déployer. Et au fur et à mesure que le monde évoluait pour adopter un accès plus éloigné et mobile, les produits SIEM ont amélioré leur soutien à ces situations pour fournir de meilleurs rapports et une intelligence plus approfondie destinée à ces circonstances.
Les outils SIEM ont également suivi le rythme de la transition vers l’apprentissage automatique et l’intelligence artificielle. Beaucoup ont ajouté des modèles tels que le GPT4 d’OpenAI afin qu’ils puissent travailler avec des commandes de langue naturelle typés ou être utilisés pour générer des requêtes pour aider à rechercher des modalités de menace. Mais cela soulève des préoccupations pour leur précision et comment les modèles sont formés sur des données privées ou s’ils stockeront des informations privilégiées dans les nuages publics. Les derniers SIEMS doivent également suivre le rythme des dernières menaces multimode complexes, tout comme les autres outils défensifs modernes.
«Lors de l’évaluation des solutions, il est important de décider si vous avez besoin d’un SIEM ou d’un outil unifié pour automatiser votre centre d’opérations de sécurité», écrit Howard Holton, le COO de Gigaom. Il suggère que les analystes doivent être en mesure de différencier SIEM des produits qui peuvent être utilisés pour automatiser les opérations du SOC quotidiennes, et les acheteurs potentiels devraient examiner les moyens d’optimise et d’intégration de divers flux de données et comment il s’intègre aux outils de sécurité existants.
Qui sont les principaux vendeurs de SIEM?
Il y a plus de deux douzaines de vendeurs de SIEM différents. Le dernier rapport de Gartner répertorie Exabeam Loghhythm, IBM Qradar, Splunk, Microsoft Sentinel et Securonix Unified Defense en tant que leaders. Notre guide des acheteurs comprend plusieurs autres fournisseurs, notamment Datadog Cloud, Fortinet Fortisiem, LogPoint et OpenText ArcSight Enterprise Security Manager, entre autres.
Voici quelques questions pour aider à évaluer et à comparer les solutions SIEM:
- Le produit offre-t-il plus de fonctionnalités de protection et d’automatisation que d’utiliser un outil XDR ou SOAR?
- Quelle est la largeur et l’agnostique du support et de l’intégration pour plusieurs fournisseurs de sécurité tiers? Comment ces données sont-elles enrichies et combinées dans le SIEM?
- Comment l’automatisation et l’orchestration de votre SIEM sont-elles permis de rendre les analystes SOC plus productifs?
- Quels outils LLMS et IA sont utilisés pour améliorer ses fonctionnalités?
- Le SIEM peut-il fonctionner dans les trois modes: cloud public et privé et site?
