Security information management system

Le principe du security information management (SIM, « Gestion de l'information de sécurité ») est de gérer les événements de sécurité du système d'information (SI).

Appelés également SEM (security event management, « Gestion des événements de sécurité ») ou SEIM (security event information management, « Gestion de l'information des événements de sécurité ») ou encore SIEM (security information and event management, « Gestion de l'information et des événements de sécurité »), ils permettent de gérer et corréler les journaux. On parle de corrélation car ces solutions sont munies de moteurs de corrélation qui permettent de relier plusieurs événements à une même cause racine.

Face au nombre d'événements générés par les composants d'un système d'information, il est difficile de les traiter à la volée. Il faut pouvoir les récupérer, traiter les données brutes, les analyser pour intervenir (si besoin), et enfin archiver le tout en tant que preuve.

Fonctionnement

Les SIEM permettent donc :

la collecte des données
leur normalisation
leur agrégation
la recherche de corrélation
le reporting
l'archivage
le rejeu des événements

Collecte

Les logiciels de SIEM prennent en entrée les événements collectés du SI, les journaux système des équipements : pare-feux, routeurs, serveurs, bases de données… Ils permettent de prendre en compte différents formats (syslog, Traps SNMP, fichiers plats, OPSEC, formats propriétaires, etc.) ou nativement le format IDMEF (Intrusion Detection Message Exchange Format), spécialement conçu et validé par l'IETF sous forme de RFC pour partager l'information qui intéresse un système de détection et de protection contre les intrusions.

La collecte peut se faire de façon passive, en écoutant simplement les échanges sur le(s) réseau(x), ou de façon active, en mettant en place des agents directement sur les équipements ou à distance. Les solutions permettent également de développer des collecteurs pour prendre en compte des nouveaux formats de journaux systèmes : API, expression rationnelle…

Normalisation

Les traces brutes sont stockées sans modification pour garder leur valeur juridique. On parle de valeur probante.

Ces traces sont généralement copiées puis normalisées sous un format plus lisible. En effet, la normalisation permet de faire des recherches multi-critères, sur un champ ou sur une date. Ce sont ces événements qui seront enrichis avec d'autres données puis envoyés vers le moteur de corrélation.

Agrégation

Plusieurs règles de filtrage peuvent être appliquées. Ils sont ensuite agrégés selon les solutions, puis envoyés vers le moteur de corrélation.

Corrélation

Les règles de corrélation permettent d'identifier un événement qui a causé la génération de plusieurs autres (un hacker qui s'est introduit sur le réseau, puis a manipulé tel équipement…). Elles permettent aussi de remonter une alerte via un trap, un courriel, SMS ou ouvrir un ticket si la solution SIEM est interfacée avec un outil de gestion de tickets.

Reporting

Les SIEM permettent également de créer et générer des tableaux de bord et des rapports. Ainsi, les différents acteurs du SI, RSSI, administrateurs, utilisateurs peuvent avoir une visibilité sur le SI (nombre d'attaques, nombre d'alertes par jour…).

Archivage

Les solutions SIEM sont utilisées également pour des raisons juridiques et réglementaires. Un archivage à valeur probante permet de garantir l'intégrité des traces.

Les solutions peuvent utiliser des disques en RAID, calculer l'empreinte, utiliser du chiffrement ou autre pour garantir l'intégrité des traces.

Rejeu des événements

La majorité des solutions permettent également de rejouer les anciens événements pour mener des enquêtes post-incident. Il est également possible de modifier une règle et de rejouer les événements pour voir son comportement.

Entreprises chefs de file du marché des SIM/SEM

Entreprises chefs de file du marché des SIM/SEM^[1]^,^[2]^,^[3]^,^[4] :

Alcatel-Lucent OA Safeguard
Araknos Akab2
BlackStratus Netforensics
Cisco Cisco Security Manager
Correlog Correlog Solution Suite
CS PreludeSIEM - Smart Security - IDMEF
eIQ Networks SecureView
Extreme Networks^[5] Solution SIEM
EMC RSA Security
Inetum - Keenaï
HP ArcSight
IBM Qradar
LogLogic (en) Enterprise Virtual Appliance (à la suite du rachat de Exaprotect)
Logpoint ^[6] SIEM. But different.
LogRhythm SIEM 2.0
NetIQ Security Manager
NitroSecurity McAfee Enterprise Security Manager (un produit McAfee)
Novell Sentinel
Q1 Labs Qradar (Groupe IBM)
SenSage Advanced SIEM and Log Management
Sekoia Sekoia.io
Splunk Splunk Enterprise
Symantec Security Information Manager (le produit n'est plus commercialisé)^[7]
Tripwire Log Center
TrustWave Intellitactics Security Manager for SIEM
McAfee ESM
Elastic Stack Elastic (avec le X-pack) ^[8]

Notes et références

↑ Gartner Magic Quadrant May 2008
↑ Gartner Magic Quadrant May 2010
↑ Gartner Magic Quadrant May 2011
↑ Effective Security Monitoring Requires Context - 16 janvier 2012 - Gartner Report
↑ « Solution SIEM »
↑ (en) « logpoint Siem »
↑ « Symantec™ Security Information Manager (SSIM) is being discontinued for new customer sales as of September 2, 2013. | Symantec Connect », sur www.symantec.com (consulté le 18 avril 2017)
↑ Gartner Magic Quadrant May 2018

Portail de l’informatique

[1] Gartner Magic Quadrant May 2008

[2] Gartner Magic Quadrant May 2010

[3] Gartner Magic Quadrant May 2011

[4] Effective Security Monitoring Requires Context - 16 janvier 2012 - Gartner Report

[5] « Solution SIEM »

[6] (en) « logpoint Siem »

[7] « Symantec™ Security Information Manager (SSIM) is being discontinued for new customer sales as of September 2, 2013. | Symantec Connect », sur www.symantec.com (consulté le 18 avril 2017)

[8] Gartner Magic Quadrant May 2018

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]