Security information and event management

Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.

La mise en forme de cet article est à améliorer (juin 2023).

La mise en forme du texte ne suit pas les recommandations de Wikipédia : il faut le « wikifier ».

Le Security Information and Event Management (SIEM, « systèmes de gestion des événements et des informations de sécurité »^[1]), est un domaine de la sécurité informatique, au sein duquel les produits et services logiciels combinent la gestion des informations de sécurité (SIM) et la gestion des événements de sécurité (SEM). Ils fournissent ainsi une analyse en temps réel des alertes de sécurité générées par les applications et le matériel réseau.

Les SIEM sont vendus sous forme logicielle, matérielle ou sous forme de services gérés. Ces produits sont également utilisés pour enregistrer les données de sécurité et générer des rapports à des fins de conformité^[2].

Histoire[modifier | modifier le code]

Le terme et le sigle SIEM est inventé par Mark Nicolett et Amrit Williams de Gartner en 2005^[3].

Les SIEM sont des outils essentiels dans le paysage de la cybersécurité moderne. Leur histoire reflète l'évolution des défis de sécurité et des besoins des entreprises pour gérer et répondre aux menaces informatiques. Voici un aperçu de l'historique des SIEM :

Début des années 2000 - Premières générations :
- Les premiers systèmes de gestion des informations de sécurité (SIM) apparaissent, offrant des fonctionnalités de collecte, de stockage et d'analyse des journaux de sécurité.
- Les outils SIM sont principalement utilisés pour répondre aux exigences réglementaires et de conformité, telles que la norme HIPAA ou les normes PCI DSS.

Milieu des années 2000 - Évolution vers les SIEM :
- Les SIM évoluent pour devenir des SIEM, intégrant désormais la gestion des événements de sécurité en temps réel (SEM) avec les fonctionnalités de gestion de l'information de sécurité.
- Les SIEM ajoutent la corrélation d'événements en temps réel, permettant de détecter les modèles d'activité suspecte et les menaces potentielles.

Fin des années 2000 - Focalisation sur la visibilité et la réponse aux incidents :
- Les SIEM se concentrent de plus en plus sur la visibilité en temps réel et la capacité à répondre rapidement aux incidents de sécurité.
- Les fonctionnalités avancées telles que l'analyse comportementale, la détection d'anomalies et la réponse automatisée deviennent de plus en plus courantes.

Années 2010 - Élargissement du périmètre de surveillance :
- Les SIEM commencent à intégrer des sources de données variées, telles que les journaux d'applications, les flux de données réseau, les données d'identité et d'accès, etc.
- L'intégration avec d'autres outils de sécurité, comme les solutions de gestion des vulnérabilités et de gestion des accès privilégiés, devient de plus en plus courante.

Années 2010-2020 - Adapatation aux défis modernes :
- Les SIEM évoluent pour faire face aux défis croissants liés aux environnements cloud, à l'IoT (Internet des Objets) et aux menaces avancées persistantes (APT).
- L'intelligence artificielle (IA) et l'apprentissage automatique (machine learning) sont de plus en plus utilisés pour améliorer la détection des menaces et réduire les faux positifs.

Années 2020 et au-delà - Transformation numérique et convergence :
- Les SIEM évoluent pour devenir des plates-formes de sécurité intégrées, intégrant des fonctionnalités de gestion des menaces, d'analyse de sécurité et de réponse aux incidents.
- La convergence des SIEM avec d'autres solutions de sécurité, telles que les outils SOAR (Security Orchestration, Automation and Response) et les plateformes XDR (Extended Detection and Response), devient une tendance majeure.

Fonctionnement[modifier | modifier le code]

Le SIEM permet : la collecte des données, leur normalisation, leur agrégation, la recherche de corrélation, le reporting, l'archivage, le rejeu des événements.

Collecte[modifier | modifier le code]

Les logiciels de SIEM prennent en entrée les événements collectés du SI, les journaux système des équipements : pare-feux, routeurs, serveurs, bases de données… Ils permettent de prendre en compte différents formats (syslog, Traps SNMP, fichiers plats, OPSEC, formats propriétaires, etc.) ou nativement le format IDMEF (Intrusion Detection Message Exchange Format), spécialement conçu et validé par l'IETF sous forme de RFC pour partager l'information qui intéresse un système de détection et de protection contre les intrusions.

La collecte peut se faire de façon passive, en écoutant simplement les échanges sur le(s) réseau(x), ou de façon active, en mettant en place des agents directement sur les équipements ou à distance. Les solutions permettent également de développer des collecteurs pour prendre en compte des nouveaux formats de journaux systèmes : API, expression rationnelle…

Normalisation[modifier | modifier le code]

Les traces brutes sont stockées sans modification pour garder leur valeur juridique. On parle de valeur probante.

Ces traces sont généralement copiées puis normalisées sous un format plus lisible. En effet, la normalisation permet de faire des recherches multi-critères, sur un champ ou sur une date. Ce sont ces événements qui seront enrichis avec d'autres données puis envoyés vers le moteur de corrélation.

Agrégation[modifier | modifier le code]

Plusieurs règles de filtrage peuvent être appliquées. Ils sont ensuite agrégés selon les solutions, puis envoyés vers le moteur de corrélation.

Corrélation[modifier | modifier le code]

La fonction de corrélation est une composante essentielle des outils SIEM qui permet de détecter les modèles d'activité suspecte ou malveillante au sein des vastes quantités de données de sécurité collectées. En utilisant des algorithmes sophistiqués, les SIEM analysent en temps réel les événements et les données provenant de multiples sources, tels que les journaux système, les flux de données réseau, les journaux d'applications, et plus encore.

La corrélation permet de lier et de contextualiser ces événements en identifiant des séquences d'actions qui pourraient indiquer une attaque ou une violation de sécurité. Par exemple, une série d'événements apparemment anodins tels que des tentatives de connexion infructueuses suivies de l'accès à des fichiers sensibles pourrait déclencher une alerte de corrélation.

En mettant en relation les événements apparemment disparates, la corrélation permet aux équipes de sécurité de détecter plus rapidement les menaces potentielles et de prendre des mesures correctives avant qu'elles ne causent des dommages significatifs.

Reporting[modifier | modifier le code]

Les SIEM permettent également de créer et générer des tableaux de bord et des rapports. Ainsi, les différents acteurs du SI, RSSI, administrateurs, utilisateurs peuvent avoir une visibilité sur le SI (nombre d'attaques, nombre d'alertes par jour…).

Archivage[modifier | modifier le code]

Les solutions SIEM sont utilisées également pour des raisons juridiques et réglementaires. Un archivage à valeur probante permet de garantir l'intégrité des traces.

Les solutions peuvent utiliser des disques en RAID, calculer l'empreinte, utiliser du chiffrement ou autre pour garantir l'intégrité des traces.

Rejeu des événements[modifier | modifier le code]

La majorité des solutions permettent également de rejouer les anciens événements pour mener des enquêtes post-incident. Il est également possible de modifier une règle et de rejouer les événements pour voir son comportement.

Terminologie[modifier | modifier le code]

Les acronymes SEM, SIM et SIEM sont parfois utilisés de manière interchangeable^[4], mais font généralement référence aux différents objectifs principaux des produits :

Gestion des logs : elle se concentre sur la collecte et le stockage simple des enregistreurs de données et des pistes d'audit^[5].
Security information management (SIM) : il se focalise sur le stockage à long terme ainsi que l'analyse et la création de rapports sur les données des journaux^[6].
Security event manager (SEM) : il se focalise sur la surveillance en temps réel, la corrélation des événements, les notifications et les tableaux de bords.
Security information and event management (SIEM) : il combine SIM et SEM et fournit une analyse en temps réel des alertes de sécurité générées par le matériel et les applications du réseau^[7]^,^[8].
Managed Security Service (MSS) ou Managed Security Service Provider (MSSP) : les services gérés les plus courants semblent évoluer autour de la connectivité et de la bande passante, de la surveillance du réseau, de la sécurité, de la virtualisation et de la reprise après sinistre.
Security as a service (SECaaS) : Ces services de sécurité incluent souvent l'authentification, l'antivirus, l'anti-malware, la détection d'intrusion, les tests d'intrusion, la gestion des événements de sécurité, etc.

En pratique, de nombreuses solutions de cyber sécurité mélangent ces fonctions, il y a donc souvent un chevauchement et de nombreux fournisseurs promeuvent leur propre terminologie^[9]. Souvent, les fournisseurs commerciaux proposent différentes combinaisons de ces fonctionnalités qui tendent à améliorer le SIEM dans son ensemble. La gestion des journaux à elle seule ne fournit pas d'informations en temps réel sur la sécurité du réseau, le SEM à lui seul ne fournira pas de données complètes pour une analyse approfondie des menaces. Lorsque le SEM et la gestion des journaux sont combinés, plus d'informations sont disponibles pour que SIEM puisse les surveiller^[10].

Composants[modifier | modifier le code]

Les architectures SIEM peuvent varier selon le fournisseur, généralement, les composants essentiels sont les suivants^[11] :

Un collecteur de données transmettant les journaux d'audit sélectionnés à partir d'un hôte^[12]^,^[13].
Un point d'agrégation de points d'ingestion et d'indexation pour l'analyse, la corrélation et la normalisation des données^[14].
Un nœud de recherche utilisé pour la visualisation, les requêtes, les rapports et les alertes (l'analyse a lieu sur un nœud de recherche)^[15].

Voir aussi[modifier | modifier le code]

Security information management system

Références[modifier | modifier le code]

↑ « C'est quoi un outil SIEM (security information event management)? », sur Splunk (consulté le 6 juin 2023)
↑ « SIEM: A Market Snapshot », Dr.Dobb's Journal, 5 février 2007
↑ Williams, « Improve IT Security With Vulnerability Management », 2 mai 2005 (consulté le 9 avril 2016) : « Security information and event management (SIEM) »
↑ Swift, « A Practical Application of SIM/SEM/SIEM, Automating Threat Identification » [PDF], SANS Institute, 26 décembre 2006 (consulté le 14 mai 2014) : « ...the acronym SIEM will be used generically to refer... », p. 3
↑ Kent et Souppaya, « Guide to Computer Security Log Management », NIST, Computer Security Resource Center, NIST,‎ septembre 2006 (DOI 10.6028/NIST.SP.800-92, S2CID 221183642, lire en ligne)
↑ Jamil, Amir, « The difference between SEM, SIM and SIEM », 29 mars 2010
↑ « SIEM: A Market Snapshot », Dr.Dobb's Journal, 5 février 2007
↑ The Future of SIEM - The market will begin to diverge
↑ Bhatt, Manadhata et Zomlot, « The Operational Role of Security Information and Event Management Systems », IEEE Security & Privacy, vol. 12, n^o 5,‎ 2014, p. 35–41 (DOI 10.1109/MSP.2014.103, S2CID 16419710, lire en ligne)
↑ Jamil, Amir, « The difference between SEM, SIM and SIEM », 29 mars 2010
↑ Kotenko, Polubelova et Saenko, « The Ontological Approach for SIEM Data Repository Implementation », 2012 IEEE International Conference on Green Computing and Communications, Besancon, France, IEEE,‎ novembre 2012, p. 761–766 (ISBN 978-1-4673-5146-1, DOI 10.1109/GreenCom.2012.125, S2CID 18920083, lire en ligne)
↑ Kotenko et Chechulin, « Common Framework for Attack Modeling and Security Evaluation in SIEM Systems », 2012 IEEE International Conference on Green Computing and Communications,‎ novembre 2012, p. 94–101 (ISBN 978-1-4673-5146-1, DOI 10.1109/GreenCom.2012.24, S2CID 15834187, lire en ligne)
↑ (en-US) Karl-Bridge-Microsoft, « Eventlog Key - Win32 apps », docs.microsoft.com (consulté le 18 juillet 2021)
↑ Kotenko, Polubelova et Saenko, « The Ontological Approach for SIEM Data Repository Implementation », 2012 IEEE International Conference on Green Computing and Communications,‎ novembre 2012, p. 761–766 (ISBN 978-1-4673-5146-1, DOI 10.1109/GreenCom.2012.125, S2CID 18920083, lire en ligne)
↑ Azodi, Jaeger, Cheng et Meinel, « Pushing the Limits in Event Normalisation to Improve Attack Detection in IDS/SIEM Systems », 2013 International Conference on Advanced Cloud and Big Data,‎ décembre 2013, p. 69–76 (ISBN 978-1-4799-3261-0, DOI 10.1109/CBD.2013.27, S2CID 1066886, lire en ligne)

Portail de la sécurité informatique

[1] « C'est quoi un outil SIEM (security information event management)? », sur Splunk (consulté le 6 juin 2023)

[drdobbs2007-2] « SIEM: A Market Snapshot », Dr.Dobb's Journal, 5 février 2007

[3] Williams, « Improve IT Security With Vulnerability Management », 2 mai 2005 (consulté le 9 avril 2016) : « Security information and event management (SIEM) »

[Generic-4] Swift, « A Practical Application of SIM/SEM/SIEM, Automating Threat Identification » [PDF], SANS Institute, 26 décembre 2006 (consulté le 14 mai 2014) : « ...the acronym SIEM will be used generically to refer... », p. 3

[5] Kent et Souppaya, « Guide to Computer Security Log Management », NIST, Computer Security Resource Center, NIST,‎ septembre 2006 (DOI 10.6028/NIST.SP.800-92, S2CID 221183642, lire en ligne)

[r1-6] Jamil, Amir, « The difference between SEM, SIM and SIEM », 29 mars 2010

[drdobbs20072-7] « SIEM: A Market Snapshot », Dr.Dobb's Journal, 5 février 2007

[8] The Future of SIEM - The market will begin to diverge

[9] Bhatt, Manadhata et Zomlot, « The Operational Role of Security Information and Event Management Systems », IEEE Security & Privacy, vol. 12, n^o 5,‎ 2014, p. 35–41 (DOI 10.1109/MSP.2014.103, S2CID 16419710, lire en ligne)

[r12-10] Jamil, Amir, « The difference between SEM, SIM and SIEM », 29 mars 2010

[11] Kotenko, Polubelova et Saenko, « The Ontological Approach for SIEM Data Repository Implementation », 2012 IEEE International Conference on Green Computing and Communications, Besancon, France, IEEE,‎ novembre 2012, p. 761–766 (ISBN 978-1-4673-5146-1, DOI 10.1109/GreenCom.2012.125, S2CID 18920083, lire en ligne)

[12] Kotenko et Chechulin, « Common Framework for Attack Modeling and Security Evaluation in SIEM Systems », 2012 IEEE International Conference on Green Computing and Communications,‎ novembre 2012, p. 94–101 (ISBN 978-1-4673-5146-1, DOI 10.1109/GreenCom.2012.24, S2CID 15834187, lire en ligne)

[:4-13] (en-US) Karl-Bridge-Microsoft, « Eventlog Key - Win32 apps », docs.microsoft.com (consulté le 18 juillet 2021)

[14] Kotenko, Polubelova et Saenko, « The Ontological Approach for SIEM Data Repository Implementation », 2012 IEEE International Conference on Green Computing and Communications,‎ novembre 2012, p. 761–766 (ISBN 978-1-4673-5146-1, DOI 10.1109/GreenCom.2012.125, S2CID 18920083, lire en ligne)

[15] Azodi, Jaeger, Cheng et Meinel, « Pushing the Limits in Event Normalisation to Improve Attack Detection in IDS/SIEM Systems », 2013 International Conference on Advanced Cloud and Big Data,‎ décembre 2013, p. 69–76 (ISBN 978-1-4799-3261-0, DOI 10.1109/CBD.2013.27, S2CID 1066886, lire en ligne)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]