Le SIEM 2.0

 

Piqûre de rappel

Un SIEM est une solution qui permet de gérer et corréler les événements du système d’information.

Il collecte des données, les interprète, centralise leur stockage et permet une analyse en quasi-temps réel. Par ailleurs, on peut également lui attribuer la centralisation et l’automatisation de la génération de rapports de conformité.

Pour plus de détails sur le concept du SIEM, je vous invite à lire l’article « Une vue unique sur le système d’information » rédigé par Saad.

 

Du SIEM traditionnel au SIEM 2.0

Au cours du temps, le SIEM a dû faire face à différentes lacunes telles qu’un manque d’exhaustivité dans les données, la difficulté d’utilisation ou encore un déploiement et une gestion chronophage.

Ainsi, le SIEM 2.0 permet aujourd’hui de remonter des alertes de manière « intelligente » avec un temps d’analyse réduit, facilite l’ajout de nouveaux équipements et permet de gérer des volumes de logs par seconde (EPS) toujours plus importants dans des environnement « Big data ».

Cette évolution a été possible grâce à 7 critères déterminants :

Une détection ingénieuse et unifiée

La gestion de tous les composants et modules via une interface unique donne lieu à un gain de productivité et de simplicité. Par ailleurs, l’ajout de critères tels que de la pertinence, la gravité et la crédibilité aux alertes permet une meilleure corrélation et priorisation de ces dernières tout en simplifiant leur analyse et leur qualification.

De plus, la possibilité de corréler des évènements antérieurs à la date de création des règles est également une évolution significative.

Une interface de recherche flexible

Une interface de recherche permettant l’utilisation de filtres prédéfinis et personnalisables, l’ajout et empilement de filtres et de périodes ainsi que la possibilité de scripter les requêtes et générer des rapports avec des indicateurs « évolués » est un point essentiel.

La contextualisation des composants du système d’information (SI)

La prise en compte native et automatique des composants du SI (niveau de vulnérabilité, changements, etc.) lors de la catégorisation et la priorisation des alertes augmente leur pertinence.

Une corrélation judicieuse

Un moteur de corrélation unifié (les règles sont développées via une interface unique) ne nécessitant pas de langage(s) spécifique(s) (langage intuitif permettant d’écrire des règles de corrélation en langage pseudo-humain) est un point de simplification essentiel et un gain de temps majeur.

Une rétention astucieuse

La collecte de millions de logs par jour entraine une quantité de stockage important. Par exemple, 1000 EPS génèrent un besoin de stockage d’environ 11Go par jour si l’on considère qu’un log brut « pèse » en moyenne 1Ko.

En France, la réglementation impose une durée de conservation des logs minimale pouvant aller jusqu’à 1 an en fonction de leur type. La capacité de choisir la durée de rétention en fonction de certains critères (type, source, adresse IP, un mot spécifique ou encore un port) est donc un avantage non négligeable.

Un déploiement simplifié

La découverte automatique des composants du SI et une configuration automatique des sources de données ainsi que la mise à jour automatique de la base de connaissance (dernières menaces, vulnérabilités, protocoles, etc.) sont des gains de temps considérables.

Un système « ouvert »

La possibilité d’utiliser une API permettant de « construire » autour de la solution et ainsi d’adapter le produit aux contextes métier ou encore une communauté présente permettant de capitaliser sur les « business cases » du monde entier sont des vecteurs forts d’évolution permettant ainsi au SIEM une meilleure réactivité face aux attentes du marché.

 

 

Ainsi, on remarque que les solutions accumulant ces critères figurent dans la partie supérieure droite du « Magic Quadrant » Gartner et sont donc les leaders actuels du marché.

Et demain, le SIEM 3.0 ?

Les cyber-menaces ne cessant d’évoluer avec l’arrivée permanente de nouvelles technologies et de nouveaux usages, le SIEM doit se réinventer en permanence. Ainsi, on peut déjà remarquer que certaines solutions SIEM tentent déjà de repérer les signaux faibles, de limiter automatiquement la remontée d’incidents non significatifs en terme de sécurité ou encore de répondre en quasi temps-réel aux attaques.

Par ailleurs, certains points d’amélioration sont envisagés tels qu’un « système d’alerte précoce » se basant sur des scenarios prédéfinis par l’utilisateur voire la création de scénarios à la volée grâce à l’auto-apprentissage.


Grégoire

  • Google Plus
  • LinkedIn
  • Viadeo