Splunk ou Insight IDR, Quel SIEM choisir ?

Concept de SIEM

Un SIEM (Security Information and Event Management) est un système permettant la gestion des fichiers journaux de solution de sécurité (aussi nommés logs). Il offre ainsi une vision en temps réel de l’état de la sécurité d’un système d’information. Le rôle d’un SIEM se décompose en quatre fonctions principales :

  • Collecter : les fichiers journaux sont présents dans tout le système d’information, sur de nombreux d’équipements (pare-feu, anti-virus, EDR…). Il s’agit de récupérer ses informations pour les centraliser en un point.
  • Traiter : les logs peuvent être de formats différents (Syslog, Windows Event…) et donc compliqués à interpréter directement. Le SIEM va donc les traiter, par exemple en séparant les différents champs et en leur attribuant des noms.
  • Stocker : les logs doivent également être stockés dans des fichiers mémoire, afin de permettre leur consultation dans le temps. Dans certains cas, c’est une obligation légale de garder ces logs. A noter que l’utilisation des fichiers journaux contenant des informations personnelles à une fin de sécurité est autorisée par la raison 49 du RGPD.
  • Valoriser : les informations sont alors présentées, sous forme de tableaux ou graphiques, dans des tableaux de bord, en général accessibles via une interface web. Le but est de présenter à l’équipe en charge de la sécurité une vision à la fois globale et précise de l’état du système d’information. La plupart des SIEM proposent également des fonctionnalités d’alerte, permettant par exemple d’envoyer un mail si un événement spécifique est détecté.

Le déploiement SIEM au sein d’une entreprise permet une analyse approfondie des événements de sécurité. Une solution SIEM efficace centralise les informations de sécurité, facilite l’identification des menaces et améliore la capacité de réponse aux incidents.

En résumé, la force d’un SIEM est de rassembler des données de sources disparates en un point central, apportant ainsi des possibilités de corrélation et présentation indispensables à une bonne vision de la sécurité d’un système.

Pourquoi choisir un SIEM ?

Les avantages du SIEM sont nombreux pour les entreprises soucieuses de leur sécurité. Un SIEM aide à centraliser et à analyser les données de sécurité provenant de diverses sources (pare-feu, antivirus, serveurs, etc.). Ce type de produit permet de détecter les menaces de sécurité en corrélant les événements et en identifiant les schémas suspects. Un SIEM aide également à répondre aux exigences de conformité en matière de sécurité et de protection des données. En offrant une solution de gestion centralisée des logs de sécurité, le logiciel SIEM facilite la surveillance de l’environnement informatique et la gestion des alertes de sécurité. Il aide les équipes du SOC à identifier plus rapidement les risques potentiels et à y répondre de manière appropriée. De plus, il est possible de combiner différentes sources de logs et d’établir des règles de détection personnalisées afin de mieux cibler les menaces. En utilisant un produit de ce type, les entreprises peuvent réduire considérablement le risque de violation de données et améliorer leur posture de sécurité globale.

  • Analyse des risques: le SIEM permet d’analyser en profondeur les risques liés aux activités des utilisateurs, aux applications et aux systèmes, offrant une vision claire des vulnérabilités potentielles.
  • Solution de gestion unifiée: en tant que solution de gestion unifiée, le SIEM simplifie la supervision de l’ensemble de l’infrastructure de sécurité, réduisant la complexité et améliorant l’efficacité.
  • Alertes personnalisées: le SIEM offre la possibilité de configurer des alertes personnalisées pour chaque type de menace, permettant une réaction rapide et précise en cas d’incident de sécurité.

Amélioration continue: grâce à ses capacités d’analyse et de reporting, le SIEM aide les entreprises à améliorer en continu leur posture de sécurité et à s’adapter aux évolutions des menaces.

Présentation de deux leaders : Splunk et Insight IDR

mapping-SIEM
Figure 1 : Gartner Magic Quadrant sur les SIEM en février 2020. Il présente Splunk et Rapid7 (société créatrice d’Insight IDR) comme des leaders du marché.

a) Splunk 

Splunk est un des SIEM les plus connus et répandus. Développé par la société du même nom, il se présente historiquement comme une solution de management de logs, non spécialisée en sécurité. En effet, sa polyvalence lui permet d’être utilisé pour d’autre type de besoins, par exemple de la Business Intelligence (BI). Les SIEM aident les entreprises à surveiller leurs serveurs et leurs réseaux en temps réel, à détecter les activités suspectes et à réagir rapidement aux incidents de sécurité.

b) Insight IDR

Insight IDR est un SIEM plus récent, développé par la société Rapid7. Contrairement à Splunk, Insight IDR est destiné exclusivement à la gestion de logs de sécurité, avec de nombreuses fonctionnalités (sources de logs, tableaux de bord et alertes) préconfigurées. Ce SIEM permet de surveiller l’ensemble des événements de sécurité et d’intégrer facilement de nouvelles sources de données.

Comparatif

a) Architecture

Splunk est disponible en version on-premise ou cloud, tandis qu’Insight IDR est une solution uniquement cloud. Ainsi, dans le cas de logs critiques qui ne doivent pas transiter par Internet, la solution de Rapid7 est à proscrire. Par exemple, une entreprise soumise à des réglementations strictes en matière de confidentialité des données, et qui collecte des informations sensibles sur ses clients, pourrait préférer Splunk on-premise pour un contrôle accru et minimiser les menaces liées au transfert de données.

Il est important de noter que les solutions SIEM ont évolué pour offrir des fonctionnalités de sécurité avancées, telles que la détection des menaces en temps réel, l’analyse comportementale et l’automatisation de la réponse aux incidents.

architecture SIEM
Figure 2 : Différence d’architecture entre Splunk et Insight IDR. Il faut noter que Splunk peut aussi fonctionner en mode cloud.

b) Ajout de sources de logs

Les éléments fournissant les logs à Splunk peuvent être directement les appareils émettant ces logs ou des Splunk Universal Forwarder (si la source ne possède pas de fonctions natives d’envoi de logs). Leur configuration peut se faire via l’interface web Splunk ou en ligne de commande si on souhaite des options avancées (choix des certificats TLS par exemple). Les parseurs sont entièrement configurables, ce qui permet une grande flexibilité dans l’analyse des données du réseau.

Sur Insight IDR, certaines sources sont déjà configurées par l’éditeur, comme des pare-feu ou l’Active Directory. Ainsi, l’ajout de ces sources consiste uniquement à indiquer le port sur lequel les logs vont arriver (sur le collecteur Rapid7 placé dans le système d’information). Cependant, les sources non reconnues par le SIEM sont plus compliquées à gérer car les fonctions REGEX (qui permettent de séparer et nommer les champs des logs) d’Insight IDR sont assez limitées. Cela peut rendre difficile la création de rapports complets et précis. Il est donc important de bien comprendre les capacités et les limites des outils SIEM avant de choisir un service pour votre entreprise.

c) Alertes et tableaux de bord

Sur Splunk, les tableaux de bord sont simples à créer et peuvent être personnalisés de manière très fine via du développement web. Cette plateforme propose une grande flexibilité pour la création de rapports visuels et l’analyse des données. Les alertes offrent aussi des paramètres assez poussés (catégorisation de l’alerte, envoi d’un mail personnalisé, requête HTTP…).

Insight IDR propose quant à lui une approche moins complète, car les tableaux de bord et alertes ont moins de granularité que sur Splunk, même si les fonctions principales sont les mêmes (création de graphiques sur base d’une requête, envoi d’alerte par mail…). Par contre, de nombreuses alertes et graphiques sont déjà configurés dans la solution de Rapid7, ce qui permet une prise en main beaucoup plus rapide. Par exemple, lorsqu’on déclare une source Active Directory, Insight IDR alertera automatiquement si un utilisateur est ajouté au groupe Domain Admins. Cette plateforme se concentre sur la simplicité et la rapidité de mise en œuvre, avec des rapports préconfigurés pour une surveillance efficace.

En matière de conformité, les deux solutions offrent des fonctionnalités de SIEM collecte permettant de centraliser les logs et de détecter les menaces potentielles.

dashboard splunk
Figure 3 : Exemple d’un tableau de bord réalisé sur Splunk présentant des informations sur un pare-feu pfSense. On voit notamment le nombre de connexions au cours du temps selon leur état, le port…

 

dashboard insight IDR
Figure 4 : Exemple d’un tableau de bord avec les mêmes informations, réalisé sur Insight IDR.

 

d) Tarification

Les deux plateformes ont un modèle de tarification très différent. D’un côté, Splunk facture au nombre de Go de données qui sont traitées, ce qui peut rapidement devenir problématique en cas d’erreur sur une des sources de logs. Ce type de tarification peut s’avérer complexe pour une gestion des informations de sécurité efficace, notamment pour les entreprises qui génèrent un volume important de données.

D’un autre côté, Insight IDR se base sur le nombre de sources de logs incorporées dans la solution. Ainsi, la maîtrise des coûts est plus simple, notamment si le périmètre du SIEM vient à s’agrandir. Cette technologie permet de mieux contrôler les coûts et propose une plus grande flexibilité pour utiliser le SIEM et analyser l’activité du réseau.

En fin de compte, le choix entre ces deux technologies dépendra des besoins et des contraintes spécifiques de chaque organisation. La plateforme Splunk, avec sa tarification au volume, peut être plus adaptée aux entreprises ayant un volume de données stable et prévisible. En revanche, Insight IDR offre une solution plus flexible et économique pour les entreprises dont le volume de données est variable ou en croissance.

Comment choisir ?

En résumé, Synetis vous conseille de choisir la solution Splunk si vous souhaitez traiter des données de sécurité, mais pas seulement. Vous pouvez en effet l’utiliser aussi pour des applications métier. Splunk vous permettra de paramétrer entièrement vos différents visuels, et sa base d’application en ligne permet de s’interfacer avec un grand nombre de logiciels tiers. Par contre, la mise en place de l’outil peut nécessiter une certaine expertise dans la mesure où le SIEM n’est pas configuré à l’installation. Un SIEM fournit une plateforme centralisée pour collecter des données de sécurité provenant de diverses sources, permettant ainsi d’identifier les menaces potentielles.

La solution Insight IDR sera à préférer dans un contexte d’entreprise moins mature dans le domaine de la cybersécurité, et souhaitant avoir rapidement une vision de son système d’information. Si vos sources de logs font partie de celles reconnues par Rapid7, vous aurez en effet des résultats en quelques minutes après l’installation ! La tarification par source de log apporte également une meilleure maîtrise des coûts en termes de licence. Un SIEM fournit également des outils d’analyse et de reporting pour aider les équipes de cybersécurité à comprendre les tendances et à réagir efficacement aux attaques.

Glossaire

EDR : Anti-virus de nouvelle génération, embarquant des fonctionnalités de réponse à incident automatique et de détection avancée via machine learning.

Parseurs : Outil permettant d’indiquer au SIEM comment découper et nommer les différents champs des fichiers journaux. Le format utilisé pour ses parseurs est généralement le REGEX.

  • Publication publiée :16 juillet 2025
  • Post category:Technologie
  • Temps de lecture :12 min de lecture