Les SIEM

Le monitoring/supervision est la surveillance du bon fonctionnement d’un système ou d’une activité et permet de surveiller, rapporter et alerter les fonctionnements normaux et anormaux de systèmes informatiques. (À ne pas confondre avec l’hypervision, qui elle correspond à la centralisation des outils de supervision, d’infrastructure, d’applications et de référentiels). La supervision s’effectue par le biais de SIEM.

Les systèmes SEM, SIM et SIEM

• SEM (Security Event Management)
  • Rôle : Collecter
  • Centralise le stockage et l’interprétation des logs
  • Permet une analyse en quasi-temps réel

• SIM (Security Information Management)
  • Rôle : Annalyser
  • Collecte des données et les place dans un référentiel central à des fins d’analyse
  • Génère des rapports centralisés et automatisés

• SIEM (Security Information and Event Management)
  • Collecte tout document lié à la sécurité comme les logs (rôle du SEM)
  • Analyse les logs (rôle du SIM).

Principales solutions SIEM

Nous allons nous intéresser ici aux principales solutions SIEM du marché OpenSource et Propriétaires.

Les solutions OpenSource

Solutions SIEM OpenSource les plus connues :

• OSSIM (Alien Vault)
• Wazuh couplé à l’HIDS Ossec.
• ELK suite à ce jour la plus utilisée composée de :
  • Elasticsearch
  • Logstash
  • Kibana

Les solutions propriétaires

Solutions SIEM propriétaires les plus connues :

• Splunk
• LogRhythm
• IBM QRadar

Documentation

https://fr.wikipedia.org/wiki/Supervision_(informatique)
https://maximepiazzola.wordpress.com/2018/01/19/introduction-aux-solutions-siem/
https://cybersecurity.att.com/products/ossim