Qu’est-ce que SIEM et comment fonctionne-t-il?

Cas d’utilisation de SIEM

Le SIEM a de nombreux cas d’utilisation dans le paysage moderne des menaces, y compris la détection et la prévention des menaces internes et externes, comme ainsi que le respect de diverses normes juridiques.

Utilisation conforme du SIEM

Des réglementations de conformité plus strictes poussent les entreprises à investir davantage dans la sécurité informatique et le SIEM joue un rôle rôle, aidant les organisations à se conformer aux normes PCI DSS, GDPR, HIPAA et SOX. Ces mandats de conformité sont de plus en plus répandus et exercent une pression accrue sur la détection et le signalement des violations. Alors que le SIEM était initialement utilisé principalement par les grandes entreprises, en raison de l’importance croissante accordée à la conformité et à la sécurité des entreprises, il peut être nécessaire pour les petites et moyennes entreprises car des réglementations telles que le RGPD, sont applicables aux organisations quelle que soit leur taille.

Sécurité IoT

Le marché de l’Internet des objets (IoT) se développe. Gartner a prédit qu’il y aura 26 milliards d’appareils connectés d’ici 2020. Mais avec les progrès, il y a un risque car plus d’appareils connectés offrent plus de points d’entrée par lesquels cibler les entreprises, car dès qu’un pirate informatique se trouve sur une partie de votre réseau via un appareil connecté, il peut accéder au reste très facilement. La plupart des fournisseurs d’IoTsolution fournissent des API et des référentiels de données externes qui peuvent être facilement intégrés aux solutions SIEM. Cela rend le logiciel SIEM et une partie essentielle de la cybersécurité de votre entreprise car il peut atténuer les menaces IoT telles que les attaques DoS et signaler les périphériques à risque ou compromis dans le cadre de votre environnement.

Prévention des menaces internes

Les menaces externes ne sont pas la seule chose qui rend les organisations vulnérables, les menaces internes posent un risque considérable, en particulier compte tenu de la facilité d’accès. Le logiciel SIEM permet aux organisations de surveiller en permanence les actions des employés et de créer des alertes pour les événements irréguliers en fonction de l’activité «  normale  ». Les entreprises peuvent également utiliser SIEM pour effectuer une surveillance granulaire des comptes privilégiés et créer des alertes liées aux actions qu’un utilisateur donné n’est pas autorisé à effectuer, comme l’installation de logiciels ou Désactivation des logiciels de sécurité.

SIEM de nouvelle génération ou hérité

Le SIEM existe depuis 2005 mais a considérablement évolué depuis sa genèse. Le SIEM de nouvelle génération a de nombreuses mises à niveau, améliorations et nouvelles capacités dont son prédécesseur ne pouvait pas se vanter. Les limitations de l’héritage SIEM incluent:

  • SIEM ne pouvait pas traiter toutes les données pertinentes, sa vue était donc limitée
  • SIEM prenait du temps à maintenir car le logiciel était complexe et difficile pour fonctionner
  • SIEM a créé un travail fastidieux pour les équipes de sécurité car le logiciel produisait beaucoup de faux positifs

À mesure que la technologie progressait, les attaques évoluaient et le SIEM devait évoluer avec lui. Les logiciels de nouvelle génération tels que FireEye incluent les capacités et avantages suivants:

  • L’architecture ouverte et big data permet une intégration plus rapide avec l’infrastructure d’entreprise, y compris le cloud, sur site et BYOD qui est également évolutive
  • SIEM peut également intégrer des renseignements sur les menaces à partir de sources personnalisées, open source et commerciales
  • Les outils de visualisation en temps réel comprennent les activités les plus importantes et à haut risque pour hiérarchiser les alertes. Cela inclut la capacité à mesurer le statut par rapport aux cadres réglementaires tels que PCI DSS) pour la hiérarchisation et la gestion des risques
  • L’analyse du comportement peut comprendre le contexte de l’événement et reconnaître l’intention dans des scénarios spécifiques. En utilisant cette UserEntity Behavior Analytics (UEBA), le logiciel est capable de mettre en évidence les changements de comportement importants
  • Le SIEM de nouvelle génération est également personnalisable pour permettre aux équipes de sécurité de créer des flux de travail personnalisés en fonction de leurs situations uniques

Comment tirer le meilleur parti des solutions de sécurité SIEM

Dans un centre d’opérations de sécurité traditionnel, les processus de réponse aux incidents suivis par les équipes de cybersécurité du monde entier sont souvent standard et peuvent prendre des heures. SOAR automatise les flux de travail et accélère la qualification, l’enquête et la réponse aux menaces, ce qui réduit les temps de réponse en automatisant de grandes parties du processus, ce qui aide les équipes de sécurité à hiérarchiser les menaces réelles. Il le fait en interagissant avec d’autres technologies de sécurité pour effectuer automatiquement les étapes initiales de la réponse aux incidents.

UEBA joue également un rôle important dans les capacités de SIEM, car il est capable de modéliser le comportement des humains et des machines au sein du réseau , offrant une détection avancée des menaces.

Helix Security Platform

La plate-forme d’opérations de sécurité hébergée dans le cloud de FireEye, HelixSecurity Platform, rassemble SOAR, UEBA et d’autres fonctionnalités, et les complète avec la nouvelle génération SIEM pour fournir une solution de sécurité efficace et facile à mettre en œuvre.

En savoir plus sur Helix et ses fonctionnalités.

Write a Comment

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *