Qu'est-ce qu'un logiciel SIEM ?| Définition

Les systèmes de gestion des informations et des événements de sécurité (SIEM) assurent la collecte et l'analyse des traces d’activité (logs, netflows, etc. ) des hôtes et des applicatifs de l’infrastructure pour assurer à l'exploitation une vision unifiée du pilotage de la sécurité du système d'information.

Le terme a été inventé en 2005 par Mark Nicolett et Amrit Williams, deux analystes du Gartner. À l'époque, deux solutions complémentaires permettent de superviser la sécurité des réseaux :

  • Les SEM (Security Event Management) proposent un traitement en temps réel des événements pour en extraire les alertes, les normaliser, les corréler et les notifier aux exploitants en temps réel des menaces au sein d'une console d'administration.
  • Les SIM (Security Information Management) offrent des capacités de stockage et d'indexation de toutes traces des systèmes à des fins d'analyse et de reporting. Ils sont capables de corréler mais pas en temps réel et sont souvent orientés "conformité" (ex : PCIDSS). Les SIM sont aussi appelés des outils de "Log Management".

Nicolett et Williams mettent en évidence la nécessité de combiner ces deux outils pour mieux piloter la sécurité et invente le terme SIEM.

Le rôle des SIM et des SEM se chevauchent parfois comme pour la collecte par exemple, mais ils assurent chacun des fonctions bien particulières.

Le rôle du SIM est de gérer l'historique des traces :

  • Il doit permettre de stocker des volumes très importants de données
  • Il propose parfois un format de normalisation mais ce format est généralement très simpliste et proche de syslog
  • Il offre des capacités d'indexation et de recherche à fin d'analyse et de forensic
  • C'est un outil plutôt destiné aux opérateurs de niveau 2 et aux experts

Le rôle du SEM, au contraire, est de travailler en temps réel :

  • Il doit être capable de traiter un volume très important de données en temps réel
  • Lorsqu'il identifie des événements suspicieux, il les normalise et les enrichit dans un format dédié à la détection d'intrusion
  • Il doit proposer des capacités de corrélation avancée
  • Enfin il doit proposer tous les outils nécessaires au suivi et à l'exploitation des alertes : notification, gestion de tickets et de worflow

Note : Par rapport à la définition de 2005, il faut rajouter aujourd'hui dans les capacités des SIEM des capacités de combinaison avec les CTI (Cyber Threat Intelligence) externe ou encore des fonctionnalités d'Intelligence Artificielle telles que le machine learning pour améliorer les capacités de détection.

Il est possible de superviser votre sécurité avec uniquement un SIM mais cela nécessitera plus de travail et une compétence plus forte, ou uniquement avec un SEM mais l'absence de stockage à long terme peut vous pénaliser pour l'analyse et le forensic. Aujourd'hui la meilleure assurance pour détecter le maximum d'anomalies, de tentatives d'intrusions ou d'APT est de combiner les fonctions SIM et SEM dans un seul outil comme le font les SIEMs dont Prelude SIEM.