SIEM
Security Information & Event Management
RE23 – Présentation
Mouad BENNIS
Sommaire
• Log Management ?
• SIEM ?
• SIEM vs Log Management
• Fonctionnement d’un SIEM
• Implémentation de SIEM
Architecture du réseau d’une entreprise
2
Log Management
• Log Management (LM) : une approche pour traiter des volumes importants
de logs générés.
• LM couvre la co...
Architecture avec collecte de logs
4
Les défis du log management
• Analyse de logs d’un point de vue sécurité
• Centraliser la collecte des logs
• Répondre aux...
SIEM : Introduction
• Le terme Security Information Event Management (SIEM) a été introduit par
Mark Nicolett et AmritWill...
SIEM : Introduction
• SIEM combine Security Information Management (SIM) et Security Event
Manager (SEM).
• La partie gest...
SIEM : Principaux objectifs
• Identifier les menaces et les éventuelles brèches
• Collecter les journaux d'audit de la séc...
SIEM vs LM
SIEM LM
Collecte de logs Collecte de logs reliés à la
sécurité+ données de contexte
Collecte tous les logs
Trai...
Pourquoi un SIEM est nécessaire ?
• Hausse des vols de données dues à des menaces internes et externes
• Les attaquants so...
Composants d’un SIEM
• Événements monitorés
• Collecte d’événements
• Le noyau
• L’interface utilisateur
11
Workflow d’un SIEM
Collecte de
données
Extraction
intelligente
des
informations
Ajouter de la
valeur
Présenter
sous forme
...
Entrées du SIEM
Événements
Operating Systems
Applications
Devices
Databases
Contexte
Vulnerability Scans
User Information
...
Contexte
14
Outils typiques d’un SIEM
15
Exemple de tableau de bord
16
Implémentation
• Construire soi-même
• Externaliser
• Acheter
17
Externaliser
Avantages
• Quelqu’un d’autre s’occupe de vos problèmes
• Pas d’équipements à installer chez vous
• Main d’œu...
Le faire soi-même
Avantages
• Conforme au cahier des charges
• Choix de la plateforme, des méthodes, des
outils
• Le prix
...
Acheter
Avantages
• Support pour traiter les logs
• Mise à jour, implémentation de nouvelles
options
• Avoir quelqu’un en ...
Pourquoi l’ implémentation des SIEM échoue?
• Pas de planification
• Mauvais déploiement
• Management de logs incohérent
•...
Conclusion
• Monitoring en temps réel
• Réduction des coûts
• Exigences de conformités
• Reporting
• Retour sur investisse...
Prochain SlideShare
Chargement dans…5
×

SIEM - Security Information & Event Management

321 vues

Publié le

Introduction au Siem
Log management vs SIEM
Implémentation de SIEM

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
321
Sur SlideShare
0
Issues des intégrations
0
Intégrations
9
Actions
Partages
0
Téléchargements
21
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

SIEM - Security Information & Event Management

  1. 1. SIEM Security Information & Event Management RE23 – Présentation Mouad BENNIS
  2. 2. Sommaire • Log Management ? • SIEM ? • SIEM vs Log Management • Fonctionnement d’un SIEM • Implémentation de SIEM
  3. 3. Architecture du réseau d’une entreprise 2
  4. 4. Log Management • Log Management (LM) : une approche pour traiter des volumes importants de logs générés. • LM couvre la collecte de journaux, l'agrégation centralisée, la rétention à long terme, l'analyse des journaux (en temps réel et en vrac après stockage) ainsi que la recherche de logs et la génération de rapports. 3
  5. 5. Architecture avec collecte de logs 4
  6. 6. Les défis du log management • Analyse de logs d’un point de vue sécurité • Centraliser la collecte des logs • Répondre aux exigences de conformité • Conduire de façon efficace et minutieuse une analyse des causes • Rendre les logs plus explicites • Suivre les comportements suspects des utilisateurs 5
  7. 7. SIEM : Introduction • Le terme Security Information Event Management (SIEM) a été introduit par Mark Nicolett et AmritWilliams en 2005. • Décrit les capacités d’un produit à collecter, analyser et présenter des informations à partir de dispositifs de réseau et de sécurité; d’applications de gestion des identités et des accès; d’outils de gestion de la vulnérabilité et de la conformité du SI; des systèmes d'exploitation, des journaux des bases de données et des applications; et des données des menaces externes. 6
  8. 8. SIEM : Introduction • SIEM combine Security Information Management (SIM) et Security Event Manager (SEM). • La partie gestion de la sécurité qui traite de la surveillance en temps réel, la corrélation des événements, les notifications et les vues de la console est communément connu sous le nom de security event manager (SEM). • La deuxième partie gère le stockage long terme, l’analyse et le reporting est connu sous le nom de Security Information Management (SIM). 7
  9. 9. SIEM : Principaux objectifs • Identifier les menaces et les éventuelles brèches • Collecter les journaux d'audit de la sécurité et de la conformité • Mener des enquêtes et fournir des preuves 8
  10. 10. SIEM vs LM SIEM LM Collecte de logs Collecte de logs reliés à la sécurité+ données de contexte Collecte tous les logs Traitement de logs (Pre- processing) Normalisation, catégorisation, enrichissement Indexage, Analyse ou rien Rétention de logs Stocke des données normalisées Format brute Reporting Focus sécurité Usage général Analyse Corrélation, note de la menace, Priorité des événements Analyse complète Alerte et Notification Alerte sur les événements sécurité Alerte sur tous les logs Autres options Gestion d’incident, analyse de contexte Scalable 9
  11. 11. Pourquoi un SIEM est nécessaire ? • Hausse des vols de données dues à des menaces internes et externes • Les attaquants sont intelligents et des outils de sécurité traditionnelle ne suffisent pas • Atténuer les cybers-attaques sophistiquées • Gérer l'augmentation des volumes de log provenant de sources multiples • Répondre aux exigences de conformité strictes 10
  12. 12. Composants d’un SIEM • Événements monitorés • Collecte d’événements • Le noyau • L’interface utilisateur 11
  13. 13. Workflow d’un SIEM Collecte de données Extraction intelligente des informations Ajouter de la valeur Présenter sous forme de tableau de bord & de rapports 12
  14. 14. Entrées du SIEM Événements Operating Systems Applications Devices Databases Contexte Vulnerability Scans User Information Asset Information Threat Intelligence Data Collection Normalization Correlation Logic/Rules Aggregation SIEM Sorties Analysis Reports Real Time Monitoring Architecture SIEM 13
  15. 15. Contexte 14
  16. 16. Outils typiques d’un SIEM 15
  17. 17. Exemple de tableau de bord 16
  18. 18. Implémentation • Construire soi-même • Externaliser • Acheter 17
  19. 19. Externaliser Avantages • Quelqu’un d’autre s’occupe de vos problèmes • Pas d’équipements à installer chez vous • Main d’œuvre • Les managers seront contents Risques • Quelqu’un d’autre s’occupe de vos problèmes • Non conforme au cahier des charges • SLA: Risques de pertes de données • Volume de données 18
  20. 20. Le faire soi-même Avantages • Conforme au cahier des charges • Choix de la plateforme, des méthodes, des outils • Le prix • C’est fun !  Risques • Maintenance • Le support • Scalable ?? • La mise en production ?? 19
  21. 21. Acheter Avantages • Support pour traiter les logs • Mise à jour, implémentation de nouvelles options • Avoir quelqu’un en face Risques • Formation d’une équipe • Non conforme au cahier des charges • Longévité du produit et du fabricant 20
  22. 22. Pourquoi l’ implémentation des SIEM échoue? • Pas de planification • Mauvais déploiement • Management de logs incohérent • Données inutiles • Opérationnel • Le management a une vision à court terme • On assume que c’est du plug and play 21
  23. 23. Conclusion • Monitoring en temps réel • Réduction des coûts • Exigences de conformités • Reporting • Retour sur investissement rapide 22

×