Scribd
Importer
414 vues3 pages

SIEM Et SOAR

Transféré par

abdourahmanekane52
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd

Thèmes abordés

  • Automatisation,
  • Réponse rapide,
  • Analyse des journaux,
  • Évaluation des menaces,
  • Flux de travail,
  • Sources de données,
  • Évaluation des risques,
  • Gestion des incidents,
  • Réponse automatisée,
  • SIEM
414 vues3 pages

SIEM Et SOAR

Transféré par

abdourahmanekane52
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd

Thèmes abordés

  • Automatisation,
  • Réponse rapide,
  • Analyse des journaux,
  • Évaluation des menaces,
  • Flux de travail,
  • Sources de données,
  • Évaluation des risques,
  • Gestion des incidents,
  • Réponse automatisée,
  • SIEM

SIEM et SOAR

Notre discussion sur les outils de détection vous a peut-être amené à vous
demander où les alertes sont envoyées et comment les analystes de sécurité y
accèdent. C'est là que les outils de gestion des informations et des événements de
sécurité, ou SIEM, sont utilisés.

Le SIEM est un outil qui collecte et analyse les données des journaux pour
surveiller les activités critiques d'une organisation. Le SIEM fournit aux
professionnels de la sécurité une vue d'ensemble de haut niveau de ce qui se
passe sur leurs réseaux. Comment s'y prend-il exactement ?

Prenons l'exemple d'une voiture. Les voitures comportent de nombreuses pièces


différentes : pneus, phares, sans oublier toute la machinerie interne qui se trouve
sous le capot. Il existe de nombreux composants différents dans une voiture, mais
comment savoir si l'un d'entre eux présente un problème ? Ah, tu l'as deviné ! Les
voyants d'avertissement du tableau de bord. Le tableau de bord vous informe des
informations relatives aux composants de la voiture, que la pression des pneus ou
la tension de la batterie soient faibles, que vous deviez faire le plein ou qu'une
portière n'ait pas été correctement fermée. Le tableau de bord d'une voiture vous
informe de l'état des composants de la voiture, afin que vous puissiez prendre les
mesures nécessaires pour y remédier.

Les outils SIEM fonctionnent de la même manière. Tout comme les voitures
comportent de nombreux composants différents, un réseau peut comporter des
milliers d'appareils et de systèmes différents, ce qui rend leur surveillance très
difficile. Le tableau de bord d'une voiture donne au pilote une image claire de
l'état de sa voiture, de sorte qu'il n'a pas à se soucier d'inspecter chaque
composant lui-même.

De même, un SIEM examine les flux de données entre les différents systèmes du
réseau et les analyse pour fournir une image en temps réel des menaces
potentielles pesant sur le réseau. Pour ce faire, il ingère d'énormes quantités de
données et catégorise ces données, de sorte qu'elles soient facilement accessibles
via une plate-forme centralisée similaire au tableau de bord d'une voiture.

Voici à quoi ressemble le processus. Tout d'abord, les outils SIEM collectent et
regroupent les données. Ces données se présentent généralement sous la forme
de journaux, qui sont essentiellement un enregistrement de tous les événements
survenus sur une source donnée. Les données peuvent provenir de sources
multiples telles que les IDS ou les IPS, des bases de données, des pare-feux, des
applications, etc. Une fois toutes ces données collectées, elles sont agrégées.
L'agrégation signifie simplement que toutes ces données provenant de différentes
sources de données sont centralisées en un seul endroit.

Selon le nombre de sources de données qu'un SIEM collecte, un énorme volume


de données brutes non éditées peut être collecté. De plus, les données collectées
par un SIEM ne sont pas toutes pertinentes à des fins d'analyse de sécurité.

Ensuite, les outils SIEM normalisent les données. La normalisation prend les
données brutes collectées par le SIEM et les nettoie en supprimant les attributs
non essentiels afin que seuls les éléments pertinents soient inclus. La
normalisation des données assure également la cohérence des enregistrements
de journaux, ce qui est utile lorsque vous recherchez des informations de journal
spécifiques lors d'une enquête sur un incident.

Enfin, les données normalisées sont analysées conformément aux règles


configurées. Le SIEM analyse les données normalisées par rapport à un ensemble
de règles afin de détecter tout éventuel incident de sécurité, qui est ensuite classé
ou signalé sous forme d'alertes destinées à être examinées par les analystes de
sécurité.
Maintenant que vous avez exploré les fonctionnalités des outils SIEM, examinons
un autre outil de gestion de la sécurité. L'orchestration, l'automatisation et la
réponse en matière de sécurité, ou SOAR, est un ensemble d'applications, d'outils
et de flux de travail qui utilise l'automatisation pour répondre aux événements de
sécurité.

Alors que les outils SIEM collectent, analysent et rapportent les événements de
sécurité pour que les analystes de sécurité puissent les examiner, le SOAR
automatise l'analyse et la réponse aux événements et incidents de sécurité. Le
SOAR peut également être utilisé pour suivre et gérer les dossiers. Plusieurs
incidents peuvent constituer un dossier, et le SOAR permet de visualiser tous ces
incidents en un seul endroit centralisé.

Eh bien, voilà. Vous avez appris comment les outils de gestion des incidents tels
que le SIEM et le SOAR permettent aux analystes de sécurité de voir plus
facilement ce qui se passe sur un réseau et de répondre efficacement à toutes les
menaces.

Vous aimerez peut-être aussi