QCM 1 : Définition d’un SIEM

Que signifie l’acronyme SIEM ?

A. Security Information and Events Monitoring

B. Security Integration for Enhanced Monitoring

C. Security Information and Event Management

D. Systems Integration and Event Management

Réponse : C

QCM 2 : Fonctionnement d’un SIEM

Quelle étape est essentielle au fonctionnement d’un SIEM ?

A. Collecte et normalisation des événements

B. Distribution de logiciels antivirus

C. Création automatique d'utilisateurs

D. Compression des données de réseau

Réponse : A

QCM 3 : Objectifs d’un SIEM

Quel est l'un des principaux objectifs d’un SIEM ?

A. Bloquer tous les flux réseau suspects

B. Fournir une vue globale de la sécurité informatique

C. Gérer les mises à jour des pare-feux

D. Supprimer automatiquement les menaces

Réponse : B
QCM 4 : Sources de données pour le SIEM

Parmi les éléments suivants, lequel est une source courante d’événements pour
un SIEM ?

A. Serveurs de messagerie

B. Applications de bureautique

C. Réseaux sociaux

D. Bases de données client

Réponse : A

QCM 5 : Règles de détection dans un SIEM

Quels sont les deux types de règles de détection dans un SIEM ?

A. Statistiques et analytiques

B. Génériques et locales

C. Automatiques et manuelles

D. Simples et complexes

Réponse : B

QCM 6 : Fonctionnalités d’un Dashboard SIEM

Quelle est la principale fonction d’un tableau de bord SIEM ?

A. Bloquer les cyberattaques en temps réel

B. Générer des alertes pour les utilisateurs

C. Présenter des indicateurs pour suivre l’activité en temps réel

D. Automatiser la gestion des incidents

Réponse : C

Voici une série de 20 questions à choix multiples (QCM) basées sur le document
concernant la technologie SIEM :

QCM 1 : Définition de SIEM

Que signifie l’acronyme SIEM ?

A. Security Integration and Event Management

B. Security Information and Event Management

C. System Information and Error Monitoring

D. Security Information for Enterprise Management

Réponse : B

QCM 2 : Fonction principale du SIEM

Quel est le rôle principal d’un SIEM dans une organisation ?

A. Gérer les configurations des équipements réseau

B. Fournir une vue globale de la sécurité informatique

C. Supprimer automatiquement les cybermenaces

D. Archiver les e-mails des utilisateurs

Réponse : B

QCM 3 : Fonctionnement d’un SIEM

Quelle est la première étape du fonctionnement d’un SIEM ?

A. Création des tableaux de bord

B. Collecte des événements

C. Détection des faux positifs

D. Génération d’alertes

Réponse : B

QCM 4 : Sources de données pour un SIEM

Lequel des éléments suivants est une source courante d’événements pour un
SIEM ?

A. Réseaux sociaux

B. Firewalls et IDS/IPS

C. Plateformes de messagerie instantanée

D. Bases de données client

Réponse : B

QCM 5 : Normalisation des logs

Pourquoi la normalisation des logs est-elle importante dans un SIEM ?

A. Pour les convertir en fichiers compressés

B. Pour garantir une valeur juridique aux données

C. Pour les enregistrer dans un format interprétable et homogène

D. Pour simplifier leur transmission par e-mail

Réponse : C

QCM 6 : Objectifs du SIEM

Quel est un objectif clé d’un SIEM ?

A. Fournir des mises à jour réseau automatiques

B. Corréler les analyses et les alertes

C. Remplacer les antivirus existants

D. Déployer des firewalls supplémentaires

Réponse : B

QCM 7 : Collecte des événements

Comment un SIEM collecte-t-il les événements ?

A. En interceptant les e-mails envoyés

B. Via des agents déployés sur les appareils cibles

C. En accédant directement aux bases de données

D. En surveillant uniquement le trafic entrant

Réponse : B

QCM 8 : Corrélation d’événements

Quel type de corrélation associe et priorise les événements de sécurité ?

A. Corrélation simple

B. Corrélation externe

C. Corrélation croisée

D. Corrélation heuristique

Réponse : C
QCM 9 : Règles de détection

Quelles sont les deux catégories principales de règles de détection ?

A. Automatiques et manuelles

B. Génériques et locales

C. Dynamiques et statiques

D. Internes et externes

Réponse : B

QCM 10 : Tableau de bord (Dashboard)

Quelle est la fonction principale d’un tableau de bord dans un SIEM ?

A. Créer des utilisateurs

B. Suivre l’activité en temps réel

C. Identifier les attaques avant qu’elles ne surviennent

D. Archiver les logs

Réponse : B

QCM 11 : Sources de logs à surveiller

Parmi les événements Windows suivants, lequel peut indiquer un échec de

connexion ?

A. 4720

B. 4625

C. 5142

D. 4662

Réponse : B
QCM 12 : Surveillance des postes de travail

Pourquoi est-il crucial de surveiller les postes de travail dans une organisation ?

A. Ce sont souvent les premiers touchés lors d’une attaque

B. Ils contiennent toutes les données critiques

C. Ils exécutent toujours des programmes non sécurisés

D. Ils ne sont pas protégés par les firewalls

Réponse : A

QCM 13 : Menaces Lolbas

Quel binaire légitime peut être utilisé pour des attaques Lolbas ?

A. mshta.exe

B. excel.exe

C. explorer.exe

D. firewall.exe

Réponse : A

QCM 14 : Protocole DNS

Pourquoi surveiller les DNS est-il essentiel dans un SIEM ?

A. Ils sont souvent utilisés pour transmettre des fichiers volumineux

B. Ils peuvent révéler des domaines suspects créés pour des cyberattaques

C. Ils permettent d’identifier les utilisateurs connectés

D. Ils n’ont aucun impact sur la sécurité

Réponse : B

QCM 15 : Sécurité des USB

Quel événement Windows est lié à la première connexion d’un périphérique USB ?

A. 24576

B. 10000

C. 5140

D. 20001

Réponse : B

QCM 16 : Technologie Sandbox

À quoi sert une sandbox dans une solution SIEM ?

A. Bloquer toutes les menaces en temps réel

B. Tester les fichiers pour détecter les malwares

C. Collecter les logs d’un réseau

D. Analyser les performances des serveurs

Réponse : B

QCM 17 : Reporting

Quel avantage majeur offre le reporting d’un SIEM ?

A. Modifier les configurations réseau automatiquement

B. Fournir une visibilité sur la conformité et la sécurité

C. Envoyer des notifications directement aux utilisateurs

D. Gérer les privilèges des administrateurs

Réponse : B

QCM 18 : Fichiers à extension suspecte

Pourquoi est-il important de surveiller certaines extensions de fichiers dans un

SIEM ?

A. Elles ralentissent les systèmes

B. Elles peuvent être utilisées par des ransomwares

C. Elles ne sont pas lisibles par les antivirus

D. Elles contiennent toujours des virus

Réponse : B

QCM 19 : Règles Sigma

Qu’est-ce qu’une règle Sigma ?

A. Une règle de détection propriétaire

B. Une signature générique et flexible pour les logs

C. Un moteur de détection automatisé

D. Une base de données de menaces

Réponse : B

QCM 20 : Méthode proactive de détection

Quelle est une méthode proactive utilisée dans les SIEM ?

A. Surveillance passive des logs

B. Analyse comportementale et requêtes validées

C. Suppression automatique des incidents

D. Réinitialisation des mots de passe utilisateurs

Réponse : B

QCM 21 : Historique du SIEM

Quelles sont les deux technologies qui ont conduit à l’apparition des SIEM ?

A. SEM et SIM

B. IDS et Firewall

C. EDR et Sandbox

D. DNS et Proxies

Réponse : A

QCM 22 : Objectifs principaux du SIEM

Lequel des objectifs suivants n’est pas directement associé à un SIEM ?

A. Archiver les résultats des analyses

B. Surveiller l’ensemble des systèmes

C. Réparer automatiquement les vulnérabilités

D. Corréler les informations collectées

Réponse : C

QCM 23 : Événements Windows

Quel ID d’événement est utilisé pour surveiller la création d’un utilisateur ?

A. 4720
B. 4625

C. 5142

D. 10000

Réponse : A

QCM 24 : Types de corrélations

Quelle corrélation permet d’enrichir les événements reçus avec des informations
supplémentaires ?

A. Corrélation simple

B. Corrélation externe

C. Corrélation croisée

D. Corrélation temporelle

Réponse : B

QCM 25 : Détection des attaques réseau

Quel outil est couramment utilisé avec un SIEM pour détecter et bloquer les
comportements malveillants ?

A. Serveur proxy

B. IDS/IPS

C. Antivirus

D. Sondes DNS

Réponse : B
QCM 26 : Données des proxys

Que peut révéler l’analyse des données des proxys dans un SIEM ?

A. Des domaines DNS légitimes

B. Des fichiers infectés téléchargés

C. Des appels directs via des IP plutôt que des noms DNS

D. Des performances réseau insuffisantes

Réponse : C

QCM 27 : Format Sigma

Quelle est la caractéristique principale d’une règle Sigma ?

A. Elle est spécifique à un seul type de fichier journal

B. Elle est générique et peut être appliquée à tout type de journal

C. Elle est utilisée uniquement pour les alertes en temps réel

D. Elle est intégrée directement dans tous les systèmes SIEM

Réponse : B

QCM 28 : Sécurité des extensions de fichiers

Pourquoi surveiller les extensions de fichiers est-il utile ?

A. Certaines extensions sont réservées aux systèmes Linux

B. Les ransomwares utilisent parfois des extensions spécifiques

C. Toutes les extensions longues sont suspectes

D. Elles garantissent l’authenticité des fichiers

Réponse : B
QCM 29 : Détection proactive

Quel élément est essentiel dans une détection proactive par un SIEM ?

A. Une surveillance continue sans intervention humaine

B. Une amélioration basée sur les faux positifs détectés

C. Une intelligence artificielle capable de remplacer les analystes

D. Une réponse automatique aux menaces

Réponse : B

QCM 30 : Mitre ATT&CK

Pourquoi est-il important de couvrir la matrice Mitre ATT&CK dans un SIEM ?

A. Pour analyser les performances du réseau

B. Pour détecter et catégoriser les comportements malveillants

C. Pour automatiser la gestion des utilisateurs

D. Pour surveiller l’état des équipements physiques

Réponse : B

QCM 31 : Proxy mail et SIEM

Quelle est la fonction principale d’un proxy mail pour la sécurité dans un SIEM ?

A. Bloquer les emails trop volumineux

B. Filtrer les spams et les tentatives de phishing

C. Gérer les boîtes mail des administrateurs

D. Supprimer automatiquement les pièces jointes

Réponse : B

QCM 32 : Sécurité des authentifications

Quels événements Windows sont utiles pour surveiller les relais d’authentification
?

A. 4624 et 4720

B. 4672 et 4674

C. 4798 et 5140

D. 1100 et 10000

Réponse : B

QCM 33 : Télémétrie dans un SIEM

Que permet l’analyse de la télémétrie dans un SIEM ?

A. Identifier les utilisateurs connectés

B. Suivre les flux financiers d’une organisation

C. Détecter les attaques et comportements suspects

D. Stocker les journaux pour des besoins juridiques

Réponse : C

QCM 34 : Surveillance des outils bureautiques

Pourquoi surveiller les commandes des applications Office est-il important ?

A. Ces commandes sont souvent inefficaces

B. Elles utilisent rarement des commandes système

C. Elles fonctionnent uniquement avec des extensions spécifiques

D. Elles contiennent souvent des malwares

Réponse : B

QCM 35 : Sondes XDR

Qu’est-ce qui différencie les sondes XDR des EDR ?

A. Les XDR surveillent uniquement les endpoints

B. Les XDR couvrent plusieurs environnements comme les emails et le cloud

C. Les XDR ne sont pas compatibles avec les SIEM

D. Les XDR fonctionnent en mode passif uniquement

Réponse : B

QCM 36 : Reporting dans un SIEM

Quelle est une fonction essentielle des rapports générés par un SIEM ?

A. Identifier les incidents réseau uniquement

B. Fournir des preuves pour des audits ou des enquêtes

C. Définir automatiquement des règles de détection

D. Améliorer les performances des équipements

Réponse : B

QCM 37 : Gestion des faux positifs

Quel est le principal objectif lors de la gestion des faux positifs dans un SIEM ?

A. Les ignorer pour éviter les pertes de temps

B. Les transformer en vraies alertes

C. Améliorer la qualité des règles de détection

D. Les supprimer automatiquement du système

Réponse : C

QCM 38 : Surveillance des ID events USB

Quel événement est déclenché lors de l’installation d’un périphérique USB ?

A. 24576

B. 10000

C. 20001

D. 1100

Réponse : C

QCM 39 : Ransomwares et SIEM

Quel port utilisé par un ransomware serait intéressant à surveiller ?

A. 80

B. 443

C. 666

D. 22

Réponse : C

QCM 40 : Cycle d’amélioration continue

Pourquoi le cycle d’amélioration continue est-il crucial dans un SIEM ?

A. Pour remplacer les analystes par des systèmes automatisés

B. Pour adapter les détections à l’évolution des menaces

C. Pour désactiver les règles inefficaces

D. Pour archiver toutes les alert

Voici 20 autres questions à choix multiples (QCM) pour approfondir vos

connaissances sur le SIEM :

QCM 21 : Rôles des firewalls dans un SIEM

Quel est le rôle principal des firewalls dans la gestion des données SIEM ?

A. Collecter les journaux d’activité réseau

B. Déployer des mises à jour sur les serveurs

C. Bloquer les applications non autorisées

D. Supprimer les logs inutiles

Réponse : A

QCM 22 : Fonctionnalité IDS/IPS

Que permettent de faire les IDS/IPS lorsqu’ils sont intégrés à un SIEM ?

A. Gérer les identifiants des utilisateurs

B. Détecter et bloquer les comportements malveillants

C. Sauvegarder les données réseau

D. Générer automatiquement des règles

Réponse : B

QCM 23 : Importance des logs bruts

Pourquoi est-il important de conserver les logs bruts dans un SIEM ?

A. Ils sont nécessaires pour la détection immédiate

B. Ils servent de preuve à valeur juridique

C. Ils permettent de réduire la charge des serveurs

D. Ils simplifient l’archivage

Réponse : B

QCM 24 : Problème des faux positifs

Que signifie un “faux positif” dans un système SIEM ?

A. Une menace réelle détectée sans alerte

B. Une alerte générée sans menace réelle

C. Une menace non détectée par le SIEM

D. Une alerte correcte générée trop tard

Réponse : B

QCM 25 : Surveillance des proxys

Que permet de surveiller un proxy intégré à un SIEM ?

A. Les accès administratifs

B. Les requêtes effectuées vers l’extérieur

C. Les journaux internes du serveur

D. Les privilèges utilisateur

Réponse : B
QCM 26 : Gestion des événements Windows

Quel événement Windows peut indiquer une création de partage réseau ?

A. 4625

B. 5142

C. 4720

D. 4662

Réponse : B

QCM 27 : Méthodes d’exfiltration de données

Quel port est souvent utilisé par les ransomwares pour exfiltrer des données ?

A. 443

B. 80

C. 666

D. 22

Réponse : C

QCM 28 : Mitigation des menaces

Comment un SIEM peut-il aider à mitiger une attaque brute-force ?

A. En bloquant automatiquement les connexions suspectes

B. En surveillant les tentatives de connexion répétées

C. En réinitialisant les mots de passe utilisateur

D. En déconnectant tous les utilisateurs

Réponse : B
QCM 29 : Technologies intégrées dans les SIEM

Lesquelles des technologies suivantes sont souvent intégrées dans les SIEM
modernes ?

A. EDR, XDR, et Sandbox

B. VPN, DNS et Proxy

C. Antivirus, Antispam et IDS

D. Firewalls, DLP et DHCP

Réponse : A

QCM 30 : Utilisation des Dashboards

Quel type d’indicateur un tableau de bord SIEM peut-il afficher ?

A. Le nombre total de comptes utilisateur

B. Le trafic réseau anormal en temps réel

C. Les configurations de pare-feu

D. L’espace de stockage restant

Réponse : B

QCM 31 : Détection proactive

Quelle est une technique de détection proactive utilisée par les SIEM ?

A. Analyse de comportement par intelligence artificielle

B. Surveillance passive des logs

C. Détection manuelle des menaces

D. Archivage automatique des logs

Réponse : A

QCM 32 : Format Sigma

Quel est l’objectif principal du format Sigma dans un SIEM ?

A. Partager des règles de détection génériques

B. Créer un moteur de détection automatisé

C. Gérer les configurations réseau

D. Remplacer les règles locales

Réponse : A

QCM 33 : Surveillance des relais d’authentification

Quels événements peuvent indiquer un relais d’authentification ?

A. 1100 et 5142

B. 4672 et 4768

C. 4625 et 4720

D. 24576 et 5140

Réponse : B

QCM 34 : Menace interne

Quel comportement d’un utilisateur pourrait indiquer une menace interne ?

A. Un échec répété de connexion

B. Une modification de clé de registre sans autorisation

C. Une tentative d’accès à des fichiers non autorisés

D. Toutes les réponses ci-dessus

Réponse : D

QCM 35 : Règles de corrélation

Que permettent les règles de corrélation dans un SIEM ?

A. Collecter plus efficacement les logs

B. Associer et prioriser les événements

C. Réduire la taille des journaux

D. Contrôler les privilèges utilisateur

Réponse : B

QCM 36 : Architecture d’un SIEM

Quelle caractéristique est essentielle dans l’architecture d’un SIEM ?

A. Résilience et scalabilité

B. Centralisation des applications bureautiques

C. Automatisation des mises à jour système

D. Élimination des faux négatifs

Réponse : A

QCM 37 : Analyse des incidents

Que permet de déterminer une analyse d’incident dans un SIEM ?

A. Le type de serveur utilisé

B. La gravité et l’impact potentiel

C. Les privilèges des utilisateurs

D. Les configurations réseau

Réponse : B

QCM 38 : Étapes de réponse

Quel est un des éléments clés d’une réponse efficace à une alerte SIEM ?

A. Éteindre immédiatement le système affecté

B. Corréler les événements pour confirmer la menace

C. Annuler toutes les connexions actives

D. Générer un rapport automatique

Réponse : B

QCM 39 : Limitation d’accès USB

Comment un SIEM peut-il gérer les violations liées à l’utilisation de clés USB ?

A. En enregistrant les événements de connexion USB

B. En bloquant automatiquement tous les ports USB

C. En supprimant les journaux d’activité

D. En alertant uniquement l’administrateur

Réponse : A

QCM 40 : Types de détection possibles

Quel état n’est pas détecté par un SIEM ?

A. Vrai positif
B. Faux négatif

C. Échec critique

D. Vrai négatif

Réponse : C

Voici 20 nouvelles questions à choix multiples (QCM) pour approfondir davantage les
concepts autour de la technologie SIEM :

QCM 41 : Avantages du SIEM

Quel avantage le SIEM apporte-t-il à la gestion de la sécurité ?

A. Simplification des configurations utilisateur

B. Centralisation des événements de sécurité pour une vue globale

C. Automatisation complète des mises à jour logicielles

D. Détection automatique des anomalies réseau uniquement

Réponse : B

QCM 42 : Collecte d’événements

Qu’est-ce qu’un agent de collecte dans un SIEM ?

A. Un composant qui enregistre les données utilisateur

B. Un outil qui surveille et transmet les événements depuis les appareils cibles

C. Un programme dédié au traitement des rapports

D. Un logiciel de gestion des pare-feux

Réponse : B
QCM 43 : Rôles des serveurs de messagerie

Pourquoi est-il important de surveiller les serveurs de messagerie avec un SIEM ?

A. Pour détecter les tentatives de phishing

B. Pour empêcher les utilisateurs d’envoyer des e-mails en dehors de l’entreprise

C. Pour bloquer les pièces jointes volumineuses

D. Pour surveiller les messages légitimes uniquement

Réponse : A

QCM 44 : Extensions de fichiers suspectes

Quelle action un SIEM peut-il prendre pour surveiller les extensions de fichiers ?

A. Bloquer automatiquement les fichiers inconnus

B. Identifier les extensions souvent utilisées par des ransomwares

C. Supprimer toutes les extensions non standard

D. Limiter l’accès aux fichiers protégés

Réponse : B

QCM 45 : Techniques MITRE ATT&CK

Quel est l’objectif de la couverture des techniques MITRE ATT&CK par un SIEM ?

A. Détecter les vulnérabilités réseau

B. Mapper les tactiques et techniques d’attaque pour améliorer la détection

C. Fournir des mises à jour des bases de données SIEM

D. Gérer les privilèges utilisateur

Réponse : B
QCM 46 : Menaces spécifiques

Quelle action le SIEM peut-il surveiller pour détecter une exécution malveillante
de “Rubeus” ?

A. Les modifications dans le registre système

B. Les activités dans les répertoires AppData

C. Les connexions réseau sortantes suspectes

D. Les accès non autorisés aux pare-feux

Réponse : B

QCM 47 : Surveillance des partages réseau

Quel événement Windows peut indiquer une tentative d’accès à un partage réseau
?

A. 4674

B. 5140

C. 4768

D. 4624

Réponse : B

QCM 48 : Sauvegarde des logs

Pourquoi est-il essentiel de sauvegarder les logs collectés par un SIEM ?

A. Pour éviter leur suppression accidentelle

B. Pour pouvoir effectuer des recherches ultérieures ou une analyse forensic

C. Pour les compresser dans des formats lisibles

D. Pour les transmettre automatiquement aux utilisateurs

Réponse : B

QCM 49 : Détection des comportements inhabituels

Que surveille un SIEM pour détecter des comportements inhabituels sur des
postes de travail ?

A. L’utilisation excessive des ressources CPU

B. Les modifications des clés de registre ou la création de nouveaux utilisateurs

C. Les redémarrages fréquents des postes

D. Les installations logicielles standard

Réponse : B

QCM 50 : Surveillance des dispositifs USB

Quel ID d’événement peut indiquer une première connexion d’un dispositif USB ?

A. 4672

B. 10000

C. 24576

D. 5142

Réponse : B

QCM 51 : Tableau de bord SIEM

Quel indicateur un tableau de bord SIEM peut-il afficher pour les administrateurs ?

A. Temps moyen de réponse aux alertes

B. Nombre total de comptes utilisateurs actifs

C. Quantité de données transférées sur le réseau

D. Résolution des conflits internes

Réponse : A

QCM 52 : Détection de ransomware

Que peut surveiller un SIEM pour détecter un ransomware exfiltrant des données ?

A. La fréquence des sauvegardes réseau

B. Les transferts de données sur des ports inhabituels, comme le port 666

C. Les logs des connexions réussies

D. Les modifications de mots de passe

Réponse : B

QCM 53 : Gestion des faux négatifs

Quel est un risque lié aux faux négatifs dans un SIEM ?

A. Une alerte générée pour un événement non pertinent

B. Une attaque réelle qui passe inaperçue

C. Une surcharge des administrateurs avec des rapports inutiles

D. Un ralentissement des performances réseau

Réponse : B

QCM 54 : Sandboxing

Quel est le principal objectif d’un système de sandboxing intégré au SIEM ?

A. Analyser les fichiers suspects pour détecter des comportements malveillants

B. Empêcher la création de fichiers par des utilisateurs non autorisés

C. Réinitialiser automatiquement les configurations réseau

D. Analyser les statistiques réseau

Réponse : A

QCM 55 : Stratégies de détection

Que doit inclure une stratégie de détection efficace dans un SIEM ?

A. Une couverture des menaces actuelles et résiduelles

B. Une gestion automatique des bases de données

C. Une suppression des faux positifs par défaut

D. Une intégration avec des systèmes non sécurisés

Réponse : A

QCM 56 : Surveillance DNS

Quel type de requête DNS peut indiquer un comportement suspect ?

A. Requêtes TXT ou SRV illégitimes

B. Requêtes DNS vers des sites connus

C. Requêtes standard vers un serveur autorisé

D. Aucune activité DNS

Réponse : A

QCM 57 : Sécurisation des logs

Comment le SIEM garantit-il l’intégrité des logs collectés ?

A. En les chiffrant automatiquement

B. En les signant numériquement pour éviter les falsifications

C. En les stockant dans des bases de données locales uniquement

D. En les envoyant aux utilisateurs pour validation

Réponse : B

QCM 58 : Sources de données critiques

Quelle source de données est souvent sous-utilisée mais critique pour un SIEM ?

A. Les signalements des utilisateurs finaux

B. Les configurations réseau par défaut

C. Les connexions locales

D. Les bases de données internes

Réponse : A

QCM 59 : Corrélation croisée

En quoi consiste une corrélation croisée dans un SIEM ?

A. Associer des événements multiples pour en établir la priorité

B. Supprimer automatiquement les événements redondants

C. Corréler uniquement les logs internes

D. Comparer les logs d’un même serveur

Réponse : A
QCM 60 : Formation des utilisateurs

Pourquoi est-il essentiel de former les utilisateurs dans un environnement SIEM ?

A. Pour signaler des comportements inhabituels ou des incidents potentiels

B. Pour réduire le coût de la maintenance du SIEM

C. Pour améliorer la vitesse de collecte des logs

D. Pour empêcher les accès non autorisés

Réponse : A