Qu'est-ce que le SIEM ?
Qu'est-ce que le SIEM ?
Un logiciel SIEM (gestion des événements et des informations de sécurité) centralise la collecte, le stockage et l'analyse des journaux depuis la périphérie jusqu'à l'utilisateur final. Il surveille les menaces de sécurité en temps réel pour détecter rapidement les attaques, les contenir et y répondre, grâce à un processus global de génération de rapport sur la sécurité et de gestion de la conformité.
Lorsqu'une attaque est lancée contre un réseau exploitant une solution SIEM, le logiciel fournit des informations sur tous les composants informatiques (passerelles, serveurs, pare-feu, etc.).
Avantages du SIEM
Les logiciels SIEM offrent aux entreprises une puissante solution de détection des dernières menaces de sécurité qui pèsent sur leurs réseaux. Les solutions SIEM fournissent une vision globale de la sécurité de l'entreprise en combinant la génération de rapports en temps réel et l'analyse à long terme des événements de sécurité. Les logiciels SIEM consignent les enregistrements d'événements depuis une multitude de sources au sein du réseau. Ces journaux fournissent une mine d'informations essentielles au personnel informatique, dont les logiciels simplifient l'analyse. La collecte complète des journaux permet de répondre à de nombreuses exigences en matière de rapports de conformité. Les plans d'analyse et de normalisation consignent les messages de différents systèmes dans un modèle de données commun et permettent d'analyser les événements associés, enregistrés dans différents formats source. Les liens de corrélation consignent les événements provenant de systèmes ou d'applications hétérogènes, ce qui accélère la détection des menaces de sécurité et la réponse à ces menaces. L'agrégation SIEM réduit le volume de données d'événement en consolidant les enregistrements dupliqués et en générant des rapports en temps réel sur les données d'événements corrélées et agrégées, avant de les comparer aux synthèses à long terme.
Résoudre des problèmes avec le SIEM
Plusieurs menaces de sécurité du réseau émergent et se propagent rapidement. Le nombre de points d'entrée possibles dans un réseau est démultiplié par l'augmentation de la mobilité des utilisateurs, le nombre d'emplacements distants potentiels, ainsi que la multitude d'équipements qui accèdent au réseau.
Les nouvelles applications et technologies génèrent des risques et favorisent l'émergence de nouvelles attaques réseau. Pour certaines entreprises, les failles de sécurité peuvent passer totalement inaperçues pendant des mois, tandis que d'autres ont un service informatique dédié à la protection du réseau contre les activités malveillantes. Pour cela, le personnel informatique doit analyser les données issues d'une multitude de sources afin de comprendre les menaces qui pèsent sur le réseau et déterminer les mesures à prendre pour y répondre.
Les services informatiques ont besoin d'une solution complète et globale offrant une sécurité multiniveaux pour se protéger contre les menaces qui touchent toutes les couches et tous les emplacements réseau. Ils doivent également répondre aux exigences de conformité, en fournissant :
- L'assurance qu'ils peuvent examiner les rapports pour déterminer la nature, les auteurs et la date des opérations.
- Un niveau de transparence offrant la visibilité requise sur les contrôles de sécurité, les applications métiers et les ressources protégées.
- La capacité d'analyse permettant de générer des statistiques et des rapports sur les risques informatiques au sein de l'entreprise.
Juniper Networks SIEM
Juniper Network Secure Analytics (JSA) est une plateforme de gestion de la sécurité réseau qui simplifie la comparaison de données issues d'un vaste ensemble d'appareils et de flux de trafic réseau. Elle combine gestion de journaux, SIEM et détection des anomalies du comportement réseau (NBAD) dans une solution de gestion de la sécurité réseau intégrée de bout en bout. Pour l'industrie des cartes de paiement (PCI), la loi fédérale sur la gestion de la sécurité de l'information (FISMA) ou toute autre organisation axée sur la conformité, les administrateurs obtiennent une image complète de leur posture de sécurité réseau.