Outils SIEM

SIEM ?

Aujourd’hui quasiment toutes les entreprises possèdent des logs venant des systèmes, des applications ou des équipements réseau. Ces logs représentent une masse importante qu’il convient de gérer ne serait-ce que pour se conformer aux réglementations en vigueur. De plus, des alertes critiques peuvent ne pas être traitées car elles ne sont pas mises en relief dans ce flot de données. Par conséquent, il devient important de centraliser ces données et les exploiter de façon intelligente. C’est pour cela qu’il convient d’utiliser les outils SIEM.

Dans quels cas utiliser les outils SIEM?

Les outils SIEM sont utiles pour

  • La sécurité du système d’information: Détecter et répondre aux attaques
  • Se conformer aux réglementations:  Mise en conformité aux exigeances réglementaires imposées par la loi ou la stratégie de l’entreprise.
  • Une exploitation normale du système d’information: c’est l’exploitation des logs dans le cadre de maintenance ou de dépannage.

Les étapes essentielles lors du déploiement d’un outils SIEM:

   – Le besoin d’un outil SIEM?

Déterminez votre besoin. Quelles données souhaitez-vous collecter? Avez-vous besoin du traitement en temps réel, de corréler les données?

   – Definir le champ d’application

Quelle sont les parties prenantes? Quels systèmes ou équipements doivent etre inclus dans le périmètre? Il y a t-il un besoin d’évolution de la quantité de données à traiter?

   – Choisir une solution SIEM et définir un budget

Sélectionnez la solution qui convient le mieux à votre entreprise. Ne négligez pas le coup de la formation, du support, du déploiement, des mises à jour et de l’upgrade.

   – Le déploiement de la solution SIEM

Ne négligez pas les parties prenantes, intéressez-les au projet de déploiement.

   – Après le déploiement

Suivant vos objectifs, mettez en place des indicateurs afin de visualiser les résultats obtenus. Votre outil doit suivre les changements intervenants dans votre entreprise ou organisation

 

Comparatif de 3outils SIEM

 

outil SIEM Splunk

Splunk Enterprise

L’un des leader du marché, Splunk est relativement simple à utiliser et rapide à mettre en œuvre. Il possède une interface graphique conviviale. De plus Splunk rime avec scalability: Votre réseau peut s’agrandir, Splunk suivra.

Concernant le Licencing, Splunk est gratuit jusqu’à 500Mo de données indéxées par jour. Au dela, Splunk devient payant avec une licence basée sur le droit d’indexation pour un certain volume de données ajoutées quotidiennement. Il est donc  recommandé d’utiliser la version Splunk Enterprise qui inclut un nombre illimité d’utilisateurs, de volume de données indexées. Avec Splunk, vous collectez et indexez en temps réel toutes les données machine, provenant des applications, serveurs Web, bases de données, réseaux, machines virtuelles, appareils mobiles, capteurs IoT, mainframes et autres. Il possède plusieurs méthodes de capture standard et personnalisées. Splunk dispose également de forwarders à installer sur les équipements à superviser afin qu’ils puissent lui envoyer leurs logs.

 

outil SIEM de IBM QRadarIBM QRadar

Qradar est une solution plutôt orientée grandes entreprises d’où peut être une utilisation un peu plus complexe lorsqu’il s’agit de la personnaliser. Cependant la solution possède déjà un large choix de cas prédéfinis. Mais QRadar a un coût plus élevé. IBM QRadar a la possibilité de collecter les logs et les flux venant d’applications sur le Cloud. La solution peut être déployée en SaaS grâce à l’offre IBM cloud. Il est possible, en option, d’utiliser les autres produits IBM tel que IBM Security X-Force Threat Intelligence. (Utilise le score et la catégorie de menace pour identifier une menace). L’offre IBM QRadar Security Intelligence inclut les modules de gestion des risques, de gestion des vulnérabilités, d’analyse forensics et les réponses aux incidents.

 

 

outil SIEM de NetIQNetIQ Sentinel

Avec NetIq Sentinel 7 , le déploiement est relativement facile. L’application est virtualisée sous hyperviseur VMware, HyperV ou Xen. Tout comme Splunk, NetIQ Sentinel est évolutif et suivra donc la croissance de votre entreprise. De plus, cette solution permet l’automatisation de l’identification des menaces et de l’élimination de celles-ci avant que les systèmes ne soient affectés. A  partir d’événements collectés par l’outil,  Il est possible de créer des règles de corrélation. En outre, il est inutile d’apprendre un langage de script

 

Retour Outils CyberSécurité

 

 

Source: www.ibm.com, www.netiq.com,www.splunk.com