Retour au cours

Concepts du SIEM (Security Information and Event Management)

Maîtrise de la Cybersécurité : de Zéro à Héros

SIEM : Intelligence de sécurité centralisée

Les systèmes, les réseaux, les pare-feu et les applications génèrent des milliers d'entrées de journaux (logs) chaque seconde. Un humain ne peut surveiller un tel volume de données.

Un système SIEM centralise, corrèle et analyse les données de sécurité provenant de multiples sources pour fournir une vue unifiée de la posture de sécurité.

Fonctions du SIEM

  1. Agrégation : Rassemble les journaux de partout (serveurs, appareils réseau, applications) en un seul endroit.
  2. Normalisation : Traduit divers formats de journaux dans un format commun.
  3. Corrélation : Utilise des règles pour lier des événements apparemment sans rapport afin d'identifier un incident de sécurité (ex : « Échec de connexion sur le serveur A suivi d'une connexion réussie sur le serveur B avec le même identifiant »).
  4. Alertage : Génère des alertes de haute priorité pour les analystes de sécurité.

Exemples d'outils : Splunk, ELK Stack (Elasticsearch, Logstash, Kibana), Microsoft Sentinel.