Les outils degestion des informations et des événements de sécurité (SIEM) ingèrent des données de journal provenant de divers matériels et logiciels de réseau et les analysent en temps réel. Leur objectif est de corréler les événements et d'identifier les anomalies ou les modèles de comportement, comme le trafic provenant d'adresses IP suspectes ou l'exfiltration inhabituelle de données, qui peuvent indiquer une violation. Avant les SIEM, les journaux et autres données étaient souvent collectés manuellement et les journaux provenant d'une variété de technologies différentes, y compris les serveurs, les pare-feu, les antivirus, les filtres anti-spam et autres, devaient être collectés, normalisés et analysés.
Même dans les petites organisations, il peut y avoir plus de 300 logiciels et produits matériels produisant des journaux, et une grande entreprise en aura probablement des milliers. Avant les SIEM, il s'agissait d'un processus brutalement lent et coûteux qui comportait de nombreuses erreurs. Aujourd'hui, après l'ingestion et la normalisation des journaux, les SIEM ont généralement la capacité d'analyser les données d'événements en temps réel pour permettre la détection précoce des attaques ciblées, des menaces avancées et des violations de données.
Mais dans quelle mesure cela est-il utile pour renforcer la résilience de votre organisation ? À un niveau élevé, la fonction d'un SIEM semble très similaire aux services de détection et de réponse gérés (MDR) disponibles auprès d'une grande variété de fournisseurs de services de sécurité gérés (MSSP), quel est le meilleur choix pour votre organisation ?
Dans ce billet, nous allons explorer la valeur d'un SIEM et sa comparaison avec les services MDR.
Les SIEM ont trois fonctions essentielles dans la plupart des organisations :
La plupart des solutions SIEM présentent un large éventail de caractéristiques et de fonctionnalités, notamment
La surveillance, la documentation et l'analyse des événements système sont des éléments essentiels de la sécurité informatique, et les SIEM automatisent un grand nombre de ces processus. En particulier, un SIEM prend en charge deux tâches qui étaient auparavant traitées séparément :
Le SIEM combine les capacités du SIM et du SEM, en fournissant une surveillance et une analyse en temps réel des alertes de sécurité générées par le matériel et les applications du réseau. Ils utilisent ou traitent les éléments suivants :
Une solution SIEM peut être un multiplicateur de force majeur pour une équipe de sécurité. En fournissant une agrégation et une analyse automatiques des données, elle peut permettre aux analystes d'identifier rapidement des menaces potentielles qui seraient autrement passées inaperçues. Cependant, une solution SIEM n'est pas prête à l'emploi, elle doit être correctement configurée et utilisée afin de protéger efficacement une organisation contre les cybermenaces.
Une solution SIEM est conçue pour agréger de multiples sources de données de cybersécurité et fournir un contexte aux analystes de la sécurité. Cela peut être un atout majeur pour la détection et la réponse aux incidents, car les données provenant de sources multiples peuvent souvent permettre de détecter des incidents de cybersécurité qui semblent être des anomalies inoffensives du point de vue d'un seul outil.
Toutefois, si l'accès aux données est important, plus de données n'est pas nécessairement mieux. Plus un SIEM doit ingérer et traiter de flux de données, plus il lui faudra de temps pour répondre aux requêtes des analystes.
Pour être efficace, un SIEM doit disposer d'un ensemble de flux d'entrée soigneusement sélectionnés, conçus pour offrir une visibilité maximale sans inclure de données superflues. L'élaboration d'un tel flux nécessite une connaissance approfondie de la cybersécurité et des sources de données précieuses au sein du réseau d'une organisation.
Les SIEM fonctionnent sur la base de cas d'utilisation. Bien qu'un SIEM puisse automatiquement ingérer des données provenant du réseau d'une organisation, il faut lui indiquer ce qu'il faut rechercher dans ces données. Un cas d'utilisation SIEM définit un scénario d'attaque potentiel et la manière de le trouver dans les données disponibles.
Bien qu'il existe des cas d'utilisation SIEM généralisés, il est également important d'avoir des cas d'utilisation personnalisés. Les menaces potentielles de cybersécurité auxquelles est confrontée une institution financière sont très différentes de celles observées dans le secteur de la vente au détail. Pour maximiser l'efficacité du SIEM, il faut des cas d'utilisation du SIEM adaptés à l'organisation.
La définition de ces cas d'utilisation nécessite une expertise approfondie en matière de cybersécurité. Le développeur de cas d'utilisation doit connaître un vecteur d'attaque potentiel, savoir comment il peut être détecté et comment trouver cette information particulière dans le réseau d'une organisation.
Une solution SIEM est conçue pour filtrer les alertes inutiles et les faux positifs. Toutefois, il ne s'agit pas d'une solution parfaite. Bien qu'un SIEM puisse émettre moins d'alertes qu'un ensemble de systèmes autonomes, les volumes d'alertes peuvent toujours être élevés.
Tenter de gérer manuellement les alertes de sécurité peut rapidement submerger l'équipe de sécurité d'une organisation. Le SOC moyen reçoit plus de 10 000 alertes par jour, et chaque alerte doit être consultée, triée, examinée et éventuellement traitée.
La plupart des organisations ne disposent pas des ressources nécessaires pour traiter ce volume d'alertes. Par conséquent, certaines alertes sont ignorées ou négligées, laissant l'organisation dans l'ignorance d'attaques potentielles.
La gestion d'un SIEM implique des coûts initiaux élevés et nécessite une expertise technique importante pour fonctionner efficacement. Il est donc logique de confier cette responsabilité à un fournisseur de services pour accélérer le déploiement et réduire les coûts d'exploitation, mais le diable se cache dans les détails.
Avec le déploiement d'un SIEM, votre équipe de cybersécurité peut choisir quels journaux de données sont les plus critiques pour la sécurité de l'organisation. Vous pouvez calibrer votre SIEM pour qu'il analyse ces journaux et génère des alertes en cas d'activité suspecte. Avec un MDR, vous êtes limité aux journaux de données que le fournisseur de services est prêt à examiner, et cette liste est souvent extrêmement limitée. Certains MSSP n'analysent qu'environ 5 % des journaux, le reste étant archivé en chambre froide, et nombre d'entre eux n'offrent que peu ou pas d'options de personnalisation permettant d'étendre les journaux analysés.
Si vous envisagez de recourir à des services de MDR plutôt qu'à un SIEM, prêtez une attention particulière aux spécificités des journaux de données. Les services décrits comme des services SIEM gérés sont plus susceptibles d'inclure une analyse plus large des journaux, mais ce n'est pas garanti. La dénomination des services dans les MSSP n'est pas cohérente et le SIEM géré d'une entreprise peut ressembler au service MDR d'une autre. SecureOps, en revanche, adaptera vos services de sécurité gérés pour protéger les données les plus importantes pour vous.
Les SIEM sont des technologies éprouvées si elles sont déployées, mises en œuvre et réglées correctement. Cependant, le coût initial, la formation, la main d'œuvre opérationnelle et la complexité peuvent être écrasants pour les équipes de sécurité. Les MSSP sont un moyen efficace pour les organisations d'accéder aux avantages d'un SIEM sans avoir à recruter l'expertise hautement compétitive nécessaire. De plus, les MSSP permettent de louer, plutôt que d'acheter, la technologie SIEM, ce qui permet de réaliser d'énormes économies sur les coûts initiaux.
Si vous êtes intéressé par les avantages d'une plateforme SIEM, assurez-vous que vous disposez de l'expertise adéquate en interne pour exploiter l'outil efficacement. Si vous ne disposez pas de ces ressources, un partenariat solide en matière de sécurité avec le bon MSSP peut vous permettre d'y parvenir.