Security Information Management System

Security Information Management System

Le principe du Security Information Management (SIM) est de gérer les évènements du Système d'Information (SI).

Appelés également SEM (Security Event Management) ou SEIM (Security Event Information Management) ou encore SIEM (Security Information and Event Management), ils permettent de gérer et corréler les logs. On parle de corrélation car ces solutions sont munies de moteurs de corrélation qui permettent de relier plusieurs évènements à une même cause.

Face au nombre d'évènements générés par les composants d'un système d'information, il est difficile de les traiter à la volée.

Les SIM permettent :

  1. la collecte
  2. l'agrégation
  3. la normalisation
  4. la corrélation
  5. le reporting
  6. l'archivage
  7. le rejeu des évènements

Sommaire

Collecte

Les logiciels de SIEM prennent en entrée les événements collectées du SI : les journaux système des équipements (firewalls, routeurs, serveurs, bases de données, etc.). Ils permettent de prendre en compte différents formats (syslog, Traps SNMP, fichiers plats, OPSEC, formats propriétaires, etc.) ou nativement le format IDMEF (Intrusion Detection Message Exchange Format), spécialement conçu et validé par l'IETF sous forme de RFC pour partager l'information qui intéresse un système de détection et protection aux intrusions.

La collecte peut être de façon passive en mode écoute ou active en mettant en place des agents directement sur les équipements ou à distance. Les solutions permettent également de développer des collecteurs pour prendre en compte des nouveaux formats de journaux systèmes (API, expression régulière, etc.).

Normalisation

Les logs bruts sont stockés sans modification pour garder leur valeur juridique. On parle de valeur probante. Les logs sont généralement copiés puis normalisés sous un format plus lisible. En effet, la normalisation permet de faire des recherches mutli-critères, sur un champ ou sur une date. Ce sont ces évènements qui seront enrichis avec d'autres données puis envoyés vers le moteur de corrélation.

Agrégation

Plusieurs règles de filtrage peuvent être appliquées. Ils sont ensuite agrégés selon les solutions, puis envoyés vers le moteur de corrélation.

Corrélation

Les règles de corrélation permettent d'identifier un évènement qui a causé la génération de plusieurs autres (un hacker qui s'est introduit sur le réseau, puis a manipulé tel équipement....). Elles permettent aussi de remonter une alerte via un trap, un mail, sms ou ouvrir un ticket si la solution SIEM est interfacée avec un outil de gestion de tickets.

Reporting

Les SIEM permettent également de créer et générer des tableaux de bord et des rapports. Ainsi, les différents acteurs du SI, RSSI, administrateurs, utilisateurs peuvent avoir une visibilité sur le SI (Nombre d'attaques, nombre d'alertes/jour...).

Archivage

Les solutions SIEM sont utilisés également pour des raisons juridiques et réglementaires. Un archivage à valeur probante permet de garantir l'intégrité des traces. Les solutions peuvent utiliser des disques en RAID, calculer l'empreinte, utiliser du chiffrement ou autre pour garantir l'intégrité des traces.

Rejeu des évènements

La majorité des solutions permettent également de rejouer les anciens évènements pour mener des investigations post-incident. Il est également possible de modifier une règle et de rejouer les évènements pour voir son comportement.

Entreprises leaders du marché des SIM/SEM[1],[2]

Notes et références

  1. Gartner Magic Quadrant May 2008
  2. Gartner Magic Quadrant May 2010

Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article Security Information Management System de Wikipédia en français (auteurs)

Игры ⚽ Поможем сделать НИР

Regardez d'autres dictionnaires:

  • Security Information Management — System Le principe du Security Information Management (SIM) est de gérer les évènements du Système d Information (SI). Appelés également SEM (Security Event Management) ou SEIM (Security Event Information Management) ou encore SIEM (Security… …   Wikipédia en Français

  • Security Information Management — (SIM) is the industry specific term in computer security referring to the collection of data (typically log files; e.g. eventlogs) into a central repository for trend analysis. SIM is a relatively new idea, pioneered in 1999 by a small company… …   Wikipedia

  • IBM Information Management System — (IMS) is a joint hierarchical database and information management system with extensive transaction processing capabilities. History IBM designed IMS with Rockwell and Caterpillar starting in 1966 for the Apollo program. IMS s challenge was to… …   Wikipedia

  • Security Information and Event Management — Security Information Management System Le principe du Security Information Management (SIM) est de gérer les évènements du Système d Information (SI). Appelés également SEM (Security Event Management) ou SEIM (Security Event Information… …   Wikipédia en Français

  • Partnership for Peace Information Management System — General Information The mission of the Partnership for Peace Information Management System (PIMS) is to enable efficient reliable information exchange between PfP countries and the NATO community a key first step in the orderly process of… …   Wikipedia

  • Security Level Management — (SLM) ist ein Qualitätssicherungssystem für die elektronische Informationssicherheit. SLM hat zum Ziel, den IT Sicherheitsstatus jederzeit unternehmensweit transparent darzustellen und IT Sicherheit zu einer messbaren Größe zu machen. Transparenz …   Deutsch Wikipedia

  • security and protection system — Introduction       any of various means or devices designed to guard persons and property against a broad range of hazards, including crime, fire, accidents, espionage, sabotage, subversion, and attack.       Most security and protection systems… …   Universalium

  • Information security management system — An Information Security Management System (ISMS) is, as the name suggests, a set of policies concerned with information security management. The idiom arises primarily out of ISO/IEC 27001.The key concept of ISMS is for an organization to design …   Wikipedia

  • Information security management system — Système de gestion de la sécurité de l information Un système de gestion de la sécurité de l information (en anglais : Information security management system, ou ISMS) est, comme son nom le suggère, un système de gestion concernant la… …   Wikipédia en Français

  • Information Security Management System — Das Information Security Management System (ISMS, engl. für „Managementsystem für Informationssicherheit“) ist eine Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens, welche dazu dienen, die Informationssicherheit dauerhaft zu… …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”