La technologie SIEM (Security Information and Event Management) est un outil utile pour de nombreuses organisations. Les analystes de la s¨¦curit¨¦ et les intervenants en cas d’incidents reposent sur une seule source de v¨¦rit¨¦, avec des ¨¦v¨¦nements et des donn¨¦es extraits de plusieurs ressources.
La console unique est une proposition attirante, mais le SIEM a des limites et des inconv¨¦nients. De plus, cette solution laisse ¨¤ d¨¦sirer dans un environnement hybride. L’adoption du logiciel en tant que service (SaaS) et d’autres services cloud ajoute une couche de complexit¨¦ pour laquelle les plates-formes SIEM n’ont pas ¨¦t¨¦ con?ues, ce qui r¨¦duit davantage leur utilit¨¦.
R?le du SIEM dans un Security Operations Center
Ces derni¨¨res ann¨¦es, les plates-formes SIEM sont devenues la pi¨¨ce ma?tresse du SOC (Security Operations Center). Avec l’¨¦volution constante des menaces, les ¨¦quipes de s¨¦curit¨¦ doivent sans cesse surveiller leurs environnements et r¨¦pondre aux menaces. Le SIEM les aide ¨¤ le faire plus efficacement.
Lorsque la technologie a ¨¦t¨¦ mise ¨¤ disposition il y a quelques ann¨¦es, elle ¨¦tait con?ue pour minimiser le nombre d’alertes sur lesquelles les analystes devaient enqu¨ºter. Cela facilite le passage au crible de toutes les donn¨¦es et la recherche des menaces potentielles. ? un moment, le SIEM ¨¦tait m¨ºme le , selon Gartner.
En r¨¦alit¨¦, cet outil ponctionne les ressources de nombreuses organisations, car elle n¨¦cessite beaucoup de temps et de savoir-faire pour la g¨¦rer de fa?on continue. Pour tirer le meilleur partir d’un SIEM, vous avez besoin d’un SOC et de son personnel 24?h/24, 7?j/7. Bon nombre de PME n’ont simplement pas les ressources pour op¨¦rer de cette mani¨¨re.
Pire encore, si vous ne disposez pas des ressources et du savoir-faire n¨¦cessaires pour ajuster et configurer correctement un SIEM, l’outil devient contre-productif. Au lieu de r¨¦duire le volume des alertes, il augmente le nombre d’alertes et les faux positifs, ce qui annule l’int¨¦r¨ºt de cet investissement co?teux.
La avantages du SIEM en mati¨¨re de d¨¦tection des menaces et de conformit¨¦
Le principal avantage des plates-formes SIEM est qu’elles collectent, agr¨¨gent, stockent et analysent les journaux et les donn¨¦es d’un grand nombre de sources en temps r¨¦el. Cela permet aux analystes du SOC de consolider toutes les donn¨¦es de s¨¦curit¨¦ dans une interface unique, de les corr¨¦ler et d’obtenir de meilleures informations sur les ¨¦v¨¦nements de cybers¨¦curit¨¦.
Un autre avantage est que le SIEM vous offre une flexibilit¨¦ et un contr?le int¨¦gral sur les sources que vous y int¨¦grez. Vous pouvez ing¨¦rer n’importe quel ¨¦l¨¦ment, de vos capacit¨¦s de s¨¦curit¨¦ des points de terminaison ¨¤ vos syst¨¨mes de pr¨¦vention des intrusions, et int¨¦grer des sources de donn¨¦es suppl¨¦mentaires lorsque vous ajoutez de nouvelles solutions ¨¤ votre ¨¦cosyst¨¨me.
Vos ing¨¦nieurs en s¨¦curit¨¦ peuvent cr¨¦er des r¨¨gles qui sp¨¦cifient le comportement normal pour tous les syst¨¨mes, et le SIEM va automatiquement d¨¦tecter les anomalies et cr¨¦er des alertes. Ils peuvent ¨¦galement personnaliser ces alertes en fonction de crit¨¨res sp¨¦cifiques pour aider ¨¤ identifier les menaces potentielles.
En plus de fournir une visibilit¨¦ sur votre environnement, le SIEM est un bon outil de conformit¨¦. Vous pouvez centraliser et rationaliser vos audits et vos rapports sur les ¨¦v¨¦nements de s¨¦curit¨¦. De plus, le SIEM est g¨¦n¨¦ralement compatible avec les rapports de conformit¨¦ associ¨¦s aux normes telles que PCI, HIPAA, etc.
Inconv¨¦nients des plates-formes SIEM
En th¨¦orie, l’automatisation de la collecte, de l’agr¨¦gation et de l’analyse des donn¨¦es de tous les outils de s¨¦curit¨¦ ressemble au r¨ºve de tout analyste. Mais comme le SIEM repose sur des r¨¨gles, vous devez le reconfigurer en permanence et ajouter de nouvelles corr¨¦lations au fur et ¨¤ mesure de l’apparition des menaces, ce qui peut s’av¨¦rer tr¨¨s difficile.
D¨¦ploiement SIEM
Pour commencer, le retour sur investissement de cette technologie n¨¦cessite beaucoup de temps. Pour vos ing¨¦nieurs en s¨¦curit¨¦, le d¨¦ploiement int¨¦gral de la plate-forme peut prendre six (voire douze)?mois. Vous devez configurer le SIEM afin qu’il recherche les bonnes corr¨¦lations dans votre environnement. Les corr¨¦lations pr¨ºtes ¨¤ l’emploi peuvent ne pas s’appliquer ¨¤ votre r¨¦seau. Ainsi, entre autres points ¨¤ pr¨¦parer, votre ¨¦quipe doit choisir celles ¨¤ d¨¦sactiver et les nouvelles r¨¨gles ¨¤ cr¨¦er. Le d¨¦ploiement se d¨¦compose en plusieurs phases, chacune n¨¦cessitant un savoir-faire ¨¤ temps plein en ing¨¦nierie.
Maintenance SIEM
Le d¨¦ploiement compliqu¨¦ n’est que le premier des inconv¨¦nients. Votre personnel doit continuellement ajuster les corr¨¦lations en fonction des nouvelles donn¨¦es de renseignements sur les menaces et d’autres changements. M¨ºme ainsi, le SIEM peut g¨¦n¨¦rer des milliers d’alertes par jour, en fonction de la taille de votre organisation.
Faux positifs
Sans les bonnes corr¨¦lations, le SIEM g¨¦n¨¦rera trop de faux positifs et ignorera des anomalies potentielles. Le nombre ¨¦lev¨¦ de faux positifs que le SIEM g¨¦n¨¨re est une frustration courante pour laquelle cette technologie est r¨¦put¨¦e. a r¨¦v¨¦l¨¦ qu’un analyste de SOC passe 25?% de son temps en moyenne ¨¤ la recherche des faux positifs.
Personnel
L’ex¨¦cution du SIEM n¨¦cessite du personnel ¨¤ temps plein, ¨¤ un moment o¨´ le manque de talents rend difficile le recrutement en cybers¨¦curit¨¦. Les petites et moyennes entreprises n’ont g¨¦n¨¦ralement pas le personnel et l’expertise requis pour d¨¦dier des employ¨¦s ¨¤ temps plein pour la mise en ?uvre correcte et l’ajustement continu du SIEM.
Alertes
L’ex¨¦cution d’un SIEM mal configur¨¦ et mal ajust¨¦ peut en fait exposer votre organisation ¨¤ de plus grands risques. Vos analystes de s¨¦curit¨¦ devront simplement ignorer un grand nombre d’alertes, et ils ne seront pas en mesure d’obtenir un panorama complet de celles qui sont les plus critiques.
S¨¦curisation du cloud avec le SIEM
Avec l’introduction du SaaS et d’autres offres cloud, l’int¨¦gration et la gestion d’une plate-forme SIEM devient bien plus compliqu¨¦e. Le cloud ajoute non seulement de nombreuses nouvelles sources de journaux, mais les r¨¨gles sont ¨¦galement diff¨¦rentes de celles d’un environnement bas¨¦ sur du mat¨¦riel.
La technologie SIEM a ¨¦t¨¦ cr¨¦¨¦e pour une architecture de donn¨¦es sur site, o¨´ le p¨¦rim¨¨tre r¨¦seau est bien d¨¦fini. Les configurations SIEM sur site ne sont pas destin¨¦es aux environnements cloud hybrides, dans lesquels le p¨¦rim¨¨tre est flou car les utilisateurs acc¨¨dent ¨¤ des applications SaaS de n’importe o¨´ et sur plusieurs appareils.
L’un des plus grands probl¨¨mes avec l’ingestion des journaux du cloud dans le SIEM correspond aux volumes de donn¨¦es suppl¨¦mentaires massifs g¨¦n¨¦r¨¦s. Le SIEM traditionnel n’¨¦tait pas con?u pour suivre le rythme de ce niveau de donn¨¦es.
En outre, le SIEM n’est pas suffisamment agile pour des services cloud tels que les microservices. En effet, dans un environnement bas¨¦ sur du mat¨¦riel sur site, les r¨¨gles reposaient g¨¦n¨¦ralement sur des probl¨¨mes connus. Ce n’est pas le cas sur le cloud, o¨´ les menaces ¨¦voluent rapidement.
Du fait des complexit¨¦s d¨¦riv¨¦es du cloud, de nombreuses organisations ont simplement renonc¨¦ ¨¤ l’id¨¦e d’utiliser le SIEM pour obtenir de la visibilit¨¦ sur leur infrastructure cloud. Cela les expose ¨¤ des risques suppl¨¦mentaires, car les fournisseurs de cloud ne sont pas responsables de la s¨¦curit¨¦ de vos actifs cloud.
Certains fournisseurs offrent d¨¦sormais des plates-formes SIEM natives cloud, mais celles-ci pr¨¦sentent aussi des inconv¨¦nients. Dans la plupart des cas, elles ne stockent les journaux que pendant une p¨¦riode limit¨¦e. Elles peuvent ¨¦galement s’av¨¦rer plus co?teuses qu’un SIEM sur site.
Le SOC en tant que service pour r¨¦pondre aux difficult¨¦s SIEM
Le SIEM a encore un r?le ¨¤ jouer dans le SOC, mais pour les petites et moyennes entreprises ayant besoin de plus d’agilit¨¦ et de rentabilit¨¦ dans un environnement cloud hybride, ce n’est pas une solution viable.
Lorsque vous r¨¦capitulez tous les inconv¨¦nients et limitations du SIEM, y compris les p¨¦nuries de personnel, les impr¨¦cisions, l’ajustement manuel et le temps important de retour sur investissement, il est clair que vous avez besoin de trouver une autre solution pour d¨¦tecter les menaces et y r¨¦pondre.
Le SOC en tant que service vous donne tous les avantages d’un SIEM et d’un SOC sur site, mais sans le casse-t¨ºte de l’investissement initial en capital et en recrutement.
Un fournisseur de SOC en tant que service a l’agilit¨¦ et les ressources pour ing¨¦rer et analyser les donn¨¦es de tous vos outils de s¨¦curit¨¦, l’¨¦quipe 24?h/24 7?j/7 n¨¦cessaire pour exploiter un SOC, ainsi que l’expertise pour vous fournir une d¨¦tection des menaces et mesures d’intervention en permanence.
Au contraire du SIEM, le SOC en tant que service est une solution cl¨¦ en main qui vous assure un retour sur investissement imm¨¦diat. Il ¨¦largit vos outils de s¨¦curit¨¦ et votre ¨¦quipe et ¨¦limine tous les probl¨¨mes d’entretien et d’alimentation li¨¦s au SIEM.
Leader des Security Operations
Vous cherchez ¨¤ am¨¦liorer la s¨¦curit¨¦ dans votre organisation?? Arctic Wolf combine une plate-forme cloud native ¨¤ la Concierge Security? Team hautement qualifi¨¦e pour fournir une surveillance, une d¨¦tection et une r¨¦ponse 24?h/24, 7?j/7, ainsi qu’une gestion des risques continue. Contactez-nous pour d¨¦couvrir comment?nous pouvons renforcer votre posture de s¨¦curit¨¦.
