Security event managementSecurity event management (SEM, « Gestion des événements de sécurité »), ainsi que les SIM et SIEM connexes, sont des disciplines de sécurité informatique qui utilisent des outils d'inspection des données pour centraliser le stockage et l'interprétation des journaux ou des événements générés par d'autres logiciels exécutés sur un réseau[1],[2],[3]. DescriptionLes acronymes SEM, SIM et SIEM sont parfois utilisés de manière interchangeable, mais font généralement référence aux différents objectifs principaux des produits[4],[5] :
Journaux de logsDe nombreux systèmes et applications qui s'exécutent sur un réseau informatique génèrent des logs qui sont conservés dans des journaux d'événements. Ces journaux sont essentiellement des listes d'activités qui se sont produites, avec des enregistrements de nouveaux événements ajoutés à la fin des journaux au fur et à mesure qu'ils se produisent. Des protocoles, tels que syslog et SNMP, peuvent être utilisés pour transporter ces événements, au fur et à mesure qu'ils sont générés, vers un logiciel de journalisation qui ne se trouve pas sur un hôte distinct de celui sur lequel les événements ont été générés. Les meilleurs SEM fournissent une gamme flexible de protocoles de communication pour permettre la plus large gamme de collecte d'événements. Il est avantageux d'envoyer tous les événements à un système SEM centralisé pour différentes raisons :
Analyse de sécuritéBien que la journalisation centralisée existe depuis longtemps, les SEM sont une idée relativement nouvelle, lancée en 1999 par une petite entreprise appelée E-Security[8], et évoluent encore rapidement. La fonctionnalité clé d'un outil de gestion des événements de sécurité est la capacité d'analyser les journaux collectés pour mettre en évidence les événements ou les comportements sortant de l'ordinaire, par exemple une connexion de compte admin en dehors des heures normales de bureau. Il peut s'agir de joindre des informations contextuelles, telles que des informations sur l'hôte (valeur, propriétaire, emplacement, etc.), des informations d'identité (informations sur l'utilisateur liées aux comptes référencés dans l'événement, telles que le nom/prénom, l'ID, le nom du responsable, etc.), et ainsi de suite. Ces informations contextuelles peuvent être exploitées pour fournir de meilleures capacités de corrélation et de création de rapports et sont souvent appelées métadonnées. Les produits peuvent également s'intégrer à des outils externes de remédiation, de billetterie et de flux de travail pour faciliter le processus de résolution des incidents. Les meilleurs SEM fourniront un ensemble flexible et extensible de capacités d'intégration pour garantir que le SEM fonctionnera avec la plupart des environnements client. Exigences réglementairesLes SEM sont souvent vendus pour aider les entreprises à satisfaire aux exigences réglementaires américaines telles que celles de Sarbanes–Oxley, PCI-DSS, GLBA .[réf. nécessaire] StandardisationL'un des problèmes majeurs dans l'espace SEM est la difficulté d'analyser de manière cohérente les données d'événements. Chaque fournisseur - et même souvent différents produits d'un même fournisseur - utilise un format de données d'événement propriétaire et une méthode de livraison différents. Même dans les cas où une « norme » est utilisée pour une partie de la chaîne, comme Syslog, les normes ne contiennent généralement pas suffisamment de conseils pour aider les développeurs à générer des événements, les administrateurs à les rassembler correctement et de manière fiable, et les consommateurs pour les analyser efficacement. Pour lutter contre ce problème, plusieurs efforts de normalisation sont en cours. Tout d'abord, The Open Group met à jour sa norme XDAS en 1997. Celle-ci ne depasse jamais le statut de brouillon. Ce nouvel effort, baptisé XDAS v2, tentera de formaliser un format d'événement, y compris quelles données doivent être incluses dans les événements et comment elles doivent être exprimées.[réf. nécessaire] La norme XDAS v2 n'inclura pas les normes de livraison d'événements, mais d'autres normes en cours de développement par le groupe de travail sur la gestion distribuée peuvent fournir un wrapper. De son côté, MITRE, pour unifier les rapports d'événements développe l'expression d'événement commune (CEE) qui a une portée un peu plus large car tentant de définir une structure d'événement ainsi que des méthodes de livraison. Le projet cependant vient a manquer de financement en 2014[9]. Voir aussiRéférences
Liens externes |
Portal di Ensiklopedia Dunia