Qu'est-ce que la gestion des informations et des événements de sécurité (SIEM) ?

Une solution SIEM fonctionne en collectant en continu des données de sécurité provenant des sources de l'ensemble de votre environnement, en les normalisant dans un format cohérent et en les analysant afin d'identifier les menaces et les incidents de sécurité. Le système ingère les journaux des pare-feu, des systèmes de détection des intrusions, des points de terminaison, des services cloud et des applications. Il applique ensuite des règles de corrélation pour relier les événements associés susceptibles d'indiquer une attaque. Lorsque la solution SIEM identifie des schémas suspects ou des correspondances avec des indicateurs de menace connus, elle génère des alertes pouvant être examinées par votre équipe de sécurité.

Le processus SIEM comporte plusieurs étapes :

• Collecte des données : les agents et les connecteurs collectent les journaux et les événements de chaque partie de votre infrastructure en temps réel.
• Normalisation : les données brutes sont converties dans un format standardisé afin que les informations provenant de différentes sources puissent être comparées et analysées ensemble.
• Corrélation et analyse : le système applique des règles et des modèles de machine learning pour identifier les relations entre les événements et détecter les anomalies qui indiquent des menaces.
• Génération d'alertes : lorsque l'analyse identifie des incidents de sécurité potentiels, la solution SIEM crée des alertes hiérarchisées en fonction de la gravité et du risque.
• Aide à l'investigation : les analystes de sécurité utilisent les fonctionnalités de recherche et de visualisation de la solution SIEM pour examiner les alertes, reconstituer la chronologie des attaques et déterminer les réponses appropriées.
• Coordination des réponses : la solution SIEM peut déclencher des réponses automatisées ou guider les analystes dans les workflows de réponse aux incidents.

Les plates-formes SIEM se composent de plusieurs éléments intégrés qui fonctionnent ensemble pour collecter des données, détecter les menaces et coordonner les réponses. Chaque composant remplit une fonction spécifique dans le processus global de surveillance de la sécurité et de réponse aux incidents.

La gestion des journaux est au cœur des solutions SIEM. Elle permet de collecter, de stocker et d'indexer de grands volumes de données d'événements provenant de l'ensemble de votre infrastructure. La solution SIEM agrège les journaux des systèmes d'exploitation, des bases de données, des appareils réseau, des outils de sécurité et des services cloud dans un dépôt centralisé à des fins de recherche et d'analyse. Ce magasin de journaux unifié fournit le contexte historique nécessaire pour enquêter sur les incidents, identifier les schémas d'attaque et respecter les exigences de conformité en matière de conservation des données.

Les fonctionnalités de détection des menaces analysent les flux de données entrants pour identifier les incidents de sécurité au fur et à mesure qu'ils se produisent. Les systèmes SIEM utilisent plusieurs méthodes de détection, y compris des règles basées sur des signatures qui correspondent à des schémas d'attaque connus, des analyses comportementales qui identifient les écarts par rapport à l'activité normale et des modèles de machine learning qui reconnaissent les indicateurs de compromission subtils. Les flux Google Threat Intelligence enrichissent cette analyse en fournissant du contexte sur les tactiques des pirates informatiques, les familles de logiciels malveillants et les menaces émergentes.

Les alertes transforment les menaces détectées en notifications exploitables pour votre équipe de sécurité. La solution SIEM évalue chaque problème identifié en fonction des critères de notation des risques et des priorités de l'organisation afin de déterminer la gravité et le routage des alertes. Mandiant Digital Threat Monitoring peut étendre vos capacités d'alerte en surveillant les sources externes à la recherche de menaces ciblant votre organisation.

Les fonctionnalités de réponse aident les équipes de sécurité à maîtriser les menaces identifiées et à y remédier. Les plates-formes SIEM fournissent des fonctionnalités de gestion des cas qui guident les analystes dans les workflows d'investigation et de réponse, en suivant les actions entreprises et en conservant une piste d'audit pour chaque incident. Les services Mandiant Consulting peuvent vous aider à développer des playbooks de réponse efficaces pour enquêter sur les cyberincidents, les contenir et y remédier rapidement.

L'automatisation et l'orchestration réduisent l'effort manuel nécessaire pour traiter les alertes et répondre aux menaces courantes. Les fonctionnalités d'orchestration de la sécurité, d'automatisation et de réponse (SOAR) vous permettent de définir des workflows qui exécutent automatiquement des procédures de réponse en plusieurs étapes lorsque des conditions spécifiques sont remplies. Par exemple, lorsque la solution SIEM détecte un logiciel malveillant sur un point de terminaison, un playbook automatisé peut mettre l'appareil en quarantaine, collecter des preuves associées aux investigations, analyser d'autres systèmes à la recherche d'indicateurs similaires et créer une demande pour qu'un analyste procède à un examen.

Les fonctionnalités de traque des menaces permettent aux analystes de sécurité de rechercher de manière proactive les menaces qui ont échappé à la détection automatisée. La solution SIEM fournit des interfaces de requête et des outils de visualisation qui permettent aux experts en sécurité d'explorer votre environnement, de tester des hypothèses sur le comportement des pirates informatiques et de découvrir des compromissions cachées. Les services de détection et de traque des menaces de Mandiant exploitent la plate-forme SIEM pour rechercher systématiquement les menaces avancées.

Les fonctionnalités de conformité vous aident à respecter les exigences réglementaires et les normes de sécurité du secteur. La solution SIEM collecte et conserve automatiquement les journaux conformément aux exigences de conformité (par exemple, loi HIPAA, PCI DSS, RGPD et SOX), fournissant ainsi aux auditeurs les preuves dont ils ont besoin pour vérifier vos contrôles de sécurité. Les rapports de conformité prédéfinis associent vos données de journaux à des exigences réglementaires spécifiques. Ils indiquent quels systèmes sont conformes et signalent les lacunes à corriger.

L'implémentation d'une solution SIEM nécessite une planification minutieuse et une approche par étapes :

1. Définissez des objectifs clairs : identifiez les objectifs de sécurité et de conformité spécifiques que vous souhaitez atteindre avec la solution SIEM, comme la détection des attaques par ransomware, la surveillance des accès privilégiés ou le respect des exigences PCI DSS.
2. Évaluez votre environnement : documentez l'ensemble des systèmes, applications et sources de données qui doivent alimenter la solution SIEM, en accordant la priorité aux ressources critiques et aux cibles à forte valeur ajoutée.
3. Sélectionnez les sources de données appropriées : commencez par intégrer les sources de journaux les plus importantes, comme les contrôleurs de domaine, les pare-feu et les outils de sécurité des points de terminaison, avant de passer aux systèmes moins critiques.
4. Configurez la collecte de données : configurez des agents, des connecteurs et des API pour collecter de manière fiable les journaux à partir des sources identifiées, sans impacter les performances du système.
5. Normalisez et enrichissez les données : configurez des règles d'analyse pour extraire les champs pertinents des journaux bruts et enrichir les événements avec des informations contextuelles sur les ressources, les utilisateurs et les renseignements sur les menaces.
6. Développez des cas d'utilisation : créez des règles de détection et une logique de corrélation adaptées aux menaces auxquelles votre organisation est confrontée, en commençant par les scénarios prioritaires.
7. Ajustez les règles de détection : testez et affinez les règles pour réduire les faux positifs tout en conservant une sensibilité aux menaces réelles.
8. Établissez des workflows : définissez des procédures d'investigation et de réponse pour différents types d'incidents, en documentant les rôles, les responsabilités et les critères d'escalade.
9. Formez votre équipe : proposez une formation complète sur la plate-forme SIEM, les techniques d'investigation et les procédures de réponse.
10. Surveillez et optimisez : examinez en continu les performances de la solution SIEM, la qualité des alertes et les métriques de réponse, et apportez les ajustements nécessaires pour améliorer l'efficacité.

Une solution SIEM traite différents scénarios de sécurité dans les organisations, de la détection des menaces à la gestion de la conformité. Les équipes de sécurité exploitent les fonctionnalités SIEM pour répondre aux besoins de sécurité immédiats et aux défis opérationnels à long terme.

Voici quelques cas d'utilisation courants des solutions SIEM :

1. Analyse de sources de données volumineuses : l'adoption rapide du cloud et de l'IoT signifie que la télémétrie de sécurité est plus importante et qu'il est nécessaire d'ingérer des journaux de serveur indiquant une violation, comme les journaux DNS et DHCP. Une solution SIEM peut analyser des sources de données volumineuses et exigeantes et effectuer des recherches en moins d'une seconde sur des pétaoctets de données, offrant ainsi l'échelle nécessaire pour couvrir tous les aspects de l'infrastructure moderne.
2. Conservation étendue des données télémétriques des points de terminaison : vous pouvez considérer que les données de votre outil EDR constituent la source unique de vérité pour chaque appareil de votre réseau. Cependant, en raison du coût élevé, il peut arriver que vous ne puissiez pas conserver vos données EDR pendant une période prolongée. Une solution SIEM vous permet d'ingérer et de stocker la télémétrie des points de terminaison au moins dix fois plus longtemps, et de la corréler avec des signaux d'entreprise plus larges pour une meilleure visibilité et des analyses plus approfondies.
3. Réponse et orchestration automatisées : le temps de réponse fait toute la différence dans un incident de sécurité. Pourtant, de nombreuses organisations manquent de capacités d'automatisation et d'orchestration, ce qui entraîne des retards et des efforts manuels intensifs pour répondre aux menaces. Une plate-forme SecOps unifiée fournit à votre équipe des playbooks automatisés, des fonctionnalités de gestion des demandes et des outils de collaboration qui peuvent accélérer et améliorer l'efficacité des réponses.

Pour choisir la solution SIEM appropriée, vous devez évaluer soigneusement comment les différentes solutions s'alignent sur les besoins de sécurité, l'infrastructure et les ressources spécifiques de votre organisation. Vous devez prendre en compte les capacités techniques et les facteurs opérationnels, comme la complexité du déploiement, les exigences de maintenance continue et le coût total de possession. La meilleure solution SIEM pour votre organisation doit équilibrer l'efficacité de la détection, l'évolutivité et la facilité d'utilisation, tout en s'intégrant parfaitement à vos outils existants.

Utilisez les critères suivants pour évaluer les solutions SIEM :

• Évolutivité : vérifiez que la plate-forme peut gérer vos volumes de journaux actuels et évoluer avec votre organisation sans dégrader les performances.
• Fonctionnalités d'intégration : recherchez des connecteurs préintégrés pour les outils de sécurité, les plates-formes cloud et les applications d'entreprise dont vous disposez déjà.
• Efficacité de la détection : évaluez la sophistication des règles de corrélation, des modèles de machine learning et de l'intégration des renseignements sur les menaces.
• Prise en charge de l'automatisation : déterminez avec quelle facilité vous pouvez créer des workflows de réponse automatisés et les intégrer à des plates-formes d'orchestration.
• Prise en charge de la conformité : vérifiez que la solution inclut des rapports et des fonctionnalités conformes à vos exigences réglementaires.
• Coût total de possession : calculez les coûts de licence, les besoins en infrastructure et les besoins en personnel pour l'implémentation et les opérations continues.

L'avenir des solutions SIEM sera marqué par une automatisation accrue, une intégration plus étroite aux outils de sécurité et des analyses plus sophistiquées optimisées par l'intelligence artificielle. Nous constatons que les solutions SIEM évoluent d'une plate-forme autonome vers des opérations de sécurité unifiées qui combinent facilement la détection, l'investigation et la réponse aux menaces avec la détection et la réponse étendues (XDR) et l'orchestration de la sécurité. Le machine learning va continuer à évoluer au-delà de la simple détection d'anomalies pour fournir des capacités prédictives permettant d'identifier les attaques à leurs tout premiers stades, bien avant que des dommages importants ne se produisent. À mesure que les entreprises adoptent davantage de services cloud et d'architectures distribuées, les solutions SIEM cloud natives deviennent la norme. Elles offrent une meilleure évolutivité et une intégration aux contrôles de sécurité cloud.

Que vous ayez besoin d'un service SIEM géré complet ou que vous souhaitiez exploiter des fonctionnalités spécifiques, Google Security Operations propose des options flexibles pour répondre aux exigences de vos opérations de sécurité. Nous proposons des fonctionnalités SIEM complètes permettant de gérer d'énormes volumes de journaux grâce à l'évolutivité cloud native, des analyses avancées qui réduisent les faux positifs et une intégration étroite avec l'écosystème Google Cloud Security. Google Security Operations inclut des connecteurs de données qui s'intègrent parfaitement à vos outils et services de sécurité existants, ce qui élimine la complexité liée aux intégrations personnalisées.