SIEM

Plateforme qui agrège, normalise et corrèle la télémétrie de sécurité de toute l'entreprise pour la détection, l'investigation, la conformité et le reporting.

Un SIEM (Security Information and Event Management) est la plateforme centrale d'analyse de logs du SOC. Il ingère les journaux et la télémétrie issus des pare-feu, des postes, des fournisseurs d'identité, des API cloud, des applications et des sondes réseau, puis les normalise et les stocke pour que des règles de corrélation, des références statistiques et des modèles d'apprentissage produisent des alertes priorisées. Les SIEM modernes (Splunk, Microsoft Sentinel, Elastic, Chronicle, QRadar) prennent en charge la détection-as-code, l'UEBA, l'enrichissement par renseignement sur les menaces et l'intégration avec un SOAR pour la réponse automatisée. Le SIEM est le système de référence pour les enquêtes d'incidents, le reporting de conformité et la rétention forensique à long terme.

Exemples

Microsoft Sentinel corrélant les échecs de connexion Azure AD avec des alertes EDR pour détecter du password spraying.
Une recherche de corrélation Splunk qui se déclenche quand un compte de service se connecte depuis un pays inhabituel.

SIEM

Exemples

Termes liés

Centre des Opérations de Sécurité (SOC)

SOAR

UEBA (analyse comportementale des utilisateurs et entités)

Log Analysis

Renseignement sur les menaces

Indicator of Compromise (IoC)

Définition

Exemples

Termes liés

Centre des Opérations de Sécurité (SOC)

SOAR

UEBA (analyse comportementale des utilisateurs et entités)

Log Analysis

Renseignement sur les menaces

Indicator of Compromise (IoC)