SIEM
Qu'est-ce que SIEM ?
SIEMPlateforme qui agrège, normalise et corrèle la télémétrie de sécurité de toute l'entreprise pour la détection, l'investigation, la conformité et le reporting.
Un SIEM (Security Information and Event Management) est la plateforme centrale d'analyse de logs du SOC. Il ingère les journaux et la télémétrie issus des pare-feu, des postes, des fournisseurs d'identité, des API cloud, des applications et des sondes réseau, puis les normalise et les stocke pour que des règles de corrélation, des références statistiques et des modèles d'apprentissage produisent des alertes priorisées. Les SIEM modernes (Splunk, Microsoft Sentinel, Elastic, Chronicle, QRadar) prennent en charge la détection-as-code, l'UEBA, l'enrichissement par renseignement sur les menaces et l'intégration avec un SOAR pour la réponse automatisée. Le SIEM est le système de référence pour les enquêtes d'incidents, le reporting de conformité et la rétention forensique à long terme.
● Exemples
- 01
Microsoft Sentinel corrélant les échecs de connexion Azure AD avec des alertes EDR pour détecter du password spraying.
- 02
Une recherche de corrélation Splunk qui se déclenche quand un compte de service se connecte depuis un pays inhabituel.
● Questions fréquentes
Qu'est-ce que SIEM ?
Plateforme qui agrège, normalise et corrèle la télémétrie de sécurité de toute l'entreprise pour la détection, l'investigation, la conformité et le reporting. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie SIEM ?
Plateforme qui agrège, normalise et corrèle la télémétrie de sécurité de toute l'entreprise pour la détection, l'investigation, la conformité et le reporting.
Comment se défendre contre SIEM ?
Les défenses contre SIEM combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.