Quest-ce que le SIEM? Un guide du débutant

SIEM est désormais une industrie de 2 milliards de dollars, mais seulement 21,9% de ces entreprises tirent profit de leur SIEM, selon une enquête récente.

Les outils SIEM sont importants partie de lécosystème de sécurité des données: ils agrègent les données de plusieurs systèmes et analysent ces données pour détecter les comportements anormaux ou les cyberattaques potentielles. Les outils SIEM offrent un emplacement central pour collecter les événements et les alertes, mais peuvent être coûteux, gourmands en ressources et les clients signalent quil est souvent difficile de résoudre les problèmes liés aux données SIEM.

Quest-ce que SIEM?

La gestion des informations et des événements de sécurité (SIEM) est une solution logicielle qui regroupe et analyse lactivité de nombreuses ressources différentes sur lensemble de votre infrastructure informatique.

SIEM collecte les données de sécurité des périphériques réseau, des serveurs, des contrôleurs de domaine, etc. SIEM stocke, normalise, agrège et applique des analyses à ces données pour découvrir les tendances, détecter les menaces et permettre aux organisations denquêter sur les alertes.

Comment fonctionne SIEM?

SIEM fournit deux capacités principales dune équipe de réponse aux incidents:

• • Rapports et analyses judiciaires sur les incidents de sécurité
  • Alertes basées sur des analyses qui correspondent à un certain ensemble de règles, indiquant un problème de sécurité

À sa noyau, SIEM est un système dagrégation de données, de recherche et de reporting. SIEM rassemble dimmenses quantités de données à partir de lensemble de votre environnement en réseau, consolide et rend ces données accessibles à lhomme. Avec les données classées et classées du bout des doigts, vous pouvez rechercher les failles de sécurité des données avec autant de détails que nécessaire.

Informations sur la sécurité et capacités de gestion des événements

Gartner identifie trois capacités critiques pour le SIEM (détection des menaces, enquête et temps de réponse) – il existe dautres fonctionnalités que vous voyez couramment sur le marché du SIEM, notamment:

• • Surveillance de base de la sécurité
  • Détection avancée des menaces
  • Forensics & réponse aux incidents
  • Collecte de journaux
  • Normalisation
  • Notifications et alertes
  • Détection des incidents de sécurité
  • Workflow de réponse aux menaces

Principaux outils SIEM

Voici quelques-uns des meilleurs acteurs de lespace SIEM:

Splunk

Splunk est une solution SIEM complète sur site que Gartner considère comme un leader dans ce domaine. Splunk prend en charge la surveillance de la sécurité et peut fournir des capacités avancées de détection des menaces.

Varonis sintègre à Splunk via lapplication Varonis DatAlert pour Splunk.

IBM QRadar

QRadar est un autre SIEM populaire que vous pouvez déployer en tant quappliance matérielle, un appareil virtuel, ou appareil logiciel, selon les besoins et la capacité de votre organisation.

QRadar peut sintégrer à Varonis pour ajouter des fonctionnalités de détection avancée des menaces. Recherchez lapplication Varonis pour QRadar

LogRhythm

LogRhythm est un bon SIEM pour les petites organisations. Vous pouvez intégrer LogRhythm à Varonis pour obtenir des capacités de détection et de réponse aux menaces.

SIEM dans lentreprise

Certains clients ont constaté quils devaient maintenir deux solutions SIEM distinctes pour tirer le meilleur parti pour chaque objectif, car le SIEM peut être incroyablement bruyant et gourmand en ressources: ils en préfèrent généralement un pour la sécurité des données et un pour la conformité.

Au-delà du cas dutilisation principal du SIEM, la journalisation et la gestion des journaux, les entreprises utilisent leur SIEM pour dautres fins. Un autre cas dutilisation est daider à démontrer la conformité aux réglementations telles que HIPAA, PCI, SOX et GDPR.

Les outils SIEM regroupent également les données que vous pouvez utiliser pour les projets de gestion de la capacité. Vous pouvez suivre la croissance de la bande passante et des données au fil du temps pour planifier la croissance et la budgétisation. Dans le monde de la planification des capacités, les données sont essentielles et la compréhension de votre utilisation actuelle et des tendances au fil du temps vous permet de gérer la croissance et déviter des dépenses dinvestissement importantes en tant que mesure réactionnaire par rapport à la prévention.

Limitations des applications SIEM en tant quécosystème de sécurité complet des données

Les applications SIEM fournissent des informations contextuelles limitées sur leurs événements natifs, et les SIEM sont connus pour leur angle mort sur les données non structurées et les e-mails.Par exemple, vous pouvez constater une augmentation de lactivité réseau à partir dune adresse IP, mais pas de lutilisateur qui a créé ce trafic ou des fichiers auxquels vous avez accédé.

Dans ce cas, le contexte peut être tout.

Ce qui ressemble à un transfert important de données pourrait être un comportement totalement inoffensif et justifié, ou il pourrait sagir dun vol de pétaoctets de données sensibles et critiques. Un manque de contexte dans les alertes de sécurité conduit à un paradigme du «garçon qui criait au loup»: à terme, votre sécurité sera désensibilisée aux sonnettes dalarme qui se déclenchent chaque fois quun événement est déclenché.

Les applications SIEM sont incapables de classer les données comme sensibles ou non sensibles et ne sont donc pas en mesure de faire la distinction entre lactivité de fichier sanctionnée et lactivité suspecte qui peut endommager les données des clients, la propriété intellectuelle ou la sécurité de lentreprise.

En fin de compte, les applications SIEM ne sont que capable comme les données quils reçoivent. Sans contexte supplémentaire sur ces données, le service informatique se retrouve souvent à la recherche de fausses alarmes ou de problèmes insignifiants. Le contexte est essentiel dans le monde de la sécurité des données pour savoir quelles batailles mener.

Le plus gros problème que nous entendons de la part des clients lorsquils utilisent SIEM est quil est extrêmement difficile de diagnostiquer et de rechercher des événements de sécurité. Le volume de données de bas niveau et le nombre élevé dalertes provoquent un effet «aiguille dans une botte de foin»: les utilisateurs reçoivent une alerte mais manquent souvent de clarté et de contexte pour agir immédiatement sur cette alerte.

Comment Varonis Compléments SIEM

Le contexte que Varonis apporte au SIEM peut faire la différence entre une chasse au snipe ou la prévention dune violation majeure de la sécurité des données.

Et cest là quintervient Varonis. Varonis fournit un contexte supplémentaire aux données collectées par un SIEM: il est plus facile dobtenir plus de valeur dun SIEM en créant un contexte et des informations approfondis et en ajoutant des renseignements sur les menaces dans les enquêtes et les défenses de sécurité.

Varonis capture les données dévénement de fichier à partir de divers magasins de données – sur site et dans le cloud – pour indiquer qui, quoi, quand et où de chaque fichier accédé sur le réseau . Avec la surveillance Varonis Edge, Varonis collectera également lactivité DNS, VPN et proxy Web. Vous serez en mesure de corréler lactivité du réseau avec lactivité du magasin de données pour brosser un tableau complet dune attaque dinfiltration en passant par laccès aux fichiers jusquà lexfiltration.

Varonis classe les fichiers non structurés en fonction de centaines de correspondances de modèles possibles, y compris les informations personnelles, les numéros didentification gouvernementaux, les numéros de carte de crédit, les adresses, etc. Cette classification peut être étendue pour rechercher des propriétés intellectuelles spécifiques à lentreprise, découvrir des informations vulnérables et sensibles et contribuer à la conformité des données réglementées. Varonis lit les fichiers en place sans aucun impact sur les utilisateurs finaux.

Varonis effectue également des analyses du comportement des utilisateurs (UBA) pour fournir des alertes significatives basées sur les modèles de comportement appris des utilisateurs, ainsi quune analyse avancée des données par rapport aux modèles de menaces qui inspectent modèles pour les menaces internes (telles que lexfiltration, les mouvements latéraux, lélévation de compte) et les menaces externes (comme les ransomwares).

Points forts de lintégration

Varonis sintègre aux applications SIEM pour fournir des analyses de sécurité approfondies contexte de données afin que les organisations puissent avoir confiance dans leur stratégie de sécurité des données. Les avantages incluent:

• • Analyses prêtes à lemploi
  • Tableaux de bord et alertes Varonis intégrés pour une enquête simplifiée
  • Pages denquête spécifiques aux alertes
  • Informations critiques mises en évidence en un coup dœil, avec des informations exploitables et un contexte riche
  • Intégration dans votre flux de travail SIEM

Comment enquêter sur une attaque avec SIEM et Varonis

Ces données contextuelles fournies par Varonis donnent aux équipes de sécurité une analyse et des alertes significatives sur linfrastructure, sans surcharge supplémentaire ni bruit de signal au SIEM. Les équipes SOC peuvent enquêter plus rapidement en exploitant SIEM avec Varonis et obtenir un aperçu des actifs les plus critiques dont elles ont besoin pour protéger: les données non structurées et les e-mails. Avec la visibilité supplémentaire fournie par Varonis, vous obtenez un aperçu en un coup dœil de ce qui se passe dans vos magasins de données principaux, à la fois sur site et dans le cloud. Vous pouvez facilement enquêter sur les utilisateurs, les menaces et les appareils – et même automatiser les réponses.

(Cliquez pour zoomer)

Lorsque vous cliquez sur lévénement dalerte Varonis dans votre SIEM, vous êtes dirigé vers le tableau de bord dalertes Varonis pour lalerte que vous étudiez. De là, vous pouvez voir que cette alerte est liée à quatre autres alertes. Chacun dentre eux est gênant, mais comme ils sont tous connectés, cest une image beaucoup plus claire et bien présentée dune cyberattaque.

(Cliquez pour zoomer)

Cette alerte nous indique que ce compte BackupService a téléversé des données sur un site Web de messagerie externe.

(Cliquez pour zoomer)

Cette alerte nous indique que le compte BackupService na jamais accédé à Internet auparavant, ce qui rend le fait que le compte télécharge des données dans un courrier électronique beaucoup plus suspect.

Ce nest que le début de lenquête sur les alertes de cybersécurité avec Varonis et votre SIEM. Varonis peut lancer un script pour désactiver le compte utilisateur et arrêter lattaque dès quelle est détectée – auquel cas, ce pirate na peut-être pas pu accéder aux fichiers de paie du tout!

Avec le contexte dont vous disposez, vous pouvez répondre rapidement – et gérer – les alertes que vous recevez dans votre SIEM.

Les analystes de sécurité passent dinnombrables heures à recevoir des alertes significatives du SIEM: affiner les cas dutilisation, créer des règles et ajouter des sources de données – Varonis donne une longueur davance avec des modèles danalyse prêts à lemploi, des tableaux de bord intuitifs et des alertes intelligentes.

OK, je suis prêt à commencer!

Si vous utilisez déjà un SIEM, il est simple dajouter Varonis et de tirer le meilleur parti de votre investissement SIEM. Si vous cherchez à démarrer votre plan de sécurité des données, commencez par Varonis, puis ajoutez votre SIEM.

Une fois que vous avez Varonis en place, vous pouvez ensuite ajouter votre SIEM pour lagrégation des données et une surveillance et des alertes supplémentaires . Varonis vous offre une plus grande couverture de sécurité des données initiale, et lajout dun SIEM rendra Varonis et votre SIEM mieux en mesure de corréler et de stocker des données pour lanalyse et laudit.

Consultez un webinaire en direct sur les cyberattaques pour voir comment Varonis apporte du contexte à vos données SIEM.