SEIM

SEIM

Security Information Management System

Le principe du Security Information Management (SIM) est de gérer les évènements du Système d'Information (SI).

Appelés également SEM (Security Event Management) ou SEIM (Security Event Information Management) ou encore SIEM (Security Information and Event Management), ils permettent de gérer et corréler les logs. On parle de corrélation car ces solutions sont munies de moteurs de corrélation qui permettent de relier plusieurs évènements à une même cause.

Face au nombre d'évènements générés par les composants d'un système d'information, il est difficile de les traiter à la volée.

Les SIM permettent :

  1. la collecte
  2. l'agrégation
  3. la normalisation
  4. la corrélation
  5. le reporting
  6. l'archivage
  7. le rejeu des évènements

Sommaire

Collecte

Les logiciels de SIEM prennent en entrée les événements collectées du SI : les journaux système des équipements (firewalls, routeurs, serveurs, bases de données, etc.). Ils permettent de prendre en compte différents formats (syslog, Traps SNMP, fichiers plats, OPSEC, formats propriétaires, etc.).

La collecte peut être de façon passive en mode écoute ou active en mettant en place des agents directement sur les équipements ou à distance. Les solutions permettent également de développer des collecteurs pour prendre en compte des nouveaux formats de journaux systèmes (API, expression régulière, etc.).

Normalisation

Les logs bruts sont stockés sans modification pour garder leur valeur juridique. On parle de valeur probante. Les logs sont généralement copiés puis normalisés sous un format plus lisible. En effet, la normalisation permet de faire des recherches mutli-critères, sur un champ ou sur une date. Ce sont ces évènements qui seront enrichis avec d'autres données puis envoyés vers le moteur de corrélation.

Aggrégation

Plusieurs règles de filtrage peuvent être appliquées. Ils sont ensuite agrégés selon les solutions, puis envoyés vers le moteur de corrélation.

Corrélation

Les règles de corrélation permettent d'identifier un évènement qui a causé la génération de plusieurs autres (un hacker qui s'est introduit sur le réseau, puis a manipulé tel équipement....). Elles permettent aussi de remonter une alerte via un trap, un mail, sms ou ouvrir un ticket si la solution SIEM est interfacée avec un outil de gestion de tickets.

Reporting

Les SIEM permettent également de créer et générer des taleaux de bord et des rapports. Ainsi, les différents acteurs du SI, RSSI, administrateurs, utilisateurs peuvent avoir une visibilité sur le SI (Nombre d'attaques, nombre d'alertes/jour...).

Archivage

Les solutions SIEM sont utilsés également pour des raisons juridiques et réglemenatires. Un archivage à valeur probante permet de garantir l'intégrité des traces. Les solutions peuvent utiliser des disques en RAID, calculer l'empreinte, utiliser du chiffrement ou autre pour garantir l'intégrité des traces.

Rejeu des évènements

La majorité des solutions permettent également de rejouer les anciens évènements pour mener des investigations post-incident. Il est également possible de modifier une règle et de rejouer les évènements pour voir son comportement.

Entreprises leaders du marché des SIM/SEM[1]

Notes et références

  1. Gartner Magic Quadrant May 2008
  • Portail de l’informatique Portail de l’informatique
Ce document provient de « Security Information Management System ».

Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article SEIM de Wikipédia en français (auteurs)

Игры ⚽ Нужна курсовая?

Regardez d'autres dictionnaires:

  • Seim — 〈m. 1〉 dicke, zähe Flüssigkeit, Sirup (HonigSeim) [<mhd. seim <ahd. seim „Band, Schnur, Faden; Nektar“; zu idg. *sei „tröpfeln“] * * * Seim, der; [e]s, e [mhd. (honec)seim, ahd. (honang)seim, H. u.] (geh., veraltet): klebrige, zähe… …   Universal-Lexikon

  • seim — SEÍM, seimuri, s.n. Denumire dată, în diferite perioade, Parlamentului Poloniei sau Camerei Inferioare a acestuia. – Din pol. sejm. Trimis de LauraGellner, 21.07.2004. Sursa: DEX 98  seím s. n., pl. seímuri Trimis de siveco, 10.08.2004. Sursa:… …   Dicționar Român

  • Seim — bezeichnet ein altes deutsches Wort für dicken Saft, wie beispielsweise Honigseim einen Nebenfluss der Desna in Russland (russisch Сейм), siehe Seim (Fluss) ist der Name folgender Personen: Roland Seim (* 1965), deutscher… …   Deutsch Wikipedia

  • Seim — may refer to the following locations:*Seim in Lindås municipality, Hordaland, Norway *Seim in Årdal municipality, Sogn og Fjordane, Norway *Seym River in Ukraineee also*Sem *Sejm …   Wikipedia

  • Seïm — La rivière Sejm à Bupel. Caractéristiques Longueur 748 km Bassin 27 500 km2 Bassin collecteur …   Wikipédia en Français

  • Seim — Sm klebrige Flüssigkeit per. Wortschatz arch. (11. Jh.), mhd. seim, ahd. seim, as. sēm Stammwort. Aus g. * saima m. klebrige Flüssigkeit (besonders Honig) , auch in anord. seimr. Zu der Gruppe seihen, ahd. sīgan, sickern usw. (vgl. etwa mhd.… …   Etymologisches Wörterbuch der deutschen sprache

  • Seim [1] — Seim, 1) so v.w. Schleim, bes. Gersten u. Graupenseim; 2) so v.w. Honigseim …   Pierer's Universal-Lexikon

  • Seim [2] — Seim (Sem), Fluß im russischen Gouvernement Kursk, hat drei Quellen, welche in drei verschiedenen Kreisen dieses Gouvernements liegen u. die sich sämmtlich im Kreise Tim vereinigen, wonach der Gesammtfluß den Namen Groß S. erhält; fließt bei den… …   Pierer's Universal-Lexikon

  • Seim [3] — Seim (Sejm, Sojm), der Reichstag in Polen, wurde bereits unter Wladislaw I. Lokjelek (s.d.) im Jahr 1331 dem polnischen Adel bewilligt, in seiner eigentlichen Machtvollkommenheit aber erst durch Kasimir III. zu Wislica im Jahr 1347 eingeführt,… …   Pierer's Universal-Lexikon

  • Seim [1] — Seim, dicklicher (süßer) Saft, fließender Honig; daher seimig; auch soviel wie Kraut (s. d.) …   Meyers Großes Konversations-Lexikon

  • Seim [2] — Seim (Sseim, Ssem), linker Nebenfluß der Desna in Rußland, bildet sich aus zwei Quellflüssen im Gouv. Kursk, wird bei Kursk flößbar, fließt westlich mit vielen Windungen in das Gouv. Tschernigow und mündet nach 661 km langem Laufe der Stadt… …   Meyers Großes Konversations-Lexikon

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”