Chapitre I : Etat de l'art

3.3 Comment fonctionne un SOC

L'infrastructure typique de SOC comprend des pare-feu, des IPS/IDS, des solutions de détection des brèches, des sondes et un système de gestion de l'information et des événements de sécurité (SIEM). La technologie devrait être en place pour recueillir les données par le biais des flux de données, de la métrique, de la capture de paquets, du syslog et d'autres méthodes afin que l'activité des données puisse être corrélée et analysée par les équipes SOC. Le centre des opérations de sécurité surveille également les réseaux et les points d'extrémité pour détecter les vulnérabilités afin de protéger les données sensibles et se conformer aux règlements de l'industrie ou du gouvernement.

10

11

Chapitre I : Etat de l'art

4 Security Information and Event management (SIEM)

SIEM = SIM (Security Information Management) + SEM (Security Event Management), est une approche du management de la sécurité, une technologie spécifique qui permet d'analyser les menaces il consiste à examiner depuis un guichet unique les données relatives à la sécurité de l'entreprise qui sont générées en de nombreux points.

Il combine les fonctions du SIM (Security Information Management) et le SEM (Security Event Management) en un seul système de management de sécurité. Et l'acronyme SIEM se prononce « sim » avec un e silencieux.

? SIM (Security Information Management) : Il s'agit d'un type de logiciel qui automatise la collecte des logs à partir de dispositifs de sécurité (pare-feu, des serveurs proxy, IDS, équipements réseaux, logiciels antivirus). Le SIM traduit les données enregistrées dans des formats corrélés et simplifiés.

? SEM (Security Event Management) : Il s'agit des processus permettant l'identification, la surveillance et l'évaluation des événements liés à la sécurité. Le SEM aide les administrateurs système à analyser, ajuster et gérer l'architecture, les politiques et les procédures de sécurité de l'information.

4.1 Fonctionnement

Les principes sous-jacents de chaque système SIEM est d'agréger des data pertinentes, de plusieurs sources différentes. Et d'identifier les écarts possibles par rapport à la moyenne, afin de prendre les actions appropriées. Par exemple, lorsqu'un problème potentiel est détecté, le SIEM peut enregistrer des informations supplémentaires. Puis générer une alerte, et ordonner à d'autres contrôles de sécurité d'arrêter la progression de leur activité.

À son niveau le plus basique, un système SIEM peut être basé sur des règles. Ou utiliser un moteur de corrélation statistique pour établir des relations entre les entrées du journal de log. Les fonctions principales du SIEM sont :

? Normalisation : Les traces brutes sont stockées sans modification pour garder leur valeur juridique. On parle de valeur probante. La normalisation permet de faire des recherches multicritères, sur un champ ou sur une date.

? Agrégation : Plusieurs règles de filtrage peuvent être appliquées. Ils sont ensuite agrégés selon les solutions, puis envoyés vers le moteur de corrélation.

12