Êtes-vous un étudiant de l'EPFL à la recherche d'un projet de semestre?
Travaillez avec nous sur des projets en science des données et en visualisation, et déployez votre projet sous forme d'application sur Graph Search.
Concept
Security information and event management
Résumé
Le Security Information and Event Management (SIEM, « systèmes de gestion des événements et des informations de sécurité »), est un domaine de la sécurité informatique, au sein duquel les produits et services logiciels combinent la gestion des informations de sécurité (SIM) et la gestion des événements de sécurité (SEM). Ils fournissent ainsi une analyse en temps réel des alertes de sécurité générées par les applications et le matériel réseau.
Les SIEM sont vendus sous forme logicielle, matérielle ou sous forme de services gérés. Ces produits sont également utilisés pour enregistrer les données de sécurité et générer des rapports à des fins de conformité.
Le terme et le sigle SIEM est inventé par Mark Nicolett et Amrit Williams de Gartner en 2005.
Le SIEM permet : la collecte des données, leur normalisation, leur agrégation, la recherche de corrélation, le reporting, l'archivage, le rejeu des événements.
Les logiciels de SIEM prennent en entrée les événements collectés du SI, les journaux système des équipements : pare-feux, routeurs, serveurs, bases de données... Ils permettent de prendre en compte différents formats (syslog, Traps SNMP, fichiers plats, OPSEC, formats propriétaires) ou nativement le format IDMEF (Intrusion Detection Message Exchange Format), spécialement conçu et validé par l'IETF sous forme de RFC pour partager l'information qui intéresse un système de détection et de protection contre les intrusions.
La collecte peut se faire de façon passive, en écoutant simplement les échanges sur le(s) réseau(x), ou de façon active, en mettant en place des agents directement sur les équipements ou à distance. Les solutions permettent également de développer des collecteurs pour prendre en compte des nouveaux formats de journaux systèmes : API, expression rationnelle...
Les traces brutes sont stockées sans modification pour garder leur valeur juridique. On parle de valeur probante.
Ces traces sont généralement copiées puis normalisées sous un format plus lisible.
À propos de ce résultat
Cette page est générée automatiquement et peut contenir des informations qui ne sont pas correctes, complètes, à jour ou pertinentes par rapport à votre recherche. Il en va de même pour toutes les autres pages de ce site. Veillez à vérifier les informations auprès des sources officielles de l'EPFL.