La corrélation est le processus de mise en correspondance des événements de différents systèmes (hosts, périphériques réseau, contrôles de sécurité … tout ce qui envoie des logs au SIEM).
Les événements provenant de différentes sources peuvent être combinés et comparés les uns aux autres pour identifier des modèles de comportement invisibles pour les appareils individuels.
Ils peuvent également être comparés aux informations spécifiques à votre entreprise.
La corrélation vous permet d’automatiser la détection des choses qui ne devraient pas se produire sur votre réseau.
Votre réseau génère de vastes quantités de données de log. L’infrastructure d’une entreprise peut générer des centaines de GB de données en texte brut par mois sans se fatiguer.
Vous ne pouvez pas embaucher suffisamment de personnes pour lire chaque ligne de ces journaux à la recherche des menaces. Soyons sérieux, n’essayez même pas. Même si vous réussissiez, vous vous ennuieriez tellement que vous n’auriez jamais rien repéré, même si c’était juste devant vous.
La corrélation vous permet de localiser les endroits intéressants dans vos logs, et c’est là que les analystes commencent à enquêter. Et ils vont trouver des éléments d’information qui mènent à d’autres informations au fur et à mesure que la piste des preuves est accablante.
Être capable de rechercher cette menace qu’ils soupçonnent dans l’ensemble des logs et savoir où elle réside est l’une des autres fonctions clés d’un SIEM.
Finalement, c’est une bonne chose qu’un SIEM soit une énorme base de données de vos logs.
Ainsi, lorsque vous voyez un produit SIEM qui parle du «nombre d’équipements qu’il prend en charge», il indique le nombre d’équipements à partir desquels il peut analyser les logs.
Décomposer les entrées de log en leurs composants, les normaliser, est-ce qui vous permettra de rechercher dans les logs de plusieurs équipements et de corréler les événements entre eux.
Une fois que nous avons normalisé les journaux dans une table de base de données, nous pouvons effectuer des recherches de type base de données.
C’est ce qui nous permet de faire une corrélation automatisée et faire correspondre les champs entre les événements de log, à travers les périodes et entre les types d’équipements.
Comme avec n’importe quelle base de données, la normalisation des événements permet la création de récapitulatifs de rapport des informations contenues dans les logs. Et présenter des dashboards avec des informations telles que :
Quels comptes d’utilisateurs ont accédé au plus grand nombre d’hôtes distincts au cours du dernier mois? Quel sous-réseau génère le plus grand nombre d’échecs de connexion par jour, en moyenne sur 6 mois?
Pour conclure que vous apporte un SIEM moderne :
Les solutions modernes de gestion des informations et des événements de sécurité (SIEM) vont au-delà de la collecte, de l’analyse et de la normalisation automatiques des journaux. Ils appliquent une corrélation et des analyses avancées pour détecter automatiquement les menaces, évaluer leur gravité et filtrer le bruit pour vous alerter des événements critiques. Ils tirent parti de l’automatisation et de l’intelligence intégrées pour vous protéger, tout en libérant du temps pour vous concentrer sur la correction et la restauration.
Nos clients en parlent: ‘…Notre équipe de sécurité voit plusieurs centaines d’événements de sécurité par jour, et cela consomme beaucoup de temps et d’intéractions avec les autres équipes…’
En plus des logs système, un SIEM examine également les différentes données du SI entreprise (des serveurs au endpoint, en incluant les flux réseau), l’utilisation du cloud et le comportement des utilisateurs. En combinant ces différents aspects de l’activité, vous pouvez obtenir une image complète de ce qui se passe dans votre environnement, comprendre ce qui est normal et utiliser cette base de référence pour identifier automatiquement les écarts pouvant signaler une menace.
Nos clients en parlent: ‘…Les informations réseau vous aident à suivre les attaquants là où ils ne peuvent plus se cacher…’
Les utilisateurs compromis ou malveillants présenteront des comportements différents des autres. Le repérage précoce de ces valeurs aberrantes peut vous aider à éviter les dommages. Pour ce faire, vous devez comprendre ce qui est normal pour les utilisateurs de votre entreprise et utiliser cette base de référence pour identifier les anomalies susceptibles de signaler une menace. Les analyses du comportement des utilisateurs, au travers d’outil de Machine Learning, peuvent être utiles pour faire évoluer la détection des anomalies à l’échelle de l’entreprise. Le SIEM vous aide à découvrir les activités anormales des utilisateurs et vous concentrer sur les utilisateurs à haut risque capables de vous occasionner le plus de dommages.
Nos clients en parlent: ‘…60% des détections d’attaques ont été effectuées par des employés – souvent par inadvertance ou de façon plus rare de manière malveillante…’
Couplé à vos solutions de sécurité, le SIEM vous offre une cartographie, une évaluation de votre sécurité et de l’état de santé du réseau de votre entreprise. Il devrait vous permettre de définir vos actifs, segments de réseau et services cloud les plus sensibles et tirer parti d’analyses robustes qui personnalisent les alertes en fonction des risques dans votre environnement unique. Une solution SIEM permet d’automatiser les processus de détection, de hiérarchisation et d’investigation des menaces.
Nos clients en parlent: ‘…Avant nous avions besoin en moyenne de 191 jours pour détecter une violation. Encore 66 pour la contenir…’
L’écosytème de SIEM devrait offrir des intégrations validées et ‘out-of-the-box’ avec des systèmes d’intervention afin d’accélérer davantage les processus de confinement, d’assainissement et de récupération. Et également avec des solutions complémentaires, telles que les flux de renseignements sur les menaces, les scanners de vulnérabilité, les outils d’orchestration des interventions d’incident et les systèmes de gestion de cas, entre autres choses. Un écosystème intégré aux applications tierces peut vous aider à rester à jour et à réagir rapidement aux nouvelles menaces. Plus il y a d’intégrations ‘out-of-the-box’, moins il faut d’heures-personnes pour booster la valeur de votre SIEM.
Nos clients en parlent:‘..En moyenne notre entreprise utilise des dizaines de produits de sécurité pour sécuriser nos données, nos applications, nos utilisateurs… tout ce qui est notre patrimoine entreprise,…Et tous ces produits de sécurité ont besoin de travailler ensemble…’
