Nouvelles Du Monde

Pourquoi « juste SIEM » ne suffit-il pas ?

Le SIEM est associé à une connotation d’héritage qui a conduit les fournisseurs à se présenter comme une sorte d’itération d’une solution de nouvelle génération. Mais est-ce nécessaire ? J’ai du mal à trouver des solutions qui pourraient être classées comme « SIEM héritées », c’est-à-dire des SIEM sans aucune sorte de capacités ou de modules d’automatisation, de réponse ou de détection d’anomalies.

Il est logique que le SIEM héberge toutes ces fonctionnalités. Ce qui n’a pas de sens, c’est cette tentative non synchronisée de différencier les solutions d’aujourd’hui de celles de 2015.

Jetons un rapide coup d’œil à ce que l’on appelle aujourd’hui les solutions SIEM :

  • Fusion SIEM
  • SIEM de nouvelle génération
  • SIEM évolué
  • SIEM de défense unifiée
  • SIEM SaaS natif du cloud
  • « Pas un SIEM » SIEM (alias, plateforme d’opérations de sécurité unifiée)

Alors, est-ce un problème ? Les différentes appellations de produits ne sont pas une nouveauté, mais dans ce cas, elles créent beaucoup de confusion sur le marché. Tout d’abord, ces noms ne signifient rien en soi. Bien sûr, certains donnent des indications, comme « plateforme SIEM SaaS native du cloud », mais d’une manière générale, il n’y a pas de différence objective entre un SIEM de nouvelle génération et un SIEM évolué.

Lire aussi  Les réunions du conseil municipal de Flint sont désormais disponibles sur Youtube

Deuxièmement, il existe de nombreuses combinaisons de modules qui diffèrent d’un fournisseur à l’autre. L’un peut proposer SIEM + SOAR + UEBA, tandis qu’un autre peut proposer SIEM + ASM + XDR. Bien qu’il soit formidable de disposer de produits de sécurité plus complets, vous n’aurez peut-être pas besoin ou envie de modules supplémentaires.

Les solutions SIEM « Pas un SIEM » ajoutent une couche supplémentaire de confusion, car ces produits font tout ce qu’une solution SIEM fait, mais ils n’apparaîtront pas lorsque vous recherchez sur Google « meilleure solution SIEM 2024 ». Un autre défi consiste à prouver aux régulateurs à des fins de conformité que même si ce que vous utilisez pour le SIEM s’appelle une plateforme SOC, il s’agit d’une solution SIEM.

Alors oui, je pense qu’ajouter des adjectifs avant le mot « SIEM » est un exercice futile qui crée plus de confusion au lieu de différencier un produit. Mais il y a plus.

Lire aussi  9 Conseils pour prendre des photos épiques uniquement avec un appareil photo de téléphone portable, faites attention à la composition de l'objet photo

SIEM et opérations de sécurité

Lors de l’évaluation des solutions, il est important de décider si vous avez besoin d’un « SIEM uniquement » ou d’un outil unifié pour automatiser votre centre d’opérations de sécurité. Je pense que nous devrions conserver le terme SIEM comme un terme autonome qui se concentre principalement sur ce qui est indiqué sur la boîte : la gestion des informations et des événements.

Le SIEM lui-même peut faire partie d’une plateforme d’opérations de sécurité plus vaste aux côtés de technologies telles que XDR, SOAR, UEBA et ASM. Cependant, pour les mêmes raisons que celles évoquées ci-dessus, nous ne devrions pas continuer à appeler ces solutions convergées « SIEM ».

C’est pour cette raison que j’ai adapté les rapports d’opérations de sécurité sur lesquels je travaille, à savoir le radar SIEM et le radar SOC autonome. Le SIEM se concentre sur l’évaluation des capacités des outils en matière de gestion de l’information. Nous incluons toujours des aspects supplémentaires tels que l’automatisation et l’analyse, mais ils restent axés sur le champ d’application principal plutôt que de s’étendre aux capacités complètes de l’UEBA ou du SOAR.

Lire aussi  SB Italia renforce la BU Process and Document Automation & BPO avec Luca Giannetti

Le SOC autonome, en revanche, est désormais une approche plus autonome par rapport à son précédent périmètre SIEM + SOAR. Il évalue les capacités requises par un centre d’opérations de sécurité pour gérer et automatiser ses activités quotidiennes. L’accent est moins mis sur la conformité et davantage sur la réponse, l’orchestration et la surveillance des utilisateurs.

Prochaines étapes

Pour en savoir plus, consultez les rapports SIEM Key Criteria et Radar de GigaOm. Ces rapports fournissent un aperçu complet du marché, décrivent les critères que vous devez prendre en compte dans une décision d’achat et évaluent les performances d’un certain nombre de fournisseurs par rapport à ces critères de décision.

  • Critères clés de GigaOm pour l’évaluation des solutions SIEM
  • Radar GigaOm pour SIEM

Si vous n’êtes pas encore abonné à GigaOm, vous pouvez accéder à la recherche en utilisant un essai gratuit.

L’article Pourquoi « juste SIEM » ne suffit-il pas ? est apparu en premier sur Gigaom.

2024-08-02 23:21:34
1722635241


#Pourquoi #juste #SIEM #suffitil #pas

Facebook
Twitter
LinkedIn
Pinterest

Leave a Comment

Save my name, email, and website in this browser for the next time I comment.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

RECENT POSTS
ADVERTISEMENT
Tags
Afrique Allemagne Asie Bundesliga Chine Crime Culture dernières nouvelles Des sports Divertissement Divertissement entreprise Football France funny fyp Guerre International Israël journal quotidien la criminalité MLB monde musique Médias NFL NOUS nouvelles politique Pomme Russie Santé santé Science Sciences et technologies Société sport Sports technologie texte pour parler Ukraine vidéo Économie États Unis économie