02 - Capacités fonctionnelles d’un SIEM moderne
Info
Basé sur les approches de ManageEngine et SANS NextGen SIEM
🔧 Les 6 grandes capacités attendues
- Collecte, traitement et archivage des logs
- Recherche et reporting avancés
- Surveillance de sécurité en temps réel
- Gestion des incidents et workflows automatisés
- Threat Intelligence intégrée
- UEBA (User and Entity Behavior Analytics)
1. Collecte, traitement et archivage
- Ingestion multisources (firewalls, proxies, endpoints, cloud, SaaS…)
- Normalisation des logs (formats hétérogènes)
- Archivage sécurisé pour analyse forensic et conformité
2. Recherche et reporting
- Analyse forensique rapide (réduction du dwell time)
- Rapports d’audit (PCI-DSS, RGPD, ISO 27001…)
- Dashboards interactifs
3. Surveillance en temps réel
- Détection instantanée d’IoC (fichiers modifiés, connexions suspectes…)
- Profils d’alertes personnalisables
- Corrélation d’événements (enchaînements anormaux)
4. Gestion des incidents automatisée
- Détection → triage → assignation → remédiation
- Workflows et tickets automatisés (ex : rollback, désactivation compte)
- Suivi de l’état de résolution
5. Threat Intelligence
- Intégration de flux (OTX, STIX/TAXII…)
- Enrichissement des événements (IP malveillantes, malwares connus…)
- Blocage automatique, alertes en contexte
6. UEBA (analyse comportementale)
- Apprentissage du comportement habituel d’un utilisateur ou d’un système
- Identification des écarts (logon inhabituel, accès anormal…)
- Attribution de score de risque
Tip
Ces capacités sont à évaluer fonction par fonction lors du choix d’un SIEM (cf. chapitre 05)