Contactez-nous
Sécurité des réseaux Security automation

SIEM : les trois types de solution SIEM (Security Information and Event Management)

2 min. lecture
Splunk
LogPoint

Share

Dans la catégorie des SIEM (Security Information and Event Management), on peut distinguer grossièrement trois types de solutions :

- Les produits « vierges » de toute configuration à l’origine et pour lesquels tout doit être mis en place. C’est le cas de Splunk par exemple qui mise sur l’adaptabilité et la flexibilité pour garantir une solution efficace quelle que soit le besoin ;

- Les solutions misant sur des bases existantes et évolutives pour assurer corrélation, alerting, reporting et proposer des parseurs adaptés à la majorité des équipements du marché ;

- Les solutions prêtes à l’emploi, simples d’utilisation et permettant de répondre de manière spontanée à un besoin précis. Celles-ci, si elles peuvent donner satisfaction à l’instant t, pêchent généralement en termes d’évolutivité et de fonctionnalités.

QRadar, qui appartient désormais à IBM, s’intègre dans la seconde catégorie.

Il collecte, stocke et analyse les données (Logs et Flows) et fournit la corrélation des événements en temps réel pour une utilisation dans :

  • la détection des menaces,
  • la création de rapports de conformité,
  • la création de rapports d’audit.

Des milliards d'événements et de flux quotidiens peuvent être réduits en quelques dizaines "d’offenses" (Alertes). Cette gestion des offenses permet d’avoir une meilleure visibilité des problèmes de sécurité du SI.

QRadar offre de nombreuses possibilités de recherche et de rapports d'événements.

Les recherches et classements se font de manière simple et intuitive. Il est possible de sauvegarder les recherches les plus intéressantes pour les réutiliser dans des rapports, des "dashboard", ou tout simplement au sein d’une nouvelle recherche.

En plus des logs, les processeurs de flux peuvent recevoir et traiter des Flow tel que NetFlow, JFlow et Packeteer FDR. Pour donner encore plus de visibilité au niveau du réseau, Q1labs a développé ses propres collecteurs de flow nommé "QFlow". Les collecteurs QFlow se positionnent sur un port de type "span" pour collecter et analyser le contenu des paquets jusqu’au niveau 7.

Les données recueilles par les collecteurs QFlow sont spécifiquement utilisées pour la corrélation des informations liées :

  • au comportement du réseau,
  • à la détection contextuelle,
  • à la détection d’anomalie d’utilisation des applications,
  • au profilage des utilisateurs
  • à la détection de menaces zero-day.

Toutes ces informations visent à enrichir la connaissance du SI par Qradar et permettent d’identifier les menaces et les risques afin d’alerter les personnes en charge de l’infrastructure.

Pour une petite démo, vous pouvez nous contacter dès maintenant !

Inscrivez-vous à notre newsletter

Recevez dans votre boîte aux lettres électronique les dernières nouvelles sur la sécurité, des informations et les tendances du marché.

À la une

Plus de nouveautés

Placeholder for JO2024 ParisJO2024 Paris
Palo Alto Networks

Faites de votre télétravail une médaille d'or en sécurité avec Palo Alto Networks et Nomios durant les JO

Assurez votre télétravail pendant les JO avec Palo Alto Networks et Nomios

Romain Quinat
Placeholder for Romain QuinatRomain Quinat

Romain Quinat

2 min. lecture
Placeholder for Business man walking streetsBusiness man walking streets
Palo Alto Networks

Urgent : Expiration de certificats Palo Alto Networks le 7 avril

Les certificats racine et par défaut Palo Alto PAN-OS expirent le 7 Avril

2 min. lecture
Placeholder for Design sans titre 1Design sans titre 1
Zscaler

Comment faire du SASE en Chine avec Zscaler ?

Zscaler China Premium Access fournit un accès privilégié aux sites web internationaux, aux applications SaaS et à l'internet domestique en Chine sans investissements matériels coûteux ni difficultés de configuration.

6 min. lecture
Tous les articles