Défensif

SIEM (Security Information and Event Management)

Définition

le SIEM centralise, normalise et corrèle les journaux de l'ensemble du système d'information - pare-feu, serveurs, applications, annuaire, cloud. Il applique des règles de corrélation et, sur les générations récentes, de l'analyse comportementale (UEBA) pour transformer des millions d'événements en un nombre exploitable d'alertes qualifiées. Il assure aussi la conservation des logs à des fins d'investigation et de conformité.

Pourquoi c'est important

sans centralisation, une investigation revient à interroger des dizaines de systèmes un par un, souvent après que les journaux ont été purgés. Le SIEM donne une vue unifiée et une mémoire. Son talon d'Achille est le coût : la facturation au volume ingéré (EPS ou Go/jour) explose vite, et un SIEM sans cas d'usage écrits ni règles maintenues devient un puits sans fond. La qualité tient aux scénarios de détection, pas au nombre de sources branchées.

Comment AOCSI l'adresse

nous concevons et exploitons la supervision SIEM au sein de notre SOC, avec des cas d'usage priorisés par le risque réel et une maîtrise du coût d'ingestion. Nous écrivons les règles, les testons et les faisons vivre au fil des menaces.

De la définition à la protection.

Nos experts transforment ces concepts en sécurité concrète pour votre organisation.