Qu'est-ce que le security monitoring ?

Security monitoring : définition

Temps de lecture : 5mn

Le security monitoring se réfère au SIEM, soit à la gestion de l'information et des événements de sécurité. Ces produits et services se préoccupent de la gestion des informations de sécurité (SIM) et de la gestion des évènements de sécurité (SEM).

Ses fonctionnalités sont optimisées pour :

• la collecte et l'analyse des logs provenant du réseau et des dispositifs de sécurité,
• la gestion des identités et des accès,
• l’administration des vulnérabilités et de la conformité,
• le système d'exploitation, la base de données et les journaux d'application,
• les données sur les menaces externes.

Eviter les cyberattaques grâce au security monitoring

Alors que les cyberattaques se multiplient et deviennent de plus en plus sophistiquées, il est impératif de savoir s’en protéger. Malwares, ransomwares, phishing, attaques DDOS ou par Brute Force, spoofing,... la plupart des entreprises y sont confrontées régulièrement. C’est pourquoi elles doivent s’armer de solutions adaptées et performantes en matière de sécurité. Ces services doivent pouvoir offrir une rapidité de temps de réponse optimale afin d’éviter toute menace, externe, mais aussi interne. Cette détection en temps réel existe à l’aide d’un monitoring automatisé et continu. Le SIEM peut alors filtrer les faux positifs et donner des alertes moins nombreuses et plus pertinentes.

Comment fonctionne le security monitoring ?

Le security monitoring collecte tous les flux d’informations de centaines de sources de données, depuis les systèmes hôtes et les applications jusqu'au réseau et aux dispositifs de sécurité tels que les pare-feux et les filtres antivirus. Il exploite ensuite des algorithmes de Machine Learning de manière à normaliser les données, les corréler et détecter les incidents et évènements révélateurs d’une menace. En cas de comportement suspect, par exemple, ou de modification non autorisée, le SIEM donne une alerte en temps réel.

Cette méthode est basée sur l’apprentissage automatique, mais aussi sur la connaissance de la session utilisateur (UEBA) et un contexte de menace à jour. La fonctionnalité UEBA permet d’analyser les comportements et de dresser des profils précis afin d’identifier les utilisateurs qui présentent une menace. Le logiciel CASB permet de suivre le comportement des utilisateurs en dehors du SI et ainsi de détecter le shadow IT, ou des services Cloud utilisés sans autorisation, par exemple. Comme beaucoup d’entreprises stockent leurs données en dehors du réseau d’entreprise, CASB devient essentiel pour se protéger des menaces.

Le security monitoring offre ainsi une détection rapide, une investigation et une correction de la plus large gamme de menaces de sécurité sur les environnements on-premise et les environnements déployés sur une solution Cloud.