Les systèmes de cybersécurité impliquent de nombreuses technologies et peuvent être construits avec diverses options, mais les grandes entreprises devraient mettre en œuvre une solution de gestion des informations et des événements de sécurité (SIEM) pour augmenter la sécurité globale du système.

Un SIEM est une solution logicielle conçue pour documenter l'activité du réseau, stocker les journaux de sécurité et découvrir les événements de sécurité. La technologie est un composant central de nombreux systèmes d'opérations de cybersécurité et incroyablement utile pour stocker les informations du réseau et gérer les incidents de sécurité.

Étant donné que les systèmes de cybersécurité sont très complexes, surtout pour les entreprises, les outils peuvent être difficiles à définir, à mettre en œuvre et finalement à déployer. Ce guide étape par étape aidera les équipes envisageant un nouveau SIEM à documenter correctement la mise en œuvre.

La mise en œuvre de chaque entreprise sera différente, mais ces étapes sont cruciales pour une performance efficace après le déploiement. Les quatre domaines clés suivants sont une partie importante de la planification d'une mise en œuvre et d'un processus de transition entièrement intégrés.

Meilleures pratiques pour la mise en œuvre d'un SIEM

1. Définir le projet et les exigences

La première étape pour lancer un processus de mise en œuvre d'un SIEM est de planifier le calendrier du projet. Cela implique de définir la portée du projet ainsi que ses ressources informationnelles, budgétaires et physiques nécessaires. Ici, les entreprises devraient définir leurs objectifs et identifier toutes les ressources nécessaires.

La plupart des entreprises ont des objectifs similaires, tous liés à la construction d'un système de gestion de la sécurité du réseau centralisé au point d'un nouveau SIEM. Les entreprises doivent établir des règles de base, identifier les exigences de conformité et de politique nécessaires, et structurer leur plan de gestion du SIEM après la mise en œuvre.

Les produits SIEM nécessitent des connexions à pratiquement toute votre infrastructure réseau et vos actifs logiciels pour une performance optimale, donc définir les sources de journaux est un bon point de départ. Les journaux proviennent de différents emplacements à travers le réseau de votre entreprise.

Voici quelques composants de base que la plupart des entreprises incluent lors de la définition de leurs exigences SIEM et des sources de journaux :

2. Rechercher des produits

La recherche de produits est une étape que chaque entreprise aborde de manière unique. Il y a trois principales ressources informationnelles à considérer avant de prendre une décision finale sur un SIEM pour votre entreprise.

Analyse des fournisseurs — L'analyse des fournisseurs est généralement effectuée de deux ou trois manières. La première consiste à utiliser les informations des fournisseurs eux-mêmes. Un certain nombre de ressources en ligne, ainsi que les moteurs de recherche eux-mêmes, peuvent aider à identifier rapidement les principaux fournisseurs de SIEM. Les entreprises peuvent ensuite contacter le fournisseur pour obtenir plus d'informations en fonction de leur situation spécifique.

Les entreprises d'analyse de logiciels et les tests empiriques peuvent également être utilisés comme ressources pour l'évaluation. Les fournisseurs de services de recherche et de test produisent des informations sur les marchés et les outils. Soyez juste prudent, car certains de ces fournisseurs peuvent manquer de transparence dans leurs critères d'évaluation et de notation.

Avis sur les produits — Les sites d'avis comme G2 sont d'excellents endroits pour lire des comptes rendus de première main sur les outils SIEM utilisés dans le monde réel. Les entreprises peuvent facilement visiter la catégorie SIEM de G2 et voir les produits classés par popularité et satisfaction. Nous fournissons également des évaluations pour les fonctionnalités individuelles et des informations liées au rôle de l'utilisateur, à la taille de l'entreprise et à l'industrie.

Évaluation des cas d'utilisation — L'évaluation du cas d'utilisation en ce qui concerne votre entreprise nécessitera probablement une communication avec les fournisseurs sur votre liste restreinte de produits potentiels. Beaucoup d'entre eux fourniront des scénarios spécifiques à l'industrie, des études de cas et des démonstrations de produits à votre demande.

Les équipes remplissant les trois exigences repartiront avec une liste de produits potentiels. Cette liste facilitera le choix d'une solution en fonction de la manière dont chaque outil remplirait ou non les exigences qu'elles ont déjà définies et les ressources dont elles disposent.

3. Planification de la mise en œuvre

Une fois qu'un produit a été sélectionné, il faut définir un certain nombre de procédures de mise en œuvre pour assurer une transition fluide et efficace. Voici quelques composants à inclure dans votre plan.

Conception de l'architecture — Diagrammez toutes les sources de données liées aux sources de journaux et aux entrées de données. Déployez des collecteurs d'informations pour vous assurer que toutes les sources de journaux sont connectées. En plus de l'agrégation de données de tous vos appareils connectés, les systèmes SIEM intègrent à la fois des données de menaces et de vulnérabilités internes et tierces. Les systèmes de stockage et d'alerte garantissent également une fonctionnalité appropriée après le déploiement.

Créer des règles — Assurez-vous que vos moteurs de corrélation fonctionnent avec des politiques de base et déterminez les règles et politiques plus personnalisées à mettre en œuvre à long terme. Ces règles sont destinées à optimiser la documentation et l'alerte sans nuire aux performances du réseau. Elles doivent également être personnalisées pour répondre à toutes les exigences de conformité nécessaires précédemment définies.

Définir le processus — Avant le déploiement, mettez en place un plan de transfert pour transférer le contrôle de l'équipe de mise en œuvre à l'équipe des opérations de sécurité ou de gestion informatique. Ajustez en fonction des capacités de personnel de votre entreprise pour vous assurer que les équipes peuvent gérer efficacement le SIEM à l'avenir.

Tous les autres processus de gestion à long terme doivent également être définis. Les entreprises doivent former le personnel à la gestion générale du SIEM ainsi qu'aux processus de journalisation et aux plans de gestion des données de leur équipe. Vous devrez peut-être ajuster pour éviter le sous-effectif, les taux de journalisation ingérables et les problèmes de capacité de stockage.

4. Déploiement et révision

À mesure que le déploiement devient une réalité, quelques actions immédiates doivent avoir lieu. Voici sur quoi se concentrer une fois qu'un nouveau SIEM est opérationnalisé.

Collecte — Examinez les systèmes SIEM récemment mis en œuvre pour vous assurer que les données sont collectées et cryptées correctement. Selon votre solution, les systèmes basés sur des agents doivent être examinés et surveillés pendant le déploiement préliminaire pour s'assurer qu'ils collectent correctement les données. Ceux qui mettent en œuvre des solutions sans agent doivent simplement s'assurer que tous les points de surveillance communiquent correctement avec le SIEM.

Stockage — Une fois que les informations sont correctement collectées, les équipes doivent s'assurer que toutes les activités, journaux et événements sont stockés correctement. Les entreprises utilisant des systèmes de stockage externes doivent s'assurer que les transferts et les intégrations sont sécurisés et fonctionnels, que les bases de données sont correctement formatées et que les informations sont interrogeables une fois stockées.

Test — Testez le système pour visualiser les appareils connectés et les afficher à ceux prévus. Les utilisateurs peuvent tester une nouvelle solution SIEM en simulant des événements. La modélisation des menaces et les tests simulés doivent être effectués. Ceux-ci imitent les menaces de sécurité du monde réel pour vérifier que toutes les opérations sont fonctionnelles. Les équipes doivent également comparer les données sur les événements corrélés et graves à leurs chiffres pré-implémentation.

Une fois les processus de test et de révision terminés, les équipes de mise en œuvre doivent passer la main aux équipes de sécurité pour une gestion à plein temps.

Conseils post-implémentation pour la gestion du SIEM

Les solutions SIEM nécessitent une mise à jour et une surveillance continues. Les équipes doivent continuer à tester leurs solutions contre les dernières sortes d'attaques. Toute activité visant à tester et à réduire les faux positifs est également judicieuse.

Les équipes doivent garder leur SIEM connecté aux sources de données sur les menaces, telles que les flux de renseignement sur les menaces et les honeypots, pour s'assurer qu'elles sont prêtes à identifier toutes sortes de menaces émergentes, même celles qui n'étaient pas présentes lors de la mise en œuvre.

Les ajustements et les mises à jour sont inévitables, et les politiques évolueront probablement. Le processus de gestion est tout aussi compliqué que le processus de mise en œuvre. Si vous suivez ces étapes et surveillez continuellement les performances du SIEM, votre réseau, votre infrastructure informatique et votre entreprise dans son ensemble s'en porteront mieux.