Quelle est la différence entre un SIEM et un SOC?
Quelle est la différence entre un SIEM (Security Information and Event Management) et un SOC (Security Operations Center)?
Travaillent-ils ensemble? Et si indépendant quand l'utiliser?
À un niveau élevé, n'oubliez pas que:
- Un SIEM (Security Information and Event Management) est un type spécifique de technologie, offrant une visibilité du réseau dans un contexte de sécurité (en indiquant une activité suspecte/illégitime à travers des règles de configuration et des informations de corrélation), et permettant aux analystes de sécurité d'agir sur les menaces suspectées.
- Un SOC (Security Operations Center) englobe les personnes, les processus et la technologie impliqués dans la surveillance protectrice d'un réseau, la réponse aux incidents et la recherche/recherche active de menaces connues/inconnues.
Une gestion des informations et des événements de sécurité (SIEM), est un outil qui collecte et normalise les journaux qui sont testés par rapport à un ensemble de règles de corrélation qui, lorsqu'elles sont déclenchées, créent des événements que les analystes humains doivent analyser.
Un centre d'opérations de sécurité (SOC) est une unité centralisée d'analystes de sécurité (et de rôles de travail connexes) qui traitent des problèmes de sécurité, à l'aide d'une multitude d'outils. L’un des principaux outils utilisés par les analystes de la sécurité est un SIEM car c’est le SIEM qui "révélera" les incidents de sécurité à l’analyste humain.
En règle générale, vous n'aurez pas de SOC sans SIEM. Mais vous pouvez trouver des équipes informatiques qui ont un élément de sécurité mature peuvent avoir un SIEM (ou quelque chose de similaire.) Bien qu'il soit souvent le cas (selon mon expérience) que la capacité SIEM sera externalisée à un tiers ou sera intégrée dans un SOC dédié.
Vous pouvez également constater que les SIEMS sont utilisés dans les équipes de réponse aux incidents cybernétiques (CIRT) qui sont similaires aux SOC, mais peuvent avoir des capacités étendues dans d'autres domaines tels que le partage d'informations, le renseignement et le repos plus profond des incidents.
Si le SOC était un magasin, l'analyste de la sécurité serait l'aide au détail travaillant les caisses et le SIEM serait la caisse.
NMS est un outil de gestion de NOC comme la solution SIEM est l'outil de gestion d'un SOC. SIEM fournit une couche de sécurité supplémentaire à un SOC qui aide les organisations à activer des capacités avancées de détection des menaces et de réponse aux incidents.
Alors qu'un SOC comprend toutes les entités qui sont utilisées pour la surveillance de la sécurité dans l'environnement informatique de l'entreprise comme les personnes, les procédures, les logiciels de sécurité, les dispositifs de sécurité comme les pare-feu, IDS/IPS, les serveurs proxy, etc.