A QUOI SERT
Un SOC?
Le SOC (Security Operations center), désigne dans une entreprise l’équipe en charge d’assurer la sécurité de l’information qui réunit les personnes, les processus et les technologies dans un contexte de sécurité informatique au travers d’outils de collecte, de corrélation d’événements et d’intervention à distance. L’objectif du soc est de :
- Détecter les incidents (Incident detection services)
- Intervenir en cas d’incident (Incident Response services)
- Analyste forensique (Forensic analysis)
- Récupération en cas d’incident (Incident recovery services)
- Exécution du plan de reprise (Recovery plan execution)
Un SIEM?
Le SIEM (Security Information and Event Management) est une technologie spécifique qui permet d’analyser les menaces. Il combine la gestion des informations de sécurité (SIM) et la gestion des événements de sécurité (SEM). Les objectifs principaux du SIEM sont : de collecté, d’analyser et de présenter les informations provenant du réseau et des dispositifs de sécurité.
LE SIEM AU SERVICE DU SOC
Comme vous l’auriez compris les logiciels de SIEM prennent en entrée les événements collectés du SI, les journaux système des équipements (pares-feux, routeurs, serveurs, bases de données…) et c’est au SOC de traiter les informations. On peut donc en déduire que meilleure sera la configuration du SIEM, plus il sera facile pour le SOC d’identifier les menaces et de les prévenir, de raccourcir les délais d’intervention et donc de réduire les risques et l’indisponibilité des composantes du système d’information.