Détection des incidents de sécurité avec un SIEM

Home | Détection des incidents de sécurité avec un SIEM

SERVICES DE CYBERSECURITE – GESTION DE L’INFORMATION ET DES EVENEMENTS DE SECURITE (SIEM)

Notre service managé de gestion de l’information et des évènements de sécurité (siem) collecte, agrège, normalise et corrèle tous les enregistrements des différents hôtes de votre système d’information.

Notre solution est capable de détecter des incidents de sécurité qui seraient passés inaperçus grâce à ses fonctions d’analyses.

Notre plateforme de supervision va surveiller les différents agents (Host Intrusion Detection System) qui lui sont connectés afin de réaliser les points suivants :

  • Analyser les logs des différents agents
  • Remonter des alertes avec différents niveaux de criticité (0 à 15)
  • Vérifier l’intégrité des fichiers systèmes afin de détecter des attaques de type ransomware, compromission des données…
  • Détecter des rootkits (processus cachés)
  • IPS (lancement de script en cas d’alerte pour bloquer des attaques comme du bruteforce, etc.)

En utilisant le framework MITRE ATT&CK, on cartographie de façon simple les dimensions tactiques et techniques de modes opératoires adverses afin de comprendre le détail des actions entreprises par l’attaquant une fois dans le système d’information ciblé

SERVICES DE CYBERSECURITE – LES ATOUTS DU SIEM

icon-box-img
Optimisation des opérations informatiques et de réseau.
icon-box-img
Détection proactive des incidents de sécurité sur la base de données brutes d'événements et de journaux.
icon-box-img
Amélioration de l'efficacité des activités de réponse aux incidents.

SERVICES DE CYBERSECURITE – LES ETAPES POUR METTRE EN PLACE UN SIEM

LecPac Consulting fournit une solution de sécurité managé capable de surveiller votre infrastructure, de détecter les menaces, les tentatives d’intrusion, les anomalies du système, les applications mal configurées et les actions des utilisateurs non autorisés.

Cette solution permet de fournir un cadre face aux risques de cybersécurité

Le SIEM est composé de plusieurs composants  :

L’agent est conçu pour effectuer un certain nombre de tâches dans le but de détecter les menaces et, si nécessaire, de déclencher des réponses automatiques. Les capacités de base de l’agent sont les suivantes :

  • Collecte de données sur les journaux et les événements
  • Surveillance de l’intégrité des fichiers et des clés de registre
  • Inventaire des processus en cours et des applications installées
  • Surveillance des ports ouverts et de la configuration du réseau
  • Détection des rootkits ou des artefacts de logiciels malveillants
  • Évaluation de la configuration et suivi des politiques
  • Exécution des réponses actives

La configuration des agents est centralisée fonctionnent sur de nombreuses plateformes :Windows, Linux, Mac OS.

Ensuite nous avons le serveur qui est chargé d’analyser les données reçues des agents, de traiter les événements à l’aide de décodeurs et de règles, et d’utiliser le renseignement sur les menaces pour rechercher des indicateurs de compromission.

Le serveur est également utilisé pour gérer les agents, en les configurant et en les mettant à niveau à distance si nécessaire. En outre, le serveur est capable d’envoyer des ordres aux agents, par exemple pour déclencher une réponse lorsqu’une menace est détectée.

Les alertes générées par le serveur sont envoyées à la console de visualisation, où elles sont indexées et stockées. Cette console fournit une interface utilisateur pour la visualisation et l’analyse des données, qui peut également être utilisée pour gérer et surveiller la configuration et le statut des agents.

Après avoir analysé les exigences initiales et l’infrastructure technique de votre entreprise entreprise, les consultants en cybersécurité de LecPac Consulting évaluent les efforts du projet et proposent un ensemble optimal d’exigences en fonction de la portée et de la politique de sécurité ainsi que le budget du client.

Notre service SIEM managé s’adapte en fonction des contraintes techniques et de sécurité du client, nous pouvons déployer une architecture en mode Cloud ( Analyseur et console de visualisation ) ou en mode distribué , l’analyseur des événements sera ainsi déployé dans votre infrastructure. Ensuite, il faudra connecter des sources de journaux systèmes et personnalisés afin de construire les indicateur de compromission qui seront visibles sur la console de visualisation ou envoyés dans des rapports par email.

LecPac Consulting assure le maintien en condition opérationnel ainsi que les capacités de performance des caractéristiques du système SIEM et des éléments inhérents que nous avons mis en œuvre.

Consultant en Architecture des systèmes d’information
Antoine Lecorgne

Consultant passionné de Cybersécurité avec plus de 15 ans d’expérience dans le secteur de la grande distribution et notamment dans les services ( Location de véhicules , spectacles , voyages …).

Je protège les données sensibles de mes clients grâce à des services complets de gestion des informations et des événements de sécurité (SIEM).


Contact