Ces trois acronymes SIM (Security Information Management), SEM (Security Event Management) ou SIEM (Security Information and Event Management) traduisent la volonté de gérer ces événements.
Le métier et l'expertise d'OïkiaLog consistent donc à mettre en oeuvre une solution adaptée à chaque entreprise permettant de traiter ce type d’information.
Ce traitement a lieu en plusieurs étapes :
- La centralisation des logs (ou collecte),
- Le stockage brut, sans modification,
- La normalisation : pour permettre une exploitation plus rapide et plus simple (les logs sont enrichis et leur format est amélioré),
- L’agrégation : découlant de certaines règles de filtrage, elle permet d'optimiser la collecte et le stockage de l’information,
- La corrélation : permet de rapprocher les événements de façon à permettre la génération d’incidents et d’alertes, les outils de SIEM sont ainsi capables d’identifier un événement ou un type d’événement à l’origine d’attaques ou de comportements non respectueux de la politique de sécurité,
- Le reporting : les outils de SIEM permettent de mettre en place des rapports présentant régulièrement les indicateurs qui intéressent aussi bien les décideurs stratégiques que les décideurs opérationnels. Ces indicateurs réguliers permettent aussi d’identifier des tendances et de suivre l’évolution du système d’information,
- L’archivage représente une partie très importante dans ce type de projet :
- stockage des logs sans modification : l’intégrité de ces logs est garantie par des systèmes de signature ou de chiffrement,
- stockage des logs agrégés et/ou normalisés et des indicateurs ou rapports.