Dans cet article, nous indiquons nos meilleurs choix de produits de gestion des informations et événements de sécurité (Security Information and Event Management – SIEM) d’entreprise offrant des périodes d’évaluation gratuites entièrement fonctionnelles. Nous fournissons également nos recommandations pour les meilleurs outils SIEM gratuits du marché, ainsi que des conseils sur les points à vérifier et comment choisir le meilleur outil SIEM pour vos besoins de sécurité.
Mieux que les outils SIEM gratuits et open source
Les évaluations gratuites de logiciels SIEM d’entreprise sont un bon moyen d’essayer une solution pour voir si vous avez besoin de toutes les fonctionnalités offertes par un logiciel SIEM. Notre liste des meilleurs outils SIEM avec période d’évaluation gratuite :
Security Event Manager
SolarWinds Security Event Manager (SEM) s’accompagne d’une période d’évaluation gratuite de 30 jours, ce qui est amplement suffisant pour savoir s’il s’agit du bon choix pour vous. Nous recommandons le logiciel SEM non seulement pour la sécurité, mais pour tous les problèmes liés à la journalisation des événements, y compris la conformité et la résolution des problèmes de performance.
Il s’agit d’une solution SIEM globale qui met l’accès sur la conformité pour HIPAA, PCI DSS, SOX, etc. SEM dispose d’une fonctionnalité robuste prête à l’emploi, qui permet d’effectuer l’implémentation en un clin d’œil. Cela est principalement dû au fait qu’il est autonome. Les paramètres d’automatisation inclus bloquent des centaines de types de menaces, et la recherche avancée fournit une fonctionnalité de type moteur de recherche pour enregistrer l’analyse.
Threat Monitor
Threat Monitor est une option SIEM de sécurité avec le même grand niveau d’expertise et de support de SolarWinds. Téléchargez la version d’évaluation entièrement fonctionnelle de 14 jours pour être protégé contre les vulnérabilités récemment découvertes en temps quasi réel avec des évaluations de menaces mises à jour en permanence et des fonctions de détection des intrusions.
Threat Monitor offre plus de réponses automatisées et plus de contrôle sur la programmation de vos propres réponses automatisées. En outre, vous bénéficiez de rapports de conformité et des index très détaillés et faciles à rechercher. Le produit est basé sur le Cloud, ce qui signifie que vous profitez de cette fonctionnalité avec une empreinte faible ou nulle et un accès permanent.
Meilleurs logiciels SIEM gratuits
Voici une liste d’outils SIEM gratuits à prendre en considération, qu’il s’agisse de logiciels SIEM open source, de versions limitées de produits payants ou de versions d’évaluation qui peuvent vous aider à identifier vos besoins.
Splunk Free
En termes de fonctionnalité, le produit Splunk complet est l’un des meilleurs logiciels SIEM du marché. Il fournit une vue d’ensemble complète de la sécurité et il est facile à parcourir en dépit de sa complexité. Les fonctions de visualisation et d’analyse des ressources sont particulièrement utiles. Néanmoins, notez que la version gratuite, bien que similaire à la version sous licence complète, permet d’indexer jusqu’à 500 Mo par jour. Bien entendu, cela ne fonctionne pas pour de nombreuses entreprises. D’autres limitations s’appliquent à la version gratuite, qui n’est donc pas une solution à long terme.
Snort
Snort est un logiciel populaire de prévention et de détection des intrusions pour Windows et Linux. Il surveille votre trafic réseau et édicte les règles de votre programme, sans fioritures. Par ailleurs, Snort n’est pas un logiciel SIEM complet. Les utilisateurs qui recherchent ces fonctions spécifiques seront satisfaits des performances, mais ne doivent pas s’attendre à un système de journalisation et de surveillance de réseau complet.
OSSEC
OSSEC est un système de détection des intrusions open source apprécié par tous à l’exception de la communauté Windows. Il fonctionne très bien avec macOS, Linux, Solaris et BSD. Les avantages incluent les modes sans serveur et avec agent de serveur, et la fonctionnalité quasi complète de la version open source. L’un des avantages d’OSSEC est l’analyse de journaux, qui traite de nombreuses sources différentes (FTP, serveurs de messagerie, bases de données, etc.). En outre, OSSEC est optimal pour la surveillance de plusieurs réseaux depuis un emplacement unique.
Cependant, le système présente plusieurs inconvénients. Sous Windows, seul le mode avec agent de serveur est disponible. De plus, les utilisateurs ont signalé des problèmes lors de la mise à jour, car le logiciel rétablit les règles par défaut. Même si vous déchargez et rechargez vos paramètres, cela peut entraîner un certain chaos pendant la mise à jour.
OSSIM
OSSIM est l’une des options open source les plus puissantes et complètes. Il offre à peu près toutes les fonctionnalités décrites ci-dessus, dont à la fois la journalisation et la surveillance à court terme (SEM) et l’évaluation des menaces à long terme, l’archivage et l’analyse des données, et les réponses automatisées (SIM).
Cependant, OSSIM n’est ni flexible ni maniable. Les administrateurs système se plaignent des configurations laborieuses, en particulier sous Windows, et des lourds investissements en temps nécessaires pour personnaliser le logiciel. (Le support pour OSSIM est également excessivement coûteux.) Si vous devez dépenser beaucoup de temps et d’argent, il est préférable d’envisager des outils SIEM payants dès le début.
Elasticsearch
Elasticsearch, auparavant ELK Search, est un ensemble de solutions logicielles. (ELK est l’acronyme des composants Elasticsearch, Logstash et Kibana.) Elasticsearch est une suite puissante et polyvalente, mais il lui manque certaines fonctionnalités importantes.
Logstash et Beats fournissent les enregistrements de journaux. Beats regroupe des expéditeurs et collecteurs de données, alors que Logstash filtre ces données et active de nombreux plug-ins personnalisés. Elasticsearch est le moteur qui alimente l’exploration des données et Kibana fournit la visualisation.
Avec certaines fonctionnalités importantes supplémentaires, Elasticsearch serait un outil SIEM complet. Notamment, il est insuffisant en termes de corrélation, ne fournit ni d’alertes prêtes à l’emploi et ni la gestion des incidents autonome. Néanmoins, avec sa puissante architecture, sa personnalisation et sa nature open source, Elasticsearch est sans surprise très puissant et fournit les bases pour plusieurs autres choix de cette liste.
Fonctionnalités SIEM
Avant de choisir une solution SIEM, vous devez connaître les bases du SIEM, ce que vous devez rechercher dans un outil SIEM, ainsi que les avantages et les inconvénients de l’évaluation de solutions SIEM gratuites ou open source par rapport à un logiciel d’entreprise.
Une solution SIEM, ou Security Information and Event Management, couvre deux domaines jusqu’ici appréhendés séparément : la gestion des informations de sécurité (SIM) et la gestion des événements de sécurité (SEM). Aujourd’hui encore, ces termes sont souvent utilisés l’un pour l’autre, alors qu’il existe des différences subtiles mais importantes.
Un logiciel SEM suit les journaux d’événements réseau en continu, ce qui nécessite des analyses à court terme et de résoudre les perturbations. Un logiciel SIM stocke et analyse d’importants volumes de données réseau historiques et donc permet de prévoir des menaces futures. L’objectif est de combiner ces efforts de sécurité à court terme et à long terme en une solution SIEM unifiée.
Que vous recherchiez une solution SIEM payante, gratuite ou open source, recherchez des outils présentant les fonctionnalités suivantes :
- Journaux d’événements : à la base, les journaux d’événements constituent le cœur du SIEM. La collecte de tous les événements sur votre réseau permet de détecter les anomalies en temps réel et d’examiner les perturbations.
- Détection des intrusions : une bonne solution SIEM ne suit pas seulement le comportement de votre réseau, elle peut également analyser ces données quasiment en temps réel. Sans contexte, les données sont inutiles. Par exemple, de nombreux échecs de tentative de mot de passe d’utilisateur peuvent ne présenter aucun risque, alors que des tentatives simultanées au niveau du système peuvent constituer une attaque de force.
- Alertes automatisées : outre l’analyse et la détection des intrusions, les systèmes SIEM doivent notifier les administrateurs réseau.
- Détection des menaces intelligente/par IA : un bon système SIEM doit non seulement détecter les intrusions, mais aussi anticiper et prédire les menaces futures. Cela requiert des flux d’informations sur les menaces les plus récentes, à comparer à des données récentes et d’archive.
- Filtrage et stockage des données : les journaux d’événements produisent d’énormes quantités de données dont la maintenance doit être effectuée via l’analyse des archives. Tout comme la journalisation des événements, le filtrage et le stockage des données sont importants pour détecter les anomalies et analyser les problèmes a posteriori. Les solutions SIEM doivent fournir des filtres utiles pour garantir que les données sont ciblées et utiles, ainsi que permettre aux utilisateurs de stocker ces données de façon accessible et économique.
- Visualisation : la présentation des données et de l’évaluation des menaces dans un format graphique est une aide considérable pour les fonctions de sécurité. Elle devient une norme pour les logiciels SIEM, soit sous forme d’une fonction intégrée, soit fournie par un complément tiers.
- Compatibilité : le logiciel SIEM doit être compatible avec le réseau existant des utilisateurs afin de fournir une vue d’ensemble des événements.
- Conformité : dans certains secteurs d’activité, les logiciels SIEM doivent contribuer à la conformité réglementaire.
De nombreuses petites organisations qui commencent juste à journaliser et analyser les données ont tendance à opter pour les outils SIEM gratuits et/ou open source. Ils sont bien sûr moins chers. Au fil du temps, de nombreux départements informatiques trouvent qu’ils demandent trop d’efforts et peuvent opter pour un produit plus professionnel. Peu de départements informatiques sont satisfaits par une option SIEM gratuite à long terme.
Conclusion sur les meilleurs logiciels SIEM
Les solutions SIEM doivent fournir une surveillance et une protection à court terme et à long terme, avec un minimum d’efforts et de dépenses pour la configuration et la personnalisation. Si votre entreprise commence seulement avec le SIEM ou est une petite entreprise, consultez ces produits SIEM gratuits et open source. Une fois que vous êtes prêt à utiliser un logiciel SIEM d’entreprise, je suggère d’essayer un outil tel que Security Event Manager, car il fournit une solution de gestion des événements de sécurité complète, en portant une attention particulière à la journalisation et à la conformité.
Lecture recommandée
Meilleurs logiciels de gestion de journaux
La gestion des journaux est une partie importante du SIEM, votre logiciel de gestion des journaux doit donc être compatible et intégré avec votre solution SIEM.
10 principales sources de journaux à surveiller
Savoir où chercher lors de la résolution de problèmes accroît l’efficacité de votre logiciel SIEM.
Pas besoin de s’alarmer : création d’une stratégie d’alerte efficace
Comme mentionné, les alertes sont une fonctionnalité importante des logiciels SIEM. Cet article propose des conseils de création d’alertes utiles.