Command Center

Search for a vulnerability, tool, or protocol...

Defensive

SIEM — Collecte, Corrélation et Détection

Comprendre un SIEM : pipeline de logs, normalisation, enrichissement, règles de corrélation, cas d’usage de détection et bonnes pratiques de tuning.

14 mars 2026Peran3 min de lecture
#siem#logging#detection#soc#correlation#ueba#soar

Définition

Un SIEM (Security Information and Event Management) centralise les événements (logs), les normalise, les enrichit, et aide à détecter des comportements malveillants via corrélation, recherche et alerting.

Un SIEM n’est pas “magique” : il est aussi bon que la qualité des données, la couverture, et le tuning de vos détections.

Chaîne de valeur d’un SIEM (pipeline)

  1. Collecte : agents, syslog, API, connecteurs cloud.
  2. Normalisation : mapping vers un schéma commun (champs, types, horodatage).
  3. Enrichissement : identité, géoloc, asset inventory, criticité, threat intel.
  4. Stockage & recherche : rétention, indexation, partitionnement.
  5. Détection : règles, corrélation multi-sources, UEBA.
  6. Réponse : tickets, playbooks (SOAR), containment.

Sources de logs essentielles

Identité & accès

  • SSO / IdP (auth success/fail, MFA, risk signals).
  • IAM cloud (actions d’API, création de clés, rôle assumé).

Endpoints

  • EDR/XDR (process, child-process, hash, network, detections).
  • Windows Event Logs / Sysmon (si déployé) ; auditd sur Linux.

Réseau

  • DNS, proxy, firewall, VPN, NetFlow/IPFIX (si disponible).
  • TLS/HTTP logs (sans capturer le contenu, si politique le permet).

Applications

  • Logs applicatifs (auth, erreurs, accès admin, appels API).
  • WAF / gateway / reverse proxy.

Normalisation : le détail qui change tout

Sans normalisation, on se retrouve avec des règles fragiles.

  • Harmoniser : src_ip, dst_ip, user, host, action, status, resource.
  • Corriger les horloges (NTP) et gérer les timezones.
  • Gérer les identités multiples (UPN, email, SID, ID cloud).

Détections : patterns concrets (haut niveau)

Authentification anormale

  • Brute force / password spraying : échecs multiples sur plusieurs comptes.
  • Impossible travel : deux authentifications distantes dans une fenêtre impossible.
  • MFA fatigue : rafales de demandes MFA ou validations suspectes.

Compromission & persistance

  • Nouvel admin / rôle privilégié attribué.
  • Création de clés API / tokens longue durée.
  • Désactivation de logs / suppression de traces.

Mouvement latéral

  • Connexions à des serveurs non habituels pour un poste.
  • Accès RDP/SSH internes inhabituels.

UEBA, SOAR : quand et pourquoi

  • UEBA (analyse comportementale) est utile pour baseline et anomalies, mais coûteux en tuning.
  • SOAR automatise la réponse (enrichir, notifier, isoler, reset password). À introduire après avoir stabilisé vos détections.

Tuning & réduction du bruit

  • Traiter le top N des alertes bruyantes : champ manquant, faux positifs récurrents.
  • Mettre en place une boucle de feedback SOC ↔ équipes infra/app.
  • Mesurer : taux de faux positifs, MTTA/MTTR, couverture par MITRE ATT&CK (si vous l’utilisez).

Rétention & conformité (pratique)

  • Définir : rétention “hot” (recherche rapide) vs “cold” (archivage).
  • Minimiser les données sensibles collectées ; appliquer le principe du besoin.

Voir aussi