SIEM
Définition
Security Information and Event Management : plateforme qui collecte, corrèle et analyse les journaux de sécurité provenant de multiples sources (firewall, serveurs, endpoints, applications) pour détecter les incidents et générer des alertes.
Pourquoi c'est important
Le SIEM est l'outil central du SOC. Comprendre comment il collecte, normalise et corrèle les événements est fondamental pour tout profil orienté détection et réponse.
Comment l'enseigner
Déployez un ELK Stack ou Wazuh en lab et faites ingérer des logs réels. Les étudiants créent des règles de détection et voient les alertes se déclencher. Rien ne remplace la manipulation.
Idée d'exercice
Créez 3 règles de détection personnalisées dans Wazuh/Splunk : brute force SSH, scan de ports, et exécution de commande suspecte. Testez chaque règle et affinez pour réduire les faux positifs.
Erreur courante en formation
Présenter le SIEM comme un outil plug-and-play alors que sa valeur dépend entièrement de la qualité des règles, de la couverture de collecte et de l'expertise des analystes.
Questions fréquentes
Qu'est-ce que le SIEM en cybersécurité ?
Security Information and Event Management : plateforme qui collecte, corrèle et analyse les journaux de sécurité provenant de multiples sources (firewall, serveurs, endpoints, applications) pour détecter les incidents et générer des alertes.
Comment enseigner le SIEM à des étudiants ?
Déployez un ELK Stack ou Wazuh en lab et faites ingérer des logs réels. Les étudiants créent des règles de détection et voient les alertes se déclencher. Rien ne remplace la manipulation. Créez 3 règles de détection personnalisées dans Wazuh/Splunk : brute force SSH, scan de ports, et exécution de commande suspecte. Testez chaque règle et affinez pour réduire les faux positifs.
Pourquoi SIEM est-il important en formation cybersécurité ?
Le SIEM est l'outil central du SOC. Comprendre comment il collecte, normalise et corrèle les événements est fondamental pour tout profil orienté détection et réponse.