Votre entreprise a déployé une solution de Security Information and Event Management (SIEM) pour centraliser la surveillance et l’analyse des événements de sécurité à travers toute son infrastructure IT. La configuration et la gestion d’une solution SIEM sont des éléments fondamentaux pour assurer son efficacité.

Quelle est la meilleure pratique pour optimiser l’efficacité d’un système SIEM dans une grande entreprise ?

[A] Configurer le SIEM pour collecter essentiellement les logs de sécurité des serveurs les plus critiques afin d’éviter une surcharge de données dans le SOC

[B] Établir des règles de corrélation précises et des seuils d’alerte pour détecter les anomalies et les activités suspectes à travers toute l’infrastructure

[C] Utiliser exclusivement l’intelligence artificielle (IA) et le machine learning (ML) pour détecter et qualifier les incidents de sécurité sans intervention humaine afin de réduire les coûts et réduire les délais de détection

[D] Utiliser le SIEM principalement pour la conformité réglementaire

 


reponse linkedin

CBK7 Q12 LINK


Proposition [A] : Limiter la collecte de logs aux seuls serveurs critiques entrainera de nombreuses pertes d’informations pourtant indispensables à la compréhension de la démarche d’un attaquant.

Proposition [B] : L’établissement de règles de corrélation et de seuils d’alerte efficaces permet une détection précise et en temps réel des menaces, maximisant ainsi l’efficacité du SIEM en couvrant toute l’infrastructure.

Proposition [C] : L’intelligence artificielle et le machine learning permettent de faciliter et d’optimiser le travail des analystes SOC mais pas de se dispenser totalement de personnel qualifié au sein d’un SOC (Security Operation Center).

Proposition [D] : Réduire l’utilisation du SIEM à la conformité réglementaire sous-utilise ses capacités de surveillance des menaces et de réponse aux incidents et diminue significativement l’apport du SIEM sur la sécurité opérationnelle de l’entreprise.

La bonne réponse est la proposition [B]

tip

Pour en savoir plus sur les solutions SIEM nous vous recommandons de suivre le module n°17 de la formation CISSP en distanciel de VERISAFE.


Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE