Question rapide : Supervision de l’activité sur les bases de données ou SIEM ?
Quelle est la différence entre supervision de l’activité sur les bases de données et outils de gestion des informations et événements de sécurité (SIEM) ? L’un est-il plus pertinent que l’autre ? La réponse de SearchSecurity.
Comme leur nom le suggère, les systèmes de supervision de l’activité sur les bases de données (Database activity monitoring, ou DAM) observent et enregistrent toute activité au sein d’une base de données et génèrent des alertes en cas d’activité inhabituelle. Ces outils ont pour but de limiter les mauvaises manipulations des bases de données, de faire appliquer la séparation des rôles des administrateurs de bases de données, et de prévenir certains types d’attaques externes.
A l’inverse, les outils de SIEM collectent et corrèlent les rapports d’activité - les logs - déjà produits par des équipements réseau et des systèmes, ainsi que ceux générés par tout un ensemble de produits compatibles tels que les antivirus, les systèmes de détection et de prévention d’intrusion (IDS/IPS), les PGI et les bases de données. Tout cela afin de fournir une image aussi étendue que possible de la situation.
Que vous choisissiez l’un ou l’autre dépend de vos objectifs : si vous souhaitez surveiller des bases de données précises, un DAM sera probablement le choix le plus pertinent. Mais si vous visez une supervision plus large, c’est d’un SIEM dont vous avez probablement besoin.
Mais dans tous les cas, faites attention au coût et au temps associés à la supervision de systèmes. Historiquement, de nombreuses organisations ont sous-estimé l’effort requis pour déployer et exploiter un IDS ou un IPS. Et un SIEM va demander encore plus de ressources pour être véritablement utile.
C’est bien simple : plus le système sera étendu, plus il sera complexe et coûteux à exploiter. Ce qui signifie que les SIEM demandent plus de ressources et de travail que des DAM. Mais ne sous-estimez pas non plus les exigences associées à l’exploitation d’un DAM !
Pour résumer, prenez bien soin de peser d’un côté les besoins de votre organisation et, de l’autre, le temps, les efforts et le budget qui seront nécessaires pour appliquer correctement la «solution» que vous choisissez.
Par Peter Wood, SearchSecurity.co.uk. Adapté de l’anglais par la rédaction.