Plateforme centralisée d'agrégation et corrélation des logs de sécurité.
Un SIEM (Security Information and Event Management) est une plateforme qui centralise la collecte des logs et événements de sécurité provenant de l'ensemble du SI (firewalls, EDR, serveurs, applications, cloud), les normalise, les corrèle entre eux, et déclenche des alertes en cas de pattern suspect. C'est l'outil central d'un SOC (Security Operations Center).
Les capacités d'un SIEM moderne incluent : ingestion massive de logs (millions d'événements par seconde), normalisation au format CEF/Syslog, corrélation par règles ou ML, détection d'anomalies UEBA (User and Entity Behavior Analytics), threat intelligence intégration (MISP, IoC), workflow d'investigation pour analystes, dashboards et reporting réglementaire (SOX, PCI-DSS, RGPD).
Les SIEM leaders : Splunk Enterprise Security, Microsoft Sentinel (cloud-native sur Azure), IBM QRadar, Elastic Security, Sumo Logic, Wazuh (open source). De plus en plus, les SIEM s'enrichissent de capacités SOAR (Security Orchestration, Automation and Response). Les certifications associées : SC-200 (Sentinel), CySA+, Splunk Core Certified.
200+ certifications, 400 000+ questions, examens blancs chronométrés.
Voir le catalogue →