====== Gestion des évènements de sécurité (SIEM, SOAR, XDR...) ======

[[https://www.orangecyberdefense.com/fr/insights/blog/detection/soc-siem-xdr-mdr-edr-quelles-differences|Quelles différences entre SOC, SIEM, EDR, XDR... ?]]
===== Logging =====
==== Le protocole Syslog ====

[[https://ram-0000.developpez.com/tutoriels/reseau/Syslog/|Principes du protocole SysLog]]

[[https://neptunet.fr/rsyslog-loganalyzer/|Mettre en place RSyslog & LogAnalyzer]]

[[Configuration de la collecte de logs avec RSyslog]]

===== SIEM =====

Les SIEMs (Security Information and Events Management) sont des systèmes permettant d'analyser et de stocker des logs ou de capturer des flux réseau en provenance d'équipements informatiques divers afin de corréler les informations et de détecter de potentielles menaces au sein d'un Système d'Informations (système compromis, attaque en cours, tentative de reconnaissances...)

==== Solutions SIEM ====

Il existe de nombreuses solutions SIEM telles que :

  * [[ELK|ELK]]
  * [[QRadar|IBM QRadar]]
  * [[RSA|RSA Netwitness]]
  * [[Splunk|Splunk]]
  * [[Microsoft Sentinel]]

==== Benchmarks des solutions SIEM du marché ====

[[https://maximepiazzola.wordpress.com/2018/01/19/introduction-aux-solutions-siem/|Comparatif entre ELK & Splunk]]



===== SOAR =====