Comme leur nom le suggère, les systèmes de supervision de l’activité sur les bases de données (Database activity monitoring, ou DAM) observent et enregistrent toute activité au sein d’une base de données et génèrent des alertes en cas d’activité inhabituelle. Ces outils ont pour but de limiter les mauvaises manipulations des bases de données, de faire appliquer la séparation des rôles des administrateurs de bases de données, et de prévenir certains types d’attaques externes.
A l’inverse, les outils de SIEM collectent et corrèlent les rapports d’activité - les logs - déjà produits par des équipements réseau et des systèmes, ainsi que ceux générés par tout un ensemble de produits compatibles tels que les antivirus, les systèmes de détection et de prévention d’intrusion (IDS/IPS), les PGI et les bases de données. Tout cela afin de fournir une image aussi étendue que possible de la situation.
Que vous choisissiez l’un ou l’autre dépend de vos objectifs : si vous souhaitez surveiller des bases de données précises, un DAM sera probablement le choix le plus pertinent. Mais si vous visez une supervision plus large, c’est d’un SIEM dont vous avez probablement besoin.
Mais dans tous les cas, faites attention au coût et au temps associés à la supervision de systèmes. Historiquement, de nombreuses organisations ont sous-estimé l’effort requis pour déployer et exploiter un IDS ou un IPS. Et un SIEM va demander encore plus de ressources pour être véritablement utile.
C’est bien simple : plus le système sera étendu, plus il sera complexe et coûteux à exploiter. Ce qui signifie que les SIEM demandent plus de ressources et de travail que des DAM. Mais ne sous-estimez pas non plus les exigences associées à l’exploitation d’un DAM !
Pour résumer, prenez bien soin de peser d’un côté les besoins de votre organisation et, de l’autre, le temps, les efforts et le budget qui seront nécessaires pour appliquer correctement la «solution» que vous choisissez.
Par Peter Wood, SearchSecurity.co.uk. Adapté de l’anglais par la rédaction.
Toute reproduction ou représentation intégrale ou partielle des pages publiées sur ce site, faite sans l'autorisation de l'éditeur est illicite et constitue une contrefaçon. LeMagIT s'engage à respecter la confidentialité des données personnelles conformément à la loi 78-17 du 6 janvier 1978. LeMagIT n'assume aucune responsabilité de type éditoriale sur les commentaires publiés sur ce site, la mise en ligne n'étant soumise à aucun contrôle à priori. La fréquentation de ce site est certifiée OJD.
Tous les services du MagIT sur