Le SIEM dans le cloud est la réponse à cette évolution. Il intègre des fonctionnalités de gestion des informations et des événements de sécurité au sein d'une architecture native du cloud, offrant ainsi aux entreprises la même visibilité centralisée, la même détection des menaces et la même couverture en matière de conformité qu'elles attendraient d'un SIEM traditionnel — sans les coûts d'infrastructure, les contraintes matérielles ni les limites d'évolutivité qui rendaient les déploiements traditionnels si coûteux à exploiter.
Selon Mordor Intelligence, le SIEM dans le cloud est désormais le segment du marché SIEM qui connaît la croissance la plus rapide, avec un TCAC de 12,84 %, les entreprises délaissant progressivement les déploiements sur site, très coûteux en capital. Cette croissance ne s'explique pas par le simple fait que le SIEM dans le cloud soit à la mode. Elle s'explique par le fait qu'il résout des problèmes concrets que le SIEM sur site n'a jamais réussi à résoudre.
Ce guide explique ce qu'est un SIEM dans le cloud, comment il se distingue d'une solution sur site, les fonctionnalités et les modèles de déploiement les plus importants, ainsi que les éléments à prendre en compte lors de l'évaluation des solutions, y compris la manière dont Kaseya SIEM répond à chacun de ces critères.
Qu'est-ce qu'un SIEM dans le cloud ?
Le SIEM dans le cloud est une solution de gestion des informations et des événements de sécurité fournie via une infrastructure cloud plutôt que déployée sur site. Elle collecte et agrège les données de journaux et d'événements provenant de l'ensemble de l'environnement informatique d'une organisation, y compris les terminaux, les périphériques réseau, les plateformes cloud, les applications SaaS et les systèmes d'identité ; elle normalise ces données dans un format cohérent et applique des règles de corrélation ainsi que des analyses comportementales afin de détecter les menaces et de générer des alertes en temps réel.
Dans le cas d'un SIEM « cloud », le terme « cloud » fait référence au mode de déploiement et d'exploitation de la solution. Au lieu de devoir provisionner des serveurs, gérer la capacité de stockage et assurer la maintenance des logiciels sur votre propre infrastructure, le SIEM fonctionne sur une infrastructure cloud gérée par le fournisseur. La charge opérationnelle liée à la maintenance du SIEM est ainsi transférée de votre équipe vers le fournisseur, tandis que votre équipe de sécurité conserve l'accès à l'ensemble des fonctionnalités de détection, d'investigation et de conformité via une interface web.
Le SIEM dans le cloud porte plusieurs noms selon la personne qui en parle. Les expressions « SIEM basé sur le cloud » et « SIEM en tant que service » sont utilisées de manière interchangeable avec « SIEM dans le cloud » dans la plupart des contextes. Le terme « SIEM natif du cloud » est plus spécifique : il désigne les solutions conçues dès le départ pour fonctionner dans des environnements cloud, par opposition aux SIEM traditionnels qui ont été adaptés a posteriori pour une mise en œuvre dans le cloud. Cette distinction est importante lors de l'évaluation des fournisseurs, car une architecture native du cloud gère généralement plus efficacement la scalabilité, les environnements multi-locataires et les intégrations basées sur des API qu'un SIEM traditionnel intégré à une offre d'hébergement cloud.
Si vous découvrez le SIEM, notre présentation générale du sujet vous donnera une vue d'ensemble avant que vous ne vous plongiez dans les aspects spécifiques au cloud abordés ici.
SIEM dans le cloud ou SIEM sur site
La comparaison entre les solutions SIEM dans le cloud et sur site se résume à un jeu de compromis entre coût, contrôle, évolutivité et délai de rentabilisation. Aucun des deux modèles n'est universellement supérieur, mais la balance a nettement penché en faveur du cloud pour la plupart des entreprises.
| SIEM dans le cloud | SIEM sur site | |
| Infrastructure | Cloud géré par le fournisseur | Matériel et logiciels gérés par le client |
| Durée du déploiement | De quelques jours à plusieurs semaines | De quelques semaines à plusieurs mois |
| Évolutivité | Évolutif, s'adapte au volume de données | Limité par la capacité matérielle |
| Coût initial | Faible, généralement sur abonnement | Dépenses d'investissement élevées |
| Maintenance courante | Géré par le fournisseur | Nécessite une équipe interne |
| Mises à jour et correctifs | Automatique | Manuel, souvent en retard |
| Contrôle des données | Cela dépend du fournisseur | Contrôle total sur site |
| Conformité dans les environnements réglementés | Prise en charge : vérifier les conditions relatives à la localisation des données | Plus adapté aux exigences strictes en matière de souveraineté des données |
| Visibilité multi-cloud | Intégrations natives robustes avec AWS, Azure et GCP | Limité sans connecteurs personnalisés |
Voici un aperçu des éléments à prendre en compte pour comparer ces deux modèles :
Coûts
Un système SIEM sur site nécessite un investissement initial important. Le matériel, le stockage, les licences logicielles et l'infrastructure nécessaire à leur fonctionnement doivent être mis en place avant même que les données de journaux puissent être analysées. À mesure que les volumes de données augmentent, ce qui est inévitable, il faut ajouter du matériel supplémentaire. Les coûts s'accumulent, et la charge opérationnelle liée à la gestion de ce système repose sur vos équipes internes.
Le SIEM dans le cloud élimine ces dépenses d'investissement. Vous payez en fonction de votre consommation, généralement par utilisateur ou par volume de données, et le fournisseur prend en charge les coûts d'infrastructure. Pour les entreprises qui n'avaient auparavant pas les moyens de s'équiper d'un SIEM de niveau professionnel, c'est ce changement qui a rendu la détection moderne des menaces financièrement accessible.
Évolutivité
Les solutions SIEM sur site traditionnelles ont été conçues pour des environnements caractérisés par des volumes de données prévisibles et des architectures relativement stables. Les environnements modernes ne fonctionnent pas ainsi. Une entreprise hybride peut être amenée à traiter simultanément des événements de sécurité provenant de dizaines de services cloud, de centaines d’applications SaaS et de milliers de terminaux. Lorsqu’un événement inhabituel se produit, le volume d’événements peut augmenter de manière spectaculaire. Une solution SIEM sur site dimensionnée pour des conditions d’exploitation normales échoue alors lors des incidents qu’elle est censée détecter.
Les plateformes SIEM dans le cloud s'adaptent de manière flexible, ce qui permet aux ressources de stockage et de calcul de s'étendre automatiquement à mesure que le volume d'événements augmente. Le fournisseur gère les performances du système et l'évolutivité de l'infrastructure à mesure que les environnements se développent, ce qui évite d'avoir à planifier la capacité ou à provisionner du matériel supplémentaire à l'avance.
Entretien
Pour exploiter efficacement un système SIEM sur site, il faut du personnel dédié. Quelqu'un doit gérer l'infrastructure, appliquer les mises à jour logicielles, assurer la maintenance des intégrations, affiner les règles de corrélation et surveiller l'état du système. Pour de nombreuses entreprises, c'est précisément ce niveau d'engagement en termes de ressources qui explique pourquoi leur investissement dans un système SIEM ne porte pas pleinement ses fruits. L'outil existe, mais il n'est jamais pleinement opérationnel, car personne n'a le temps de le faire fonctionner à son plein potentiel.
Avec un SIEM dans le cloud, la majeure partie de la charge de maintenance est prise en charge par le fournisseur. Les mises à jour s'effectuent automatiquement. Les intégrations sont gérées par le fournisseur. La surveillance de l'infrastructure ne vous concerne plus. Votre équipe se concentre sur les informations fournies par le SIEM, et non sur son bon fonctionnement.
Circonstances particulières
Les solutions SIEM sur site conservent des avantages dans certains contextes spécifiques. Les organisations soumises à des exigences strictes en matière de souveraineté des données, qui interdisent que les données de journaux sensibles quittent leur propre infrastructure, n'ont parfois d'autre choix que d'opter pour une solution sur site. Les environnements isolés (air-gapped) dans les secteurs de la défense ou des infrastructures critiques sont soumis à des contraintes similaires. Et les organisations qui ont déjà réalisé d'importants investissements dans une infrastructure SIEM sur site et disposent du personnel nécessaire pour la gérer efficacement peuvent estimer qu'une approche hybride, où le système sur site traite les données réglementées et le cloud tout le reste, est plus judicieuse qu'une migration complète.
Principales fonctionnalités du SIEM dans le cloud
Les solutions SIEM dans le cloud partagent un ensemble commun de fonctionnalités essentielles, mais la qualité et l'étendue de leur mise en œuvre varient considérablement d'un fournisseur à l'autre. Voici ce qu'une solution SIEM dans le cloud de dernière génération devrait offrir.
Ingestion et normalisation des journaux provenant de sources cloud et sur site
Un système SIEM cloud doit être capable d'ingérer des données provenant de l'ensemble des sources présentes dans un environnement informatique moderne, notamment AWS CloudTrail, Azure Monitor, les journaux d'audit Google Cloud, Microsoft 365, les applications SaaS, les périphériques réseau sur site et les agents de terminaux. Les connecteurs prêts à l'emploi pour les sources courantes réduisent considérablement le temps d'intégration par rapport à la création de connecteurs personnalisés.
Détection des menaces en temps réel grâce à l'analyse comportementale
L'architecture native du cloud redéfinit la notion de « temps réel ». Le stockage et la puissance de calcul s'adaptant de manière élastique, le SIEM dans le cloud peut exécuter des analyses comportementales et des modèles d'apprentissage automatique sur l'intégralité des données ingérées, sans subir la dégradation des performances que connaissent les systèmes sur site lorsque les volumes de données augmentent. La corrélation basée sur des règles identifie les schémas d'attaque connus. L'analyse comportementale identifie les anomalies qui ne correspondent à aucune règle prédéfinie, y compris les attaques lentes et progressives, les identifiants compromis et les menaces internes, à l'échelle générée par les environnements modernes.
d'investigation assistées par l'IA Les outils SIEM modernes basés sur le cloud intègrent de plus en plus l'IA pour aider les analystes à traiter les alertes plus rapidement. Les requêtes en langage naturel sur les données de sécurité, les résumés d'alertes générés par l'IA et la reconstitution automatisée de la chronologie réduisent le délai entre l'alerte et la résolution, permettant ainsi aux analystes de mettre en évidence les ressources compromises et d'identifier les anomalies sans avoir à rédiger de requêtes manuelles. Pour plus d'informations sur la manière dont l'IA transforme la détection et l'investigation SIEM, consultez notre article sur le SIEM basé sur l'IA.
Règles de réponse automatisée
Lorsqu’une menace confirmée est identifiée, le SIEM doit pouvoir agir sans attendre l’intervention manuelle d’un analyste. Les règles de réponse automatisée peuvent isoler un appareil, bloquer un compte, signaler une session sur le point d’expirer ou déclencher un workflow dans les outils connectés. Grâce à la mise en œuvre dans le cloud, ces règles peuvent s’exécuter simultanément sur les applications cloud et les terminaux en une seule opération, ce que les architectures SIEM sur site dotées de connecteurs cloud distincts ne sont généralement pas en mesure d’offrir.
Conservation à long terme des journaux avec fonctionnalité de recherche complète
Les solutions SIEM sur site imposent souvent un compromis entre la durée de conservation et les performances de recherche, à mesure que les coûts de stockage augmentent. Les fournisseurs de solutions SIEM dans le cloud ont recours à un stockage élastique géré par le fournisseur, qui s'adapte automatiquement à la croissance des données, ce qui permet aux entreprises d'appliquer des politiques de conservation à long terme sans avoir à acquérir de matériel supplémentaire ni à accepter une baisse des vitesses de recherche. Une période de conservation avec fonctionnalité de recherche de 400 jours ou plus couvre la plupart des cadres de conformité sans nécessiter d'infrastructure d'archivage distincte.
de gestion multi-locataires Pour les organisations qui gèrent la sécurité dans plusieurs environnements, qu'il s'agisse de divisions opérationnelles, de filiales ou d'environnements clients, la possibilité de visualiser et de gérer chaque environnement séparément tout en conservant une supervision centralisée constitue une exigence opérationnelle majeure. Les solutions SIEM cloud conçues pour une utilisation multi-locataires simplifient considérablement cette tâche. Les solutions SIEM sur site gèrent généralement mal cette situation, car elles nécessitent des instances distinctes pour chaque environnement, sans vue d'ensemble unifiée.
de rapports de conformité: grâce à son stockage élastique et à sa disponibilité permanente, Cloud SIEM est particulièrement bien adapté à la surveillance continue et à la conservation à long terme des journaux exigées par les cadres de conformité. Les modèles de rapports prédéfinis pour les normes HIPAA, PCI-DSS, RGPD, SOC 2 et NIST 800-53 réduisent le travail manuel nécessaire pour satisfaire aux exigences d'audit, et la possibilité de générer des rapports à partir d'une archive de journaux complète et consultable, sans lacunes de stockage, est un avantage que les déploiements sur site ne peuvent souvent pas garantir.
Avantages du SIEM dans le cloud
Les arguments en faveur du SIEM dans le cloud reposent sur un ensemble d'avantages concrets qui s'accumulent tout au long du cycle de vie du déploiement.
Les entreprises qui passent d'un système SIEM sur site à un système SIEM dans le cloud signalent systématiquement une mise en valeur plus rapide. Alors qu'un déploiement sur site peut nécessiter des mois de travail de mise en place de l'infrastructure et d'intégration avant que la première alerte ne se déclenche, un système SIEM dans le cloud ingère généralement les données et produit des résultats exploitables en quelques jours. Les connecteurs sont préconfigurés. L'infrastructure est déjà opérationnelle. Il ne reste plus qu'à configurer les sources et à affiner la logique de détection.
La réduction du coût total de possession constitue le deuxième avantage majeur. Pas de matériel à acheter, pas d'espace à allouer dans un centre de données, pas d'infrastructure à entretenir. La tarification prévisible par abonnement du SIEM dans le cloud facilite considérablement la budgétisation par rapport aux dépenses d'investissement variables liées aux déploiements sur site.
Le troisième aspect concerne la continuité opérationnelle. Les fournisseurs de solutions SIEM dans le cloud assurent la disponibilité du service, appliquent les correctifs de sécurité et gèrent l'état de l'infrastructure dans le cadre de leur offre. Un système SIEM sur site qui tombe en panne lors d'un incident de sécurité parce qu'un serveur nécessite une maintenance est un scénario que l'architecture cloud permet d'éviter.
La visibilité sur les environnements hybrides et multicloud est un avantage qu’il est de plus en plus difficile d’obtenir par d’autres moyens. Les intégrations natives avec AWS, Azure et Google Cloud permettent au SIEM cloud d’accéder directement aux données de télémétrie générées par ces environnements, sans la latence ni la complexité liées au routage des journaux cloud via un agrégateur sur site.
Enfin, le passage des dépenses d'investissement aux dépenses d'exploitation présente des avantages organisationnels qui vont au-delà du domaine informatique. Les budgets de sécurité, qui étaient auparavant liés à des cycles d'amortissement du matériel s'étalant sur plusieurs années, gagnent en flexibilité. Les ressources qui étaient auparavant consacrées à la maintenance de l'infrastructure peuvent désormais se concentrer sur les opérations de sécurité.
Modèles de déploiement SIEM dans le cloud
Toutes les solutions SIEM dans le cloud ne sont pas structurées de la même manière. Il existe trois modèles de déploiement distincts, chacun présentant des compromis différents en termes de coût, de contrôle et de responsabilité du fournisseur.
Hébergé dans le cloud (gestion en mode mono-locataire)
Le fournisseur SIEM héberge la solution dans le cloud sur une infrastructure dédiée à un seul client. Il se charge de la gestion du matériel et des logiciels. Le client bénéficie d'une responsabilité réduite en matière d'infrastructure par rapport à une solution sur site, tout en conservant un niveau d'isolation des données supérieur à celui d'un environnement partagé. Ce modèle est généralement plus coûteux qu'un SaaS entièrement multi-tenant, mais il peut s'avérer indispensable pour les organisations soumises à des exigences de résidence des données qui interdisent le recours à une infrastructure partagée.
SaaS natif du cloud (multitenant)
Le modèle complet de logiciel en tant que service (SaaS). Le fournisseur gère l'ensemble du matériel, des logiciels et de l'infrastructure au sein d'une architecture multi-locataires, où les données de chaque client sont isolées mais où les ressources back-end sont mutualisées. Ce modèle offre le coût le plus bas, l'évolutivité la plus flexible et le déploiement le plus rapide. Les fournisseurs peuvent mettre à jour et améliorer le produit pour tous les clients simultanément, sans avoir à respecter de cycles de mise à niveau spécifiques à chaque client. C'est ce modèle qui rend le SIEM dans le cloud financièrement accessible aux petites et moyennes entreprises.
Hybride
L'infrastructure sur site traite les données qui ne peuvent pas quitter l'environnement du client pour des raisons de souveraineté ou d'exigences réglementaires, tandis que l'infrastructure cloud prend en charge tout le reste. Les analyses et les corrélations sont effectuées dans le cloud à partir de l'ensemble de données agrégées. Ce modèle est courant dans les secteurs fortement réglementés et les environnements gouvernementaux, où certaines données doivent rester sous le contrôle direct du client.
Pour la plupart des MSP, des équipes informatiques et des entreprises de taille moyenne qui ne sont pas soumises à des contraintes strictes en matière de souveraineté des données, le modèle SaaS natif du cloud offre le meilleur compromis entre coût, fonctionnalités et simplicité opérationnelle.
Cas d'utilisation du SIEM dans le cloud
Le SIEM dans le cloud convient à un large éventail de cas d'utilisation en matière de sécurité, dont beaucoup sont difficiles, voire impossibles, à traiter efficacement avec des déploiements sur site.
de surveillance de la sécurité hybride et multicloud Une entreprise qui exécute des charges de travail à la fois sur AWS, Azure et dans un centre de données sur site a besoin d'une couche de sécurité capable de couvrir simultanément ces trois environnements. Un système SIEM cloud doté d'intégrations natives avec les différents fournisseurs de cloud offre cette vue unifiée sans nécessiter de couche d'agrégation distincte pour chaque environnement.
de la sécurité des applications SaaS Microsoft 365, Salesforce, Slack et d’autres applications SaaS génèrent des événements liés à la sécurité — authentification, accès aux fichiers, modifications des autorisations et exportations de données — que les outils sur site ne sont souvent pas en mesure de traiter. Une solution SIEM dans le cloud dotée de connecteurs SaaS intègre ces données de télémétrie au moteur de corrélation, aux côtés des données réseau et des terminaux, offrant ainsi aux équipes de sécurité une visibilité sur la couche applicative, où les attaquants opèrent de plus en plus souvent.
Déploiement rapide pour les entreprises en pleine croissance
Les entreprises qui se développent rapidement n'ont pas le temps de se lancer dans des projets de déploiement SIEM qui s'étendent sur plusieurs mois. Un SIEM dans le cloud peut être opérationnel en quelques jours, en intégrant les données provenant de sources existantes via des connecteurs prêts à l'emploi, sans nécessiter l'acquisition d'infrastructures ni de configuration réseau complexe.
de la sécurité en tant que service Pour les organisations qui fournissent des services de sécurité à des tiers, notamment les équipes informatiques chargées de plusieurs divisions opérationnelles et les MSP gérant les environnements de leurs clients, un SIEM cloud doté d’une architecture multi-locataires permet d’exploiter de manière pratique une instance SIEM unique couvrant tous les environnements, avec une visibilité et un reporting distincts pour chacun d’entre eux. L’alternative, à savoir un SIEM sur site distinct pour chaque environnement, n’est ni viable sur le plan opérationnel ni sur le plan financier à grande échelle.
Conformité dans les infrastructures distribuées et multi-cloud
Les solutions SIEM sur site peinent à fournir un historique de conformité complet lorsque l'infrastructure est répartie sur plusieurs sites, fournisseurs de cloud et segments de réseau, car les journaux doivent passer par l'agrégateur sur site avant de pouvoir être analysés, ce qui engendre des délais et des lacunes potentielles. Le SIEM cloud ingère directement les données à partir de sources distribuées via une API, produisant ainsi un historique de journaux continu et ininterrompu, quelle que soit l'origine des données sous-jacentes. Associé à un stockage élastique qui n'impose jamais de compromis entre la durée de conservation et le coût, cela rend le SIEM cloud particulièrement adapté aux organisations dotées d'architectures complexes et multi-environnements qui doivent se conformer simultanément aux normes HIPAA, PCI-DSS, RGPD ou SOC 2 sur l'ensemble de ces environnements.
Les critères à prendre en compte pour choisir une solution SIEM dans le cloud
Pour évaluer les solutions SIEM dans le cloud, il ne suffit pas de se contenter de la liste standard des fonctionnalités. Les capacités peuvent sembler similaires d'un fournisseur à l'autre. Dans la pratique, les différences les plus importantes résident dans la profondeur de la mise en œuvre, la qualité de la détection et l'adéquation du modèle opérationnel à votre équipe.
de l'étendue et de la qualité des connecteurs: Combien d'intégrations natives la solution propose-t-elle, et quel est leur niveau de profondeur ? Un fournisseur proposant 60 connecteurs natifs qui génèrent des données propres et normalisées s'avère plus utile qu'un autre proposant 200 intégrations superficielles nécessitant un travail de personnalisation important. Renseignez-vous spécifiquement sur les plateformes cloud, les applications SaaS et les outils de gestion des terminaux présents dans votre environnement actuel. Découvrez l'importance des intégrations SIEM.
sur la transparence des modèles de tarification Les modèles de tarification des solutions SIEM dans le cloud varient considérablement. La tarification basée sur l'ingestion pénalise les entreprises à mesure que leurs environnements s'étendent et que les volumes de données augmentent, ce qui peut rendre les coûts imprévisibles. La tarification basée sur le nombre d'utilisateurs offre des coûts plus prévisibles et n'empêche pas les entreprises d'ingérer les données dont elles ont besoin. Il est important de bien comprendre le modèle de tarification avant de s'engager auprès d'un fournisseur.
La qualité de la détection, pas seulement le nombre de règles
Renseignez-vous sur la manière dont les règles de corrélation sont gérées et mises à jour. Un SIEM dans le cloud disposant d'une vaste bibliothèque de règles obsolètes offre une protection moindre qu'un système doté d'un ensemble plus restreint, mais activement mis à jour. Demandez à quelle vitesse de nouvelles règles sont ajoutées pour faire face aux menaces émergentes, et si les flux de renseignements sur les menaces sont automatiquement intégrés.
de la durée de conservation des journaux et des performances de recherche Vérifiez la durée de conservation et assurez-vous que les journaux historiques restent entièrement consultables. Certains fournisseurs stockent les journaux à long terme dans des systèmes de stockage à faible accès, dont l'interrogation peut prendre des heures, ce qui rend toute enquête judiciaire pratiquement impossible. Une durée de conservation permettant la recherche d'au moins 400 jours constitue le seuil minimum pour satisfaire la plupart des cadres de conformité sans compromettre les capacités d'enquête.
de la localisation des données et de la conformité : les fournisseurs de solutions SIEM dans le cloud stockent les données de journaux dans leur propre infrastructure, ce qui signifie que l'emplacement de ces données a une incidence sur la conformité. Le RGPD impose des restrictions sur le transfert de données à caractère personnel en dehors de l'UE. La loi HIPAA et le programme FedRAMP imposent leurs propres exigences dans le contexte américain. Avant de vous engager dans un déploiement, assurez-vous que le fournisseur que vous avez choisi propose des options de stockage régional des données conformes aux cadres réglementaires concernés. Il s'agit là d'une considération propre au cloud qui ne se pose pas avec les solutions SIEM sur site.
gérés ou en gestion autonome : un SIEM cloud en gestion autonome nécessite tout de même des analystes pour examiner les alertes, ajuster les règles et gérer les intégrations. Un SIEM cloud en gestion partagée ou entièrement gérée complète ces tâches grâce à l'assistance d'un centre d'opérations de sécurité (SOC) fourni par le fournisseur. Pour les équipes disposant d'effectifs limités en matière de sécurité, le modèle géré modifie considérablement ce qui est réalisable sur le plan opérationnel. Pour en savoir plus sur le modèle de service géré, consultez notre guide sur le SIEM géré.
Kaseya SIEM : une solution native du cloud, conçue pour les petites équipes
Le SIEM dans le cloud n'est pas un produit unique. Il s'agit d'un modèle de prestation qui va de la simple journalisation hébergée à des opérations de sécurité entièrement gérées et optimisées par l'IA. La solution idéale est celle qui s'adapte à la complexité de votre environnement, aux capacités de votre équipe et aux obligations de conformité auxquelles vous devez vous conformer.
Kaseya SIEM est une solution SIEM native du cloud et gérée conjointement, spécialement conçue pour les MSP et les équipes informatiques qui ont besoin d'une détection de niveau entreprise sans les contraintes en matière de personnel et d'infrastructure qu'impliquent les déploiements SIEM traditionnels. Elle met en corrélation les données relatives aux menaces via plus de 60 connecteurs natifs couvrant les terminaux, les applications cloud, les réseaux, les fournisseurs d'identité et la messagerie électronique, avec une conservation des journaux consultables pendant 400 jours qui répond aux exigences d'audit sans date d'expiration.
Les règles de réponse automatisée gèrent simultanément les mesures de confinement dans le cloud et sur les terminaux, en bloquant les comptes, en isolant les appareils et en signalant les sessions arrivant à expiration sans attendre d’intervention manuelle. Les enquêtes basées sur l’IA permettent aux analystes d’interroger les données de sécurité en langage naturel, de mettre en évidence les ressources compromises et d’identifier les anomalies sans avoir à rédiger de requêtes manuelles. De plus, les analystes de Kaseya surveillent, trient et réagissent aux menaces 24 heures sur 24, 7 jours sur 7, avec le soutien de cette même IA qui réduit le bruit et accélère la réponse.
Pour les équipes qui évaluent les différentes options de SIEM dans le cloud, la question à se poser ne se limite pas à savoir quelle solution offre le plus de fonctionnalités. Il s'agit plutôt de déterminer quelle solution votre équipe sera réellement en mesure d'exploiter à plein régime dès le premier jour, et quel fournisseur s'engage à assumer conjointement la responsabilité des résultats.
