SIEM
(Security Information and Event Management) je management bezpečnostních informací a událostí. Současně řeší dříve různorodé kategorie:
- SIM (Security Information Management) – zabývá se dlouhodobým ukládáním událostí, jejich analýzou a hlášením problémů.
- SEM (Security Event Management) – zabývá se monitoringem infrastruktury, korelacemi událostí a alertováním v reálném čase.
Pojmy SIM, SEM a SIEM bývají často zaměňovány, přestože jsou významově i přínosem rozdílné.
Analýzu kybernetických bezpečnostních událostí
SIEM technologie v reálném čase umožňuje analýzu kybernetických bezpečnostních událostí, které generují síťová zařízení a aplikace. SIEM řešení zpravidla je postaveno na bázi aplikace, služeb a potřebného zařízení – tento základ konzumuje záznamy bezpečnostních dat (logy) a generuje reporty. Analýza SIEM pomáhá při detekci kybernetických bezpečnostních incidentů.
Tři hlavní schopnosti SIEM
Agregace dat
SIEM vytváří seskupení vybrané části určitých entit za účelem vytvoření nové entity. Jednotlivými entitami mohou být například:
- data z přepínačů
- firewallů
- serverů
- počítačových stanic
- databází
- IDS/IPS
- aplikací
- atd.
Korelace dat
SIEM nalézá vzájemné vztahy událostí, například:
- monitorování činnosti konkrétního uživatele
- pohled na určité události v nějakém časovém intervalu
- atp.
Varování
- Informační panely
- Přehledové sestavy (dashboards)
- Reportování shod (compliance)
- Zachování, ukládání historických dat (logů)
Přínosy SIEM
- Pružnější a rychlejší reakce na útoky
- Úspěšnější detekce útoků
- Zefektivnění správy infrastruktury
- Získávání automaticky vytvářených statistik o infrastruktuře