Opieka i karmienie SIEM. Nie dla osób o słabym sercu?

Opieka i karmienie SIEM. Nie dla osób o słabym sercu?

To, czy SIEM jest odpowiedni dla Twojej organizacji zależy od wielkości sieci i możliwości inwestowania w utrzymanie tego rozwiązania, ponieważ care and feeding (opieka i karmienie) to termin najczęściej kojarzony z SIEM.

SIEM ma swoich przeciwników i zwolenników

SIEM to technologia, którą działy IT uwielbiają… nienawidzić. Z jednej strony muru - postrzega się SIEM jako panaceum, które lokalizuje wszystkie odmienne logi i normalizuje je do analizy bezpieczeństwa sieci. Z drugiej strony, może to być oprogramowanie typu shelfware, którego ciężko się nauczyć, jest trudne w zarządzaniu, drogie w obsłudze i zbyt ważne, aby wśród swoich narzędzi nie zawierało rozwiązania do zabezpieczania danych. Strona muru na którą spadniesz, może się zmienić w dowolnym momencie, być może nawet wiele razy w ciągu tego samego dnia. Podczas, gdy wielu użytkowników uważa SIEM za narzędzie niezbędne dla większych przedsiębiorstw, umożliwiając im daleko idącą kontrolę nad monitorowaniem danych sieciowych dla celów zgodności i bezpieczeństwa, inni uważają, że jest to odpowiednie narzędzie dla małych i średnich firm, rozmiarowo odpowiadające temu środowisku. To, czy SIEM jest odpowiedni dla Twojej organizacji, faktycznie zależy od wielkości sieci i możliwości inwestowania w utrzymanie tego rozwiązania, ponieważ care and feeding (opieka i karmienie) to termin najczęściej kojarzony z SIEM.

Czy w takim razie SIEM jest jeszcze potrzebny?

Systemy SIEM ewoluowały technologicznie, to jest pewne. Jednak podstawowe powody, dla których rynek SIEM istnieje i ma perspektywy, są dokładnie takie same jak kilka lat wstecz. Jest to niezbędny element dobrze zorganizowanego programu bezpieczeństwa informacji. Kilka lat temu SIEM był narzędziem do zarządzania logami, zdolnym do sortowania, korelowania i budowania reguł opartych na dziennikach. Był również w stanie pobierać z niego informacje, przekształcając je w raporty dotyczące zgodności. Miało to być narzędzie reaktywne, służące do raportowania - co na tamten czas wystarczało - jednak dzięki własnej ewolucji stał się również narzędziem badawczym.

Wszystko pod kontrolą - czyli dla kogo sprawdzi się SIEM

Każda firmowa infrastruktura sieciowa posiada rozwiązania, które powinny ją zabezpieczyć - np. AV, UTM, MDM, szyfrowanie danych i wiele innych. Każde z tych rozwiązań wytwarza logi, które są czymś w rodzaju opisu zdarzeń oraz akcji podjętych przez użytkowników i administratorów. Im więcej takich urządzeń w firmowej infrastrukturze, tym więcej czasu administrator musi poświęcić na obsłużenie każdego z rozwiązań. SIEM jest rozwiązaniem tego problemu, zbierając logi w jedną całość. Dzięki takiemu rozwiązaniu, praca administratora sprowadza się do weryfikacji konsoli w produkcie SIEM, który gromadzi informacje na temat tego, gdzie pojawił się problem lub  w którym miejscu sieć podatna jest na zagrożenia. Komu poleciłbym tego typu rozwiązanie? Na pewno informatykom mającym styczność z rozbudowaną siecią IT, którzy chcą usystematyzować pracę, wiedzieć, gdzie pojawiają się podatności na zagrożenia i zaoszczędzić czas na przeszukiwanie logów. - komentuje Kamil Chrapek, specjalista ds. bezpieczeństwa sieci IT w Net Complex.

Dzisiejsze systemy SIEM - analityka i inteligencja doceniona przez Gartnera

Jednym z głównych czynników decydujących o korzystaniu z oprogramowania SIEM do operacji związanych z bezpieczeństwem są nowsze funkcje zawarte w wielu produktach na rynku. Obecnie wiele technologii SIEM oprócz danych z tradycyjnych dzienników informacji o zagrożeniach wprowadza również zaawansowane funkcje analityki, zgłębiające zachowania sieciowe oraz użytkowników, dostarczając więcej informacji na temat tego, czy dane działanie jest złośliwe. Firma Gartner, która zajmuje się badaniami technologii, w swoim raporcie z maja 2017 r. wymienia inteligencję występującą w narzędziach SIEM, mówiąc o innowacjach poruszających się w ekscytującym tempie, tworzących jeszcze lepsze narzędzia do wykrywania zagrożeń. Raport wskazuje również, że dostawcy wprowadzają do swoich rozwiązań maszynowe uczenie się, zaawansowaną analizę statystyczną i inne metody analityczne do swoich produktów, podczas gdy niektórzy eksperymentują również z sztuczną inteligencją i możliwościami głębokiego uczenia się. Rob Stroud, główny analityk z Forrester Research i były prezes zarządu ISACA mówi, że widzi obietnicę w takich technologiach. „Dzięki sztucznej inteligencji i uczeniu maszynowemu możemy wykonywać monitorowanie oparte na wzorach oraz ostrzeganie, ale prawdziwą szansą jest przywracanie predykcyjne. SIEM przekształca się z narzędzia monitorującego do rozwiązania, sugerującego miejsca wymagające naprawy” - mówi Strud, dodając, że spodziewa się iż oprogramowanie SIEM będzie w stanie zautomatyzować remediację w przyszłości. Najnowszy raport Gartnera - Gartner Magic Quadrant dla SIEM możesz pobrać na naszej stronie - KLIK

Oceń blog:
Czas czytania: 6 min
Data: 24.01.2018

Terminarz

prev

next

Lista najbliższych webinariów

03.09.2026
09:00 Warsztaty Hardening Windows – LAPS, Restricted Groups, Compliance Toolkit (1 dzień)
Warsztaty Hardening Windows – LAPS, Restricted Groups, Compliance Toolkit (1 dzień)
08.09.2026
09:00 Szkolenie Ansible z Windows i Active Directory
Szkolenie Ansible z Windows i Active Directory
10.09.2026
09:00 Szkolenie Ansible – automatyzacja infrastruktury IT bez agentów (2 dni)
Szkolenie Ansible – automatyzacja infrastruktury IT bez agentów (2 dni)
22.09.2026
09:00 Hardening Windows i Active Directory – Tiering, PAW, Jump Servers (warsztaty 1 dzień)
Hardening Windows i Active Directory – Tiering, PAW, Jump Servers (warsztaty 1 dzień)
22.09.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
newsletter
Chcesz wiedzieć więcej? Zapisz się na Newsletter i otrzymuj najnowsze informacje

Zobacz inne wpisy

Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.

zobacz wszystkie wpisy
Moduły CrowdStrike Falcon - jak rozbudowywać ochronę firmy Endpoint Detection and Response (EDR)
PromptLock - pierwszy ransomware wykorzystujący AI do pisania kodu Endpoint Detection and Response (EDR)
Agenci AI i bezpieczeństwo tożsamości – kto naprawdę działa w systemie? Autoryzacja i Zarządzanie Tożsamością
Ochrona endpointów i XDR – ataki, które nie wyglądają jak wirusy Extended Detection and Response (XDR)
Masz 29 minut. Jak szybko haker może przejąć firmę Endpoint Detection and Response (EDR)
Ansible w zarządzaniu konfiguracją stacji roboczych Windows w domenie AD

3‑dniowe szkolenie z Ansible do automatyzacji i zarządzania konfiguracją stacji Windows w środowisku Active Directory. Nauczysz się WinRM, playbooków i centralnego zarządzania systemami Windows 10/11.

4305.00 PLN
Zobacz więcej
1Security: Widoczność i kontrola Microsoft365

Microsoft 365 rozwija się każdego dnia - nowe zespoły, goście i udostępnienia pojawiają się szybciej, niż da się je kontrolować. Każdy z nich to potencjalne wejście dla nieautoryzowanego dostępu. Wrażliwe dane krążą po środowisku bez nadzoru, a Copilot może zobaczyć więcej, niż powinien. Brak pełnej widoczności to dziś nie tylko ryzyko, to prowokowanie incydentu.

141.14 PLN
Zobacz więcej
Wdrożenie - CrowdStrike

Skorzystaj z naszych usług i zyskaj wsparcie techniczne, które pomogą Ci osiągnąć maksymalną wydajność i bezpieczeństwo Twojej infrastruktury.

8610.00 PLN
Zobacz więcej