SIEM - czyli wykrywanie zagrożeń oraz reagowanie na incydenty związane z zagrożeniem bezpieczeństwa

Wiele firm dąży do osiągnięcia lepszych zabezpieczeń w taki sposób, w jaki niektórzy ludzie podchodzą do osiągnięcia lepszej kondycji. Wydają dużo pieniędzy kupując produkty, podobnie jak osoby kupujące drogie członkostwo w klubie fitness. Jeżeli firma prawidłowo nie wdroży rozwiązania i nie popracuje nad nim, system zawiedzie - podobnie będzie z niewykorzystanym karnetem. Opłacenie nie jest pierwszym krokiem, który zagwarantuje wynik. Żeby cieszyć się z efektów, konieczne jest, abyś skupił się na podstawach i poznaniu każdego rozwiązania.

SIEM - kluczowe korzyści 

SIEM definiuje się jako zespół złożonych technologii, które razem zapewniają widok z lotu ptaka na infrastrukturę.

• zapewnia scentralizowane zarządzanie zdarzeniami bezpieczeństwa
• koreluje i normalizuje kontekst alertów
• zapewnia korelację i normalizację kontekstu oraz alertów
• raportuje wszystkie pochłonięte dane
• pobiera dane z praktycznie dowolnego dostawcy lub aplikacji zewnętrznych

Rozwiązanie to pomaga Ci spojrzeć na sieć jak przez szkło powiększające, w porównaniu do pojedynczego rozwiązania, na przykład:

• System zarządzania aktywami wyświetla tylko aplikacje, procesy biznesowe i kontakty administracyjne
• Wykrywania włamań (IDS) rozpoznaje tyko pakiety, protokoły i adresy IP
• System Endpoint Security wyświetla tylko pliki, nazwy użytkowników i hosty
• Dzienniki serwisowe pokazują sesje użytkowników, transakcje w bazach danych i zmiany konfiguracji
• Systemy monitorowania integralności plików (FIM) odnotowują tylko zmiany w plikach i ustawieniach rejestru

Mimo, że przemysł ustosunkował się do terminu SIEM jako uniwersalnego określenia dla takiego typu oprogramowania, ewoluował on z kilku różnych, ale uzupełniających się technologii: LMS - Log Management System - system, który zbiera i przechowuje pliki dziennika z wielu hostów i systemów w jednym miejscu, umożliwiając scentralizowany dostęp do dzienników, zamiast uzyskiwania dostępu do każdego systemu indywidualnie. SLM/SEM - Zarządzanie dziennikami bezpieczeństwa - polega na zaznaczaniu wpisów w logach, jako bardziej istotnych dla bezpieczeństwa niż inne. SIM - Zarządzanie informacjami o bezpieczeństwie - system zarządzania zasobami, ale z funkcjami, które zawierają również informacje o zabezpieczeniach; hosty mogą wyświetlać raporty o podatności w swoich podsumowaniach, powiadomienia o wykryciu intruzów i antywirusie mogą być wyświetlane w mapach dla systemów. SIEM - Zarządzanie informacjami o bezpieczeństwie i zdarzeniami - SIEM to opcja wszystkie powyższe elementy, ponieważ wyżej wymienione technologie zostają połączone w pojedynczy produkt. SIEM zajmuje się gromadzeniem dzienników, mapowaniem informacji o infrastrukturze i procesach biznesowych. Umożliwia analitykom bezpieczeństwa przeprowadzanie uzasadnionych, świadomych dochodzeń odnośnie działań w sieci. Po to aby określić ich wpływ na integralność bezpieczeństwa i ciągłość działania.

Nowoczesne systemy SIEM docenione w kwadracie Gartnera

Raporty wydawane przez niezależną firmę badawczą Gartner, zawsze budzą wiele emocji, a informatycy polegają na ich wynikach podczas wyboru najlepszych rozwiązań dla swojej infrastruktury. W raporcie z maja ubiegłego roku, rozwiązania SIEM określono jako innowacyjne i poruszające się technologicznie do przodu w zawrotnym tempie. Raport wskazuje również, że producenci SIEM coraz częściej stawiają w swoich produktach na maszynowe uczenie się i analizę statystyczną na wysokim poziomie.