Security Information and Event Management (SIEM)

Security Information and Event Management

SIEM jest technologią służącą bezpieczeństwu i zarządzaniu zdarzeniami, której zadaniem jest obsługa i wykrywanie zagrożeń oraz reagowanie na incydenty związane z zagrożeniem bezpieczeństwa. W czasie rzeczywistym gromadzi i analizuje zdarzenia bezpieczeństwa z szerokiej gamy zdarzeń, w ten sposób wykrywając symptomy włamania do infrastruktury firmowej.

Z punktu widzenia osób odpowiedzialnych za bezpieczeństwo firmowej sieci IT, SIEM to jedno z najważniejszych rozwiązań umożliwiających monitoring. Nie tylko daje możliwość szybkiego pozyskania informacji, ale przede wszystkim ich analizę. Przy odpowiedniej trosce o ludzi i procedury, staje się potężnym narzędziem służącym do zwalczania zagrożeń pojawiających się w firmowej sieci. 

Narzędzia typu SIEM posiadają kilka typowych zastosowań. Ich najważniejszym zadaniem jest zapewnienie bezpieczeństwa w zakresie analizy zdarzeń oraz wykrywania zagrożeń. Obszar ten koncentruje się na wykrywaniu i reakcji na infekcje spowodowane szkodliwym oprogramowaniem, ataki oraz kradzież danych. 

Warto podkreślić, że rozwiązania Security Information and Event Management gromadzą nie tylko dane z logów, ale również tzw. dane kontekstowe. W kolejnym kroku realizują konwersję na uniwersalny format, który może być stosowany już wewnątrz narzędzi SIEM. Narzędzia wyposażone są w funkcje powiadomień, które aktywują się już w momencie wykrycia możliwego niebezpieczeństwa. Najczęściej stosowane powiadomienia wysyłane są za pomocą SMS, e-mail lub SNMP. 

Zdarzenia mogą mieć różną rangę w zależności od ryzyka, SIEM wyróżnia najistotniejsze zdarzenia, klasyfikując te mniej ważne i umieszczając w dalszej kolejności. Administratorzy mają możliwość generowania raportów w czasie rzeczywistym - raporty mogą przedstawiać dane zagregowane, ale również dane historyczne. Administratorzy mają również do dyspozycji mechanizmy, które umożliwiają podjęcie działań zapobiegawczych - w sposób całkowicie zautomatyzowany lub półautomatyczny. 

SIEM jako usługa zarządzana

Usługi zarządzane działają na zasadach outsourcingu informatycznego i technologicznego. Oznacza to nic innego jak przejęcie zadań departamentu IT przez wyspecjalizowaną firmę zewnętrzną. Jeżeli dojdzie do wykrycia zagrożenia czy też naruszenia obszaru bezpieczeństwa, klient natychmiast zostaje o tym poinformowany. Powiadomieni zostają wcześniej wskazani administratorzy lub podejmowane zostają działania ustalone między firmami, zgodnie z procedurami, np. obsługa wykrytego problemu. 

Czy Security Information and Event Management jest tym samym co zarządzanie logami?

Urządzenia, aplikacje oraz same systemy operacyjne generują pewien rodzaj logów zawierający charakterystyczne zdarzenia i powiadomienia dla konkretnego systemu. Informacje zawarte w logach mogą okazać się bardzo przydatne, ale również zupełnie nieistotne. Jednak, zanim ktoś je zweryfikuje, muszą przejść proces udostępnienia, transportu oraz ewentualnego przechowania. Zatem powstaje pytanie - jak zebrać dane z systemów rozproszonych i gromadzić je w jednej lokalizacji? Jest wiele sposobów realizacji tego zadania, jednak pierwszym krokiem staje się określenie jakiego typu są to logi, które z informacji należy gromadzić, w jaki sposób transportować i gdzie zapamiętać. Jeśli te kwestie zostaną uporządkowane, zaczynają się funkcje wyższego poziomu - związane z Security Information and Event Management

Security Information and Event Management są w stanie zapewnić wiele mechanizmów, które wymagane są przy zarządzaniu logami, dodatkowo zapewniając redukcję zdarzeń, analizę w czasie rzeczywistym, powiadomienia alarmowe, a także zapewnienie zgodności z wymogami prawa. 

Szukasz odpowiedniego rozwiązania SIEM dla swojego przedsiębiorstwa? Skontaktuj się z nami - pomożemy znaleźć oprogramowanie dostosowane do Twojej działalności.