О SIEM
Аббревиатура SIEM образована от security information and event management, что дословно можно перевести как система управления событиями и информационной безопасностью. SIEM обеспечивает анализ в реальном времени событий, происходящих в ИТ-инфраструктуре. Подобный анализ необходим для обнаружения и определения среди всех событий событий информационной безопасности и реагирования на них.
SIEM системы, вне зависимости от производителя, обладают следующим функционалом:
- Агрегация данных - сбор, обработка и хранение логов с различных устройств и приложений;
- Корреляция событий - поиск общих атрибутов события. Подобная технология обеспечивает применение различных технических приёмов для интеграции данных из различных источников для превращения исходных данных в информацию с которой можно работать дальше;
- Оповещение - SIEM системы поддерживают возможность оповещения о событиях по различным каналам связи;
- Анализ и управления рисками безопасности;
- Проведение расследования инцидентов;
- Формирование отчётов;
- Реакция на атаки.
Источниками данных для SIEM систем являются:
- IDS/IPS системы
- Антивирусные программы
- Журналы событий операционных систем
- Межсетевые экраны
- Сканеры уязвимостей
- Системы инвентаризации
- Прокси-сервера
- Системы аутентификации
Зачем внедрять SIEM?
- С помощью SIEM ваша организация сможет повысить уровень защищенности информационных систем от внешних и внутренних угроз ИБ;
- За счет предотвращения и/или оперативного реагирования на инциденты ИБ ваша организация сможет снизить и полностью исключить ущерб от кибер-атак;
- Появится возможность получения данных для процессов анализа и управления рисками ИБ;
- Для снижения операционных затрат за счет автоматизации процессов обработки и управления событиями ИБ от различных источников;
- Для выполнения ретроспективного анализа инцидентов ИБ;
- Для проведения анализа эффективности принятых мер по ИБ;
- Для своевременного обнаружения несанкционированных изменений в информационных системах;
- Чтобы обнаружить слабые точки защиты;
- Для своевременного обнаружения факты корпоративного мошенничества;
- Для возможности формирования доказательной базы при расследовании инцидентов;
- Для своевременного обнаружения и реагирования на сбои в работе ИТ и ИБ-систем.