Moje knowledge base, pro Vás i pro mne. Ale také spousta blbin okolo.

SIEM

06.02.2015 10:23

SIEM 

(Security Information and Event Management) je management bezpečnostních informací a událostí. Současně řeší dříve různorodé kategorie:

 

SIM (Security Information Management) - zabývá se dlouhodobým ukládáním událostí, jejich analýzou a hlášením problémů.

SEM (Security Event Management) - zabývá se monitoringem infrastruktury, korelacemi událostí a alertováním v reálném čase.

Pojmy SIM, SEM a SIEM bývají často zaměňovány, přestože jsou významově i přínosem rozdílné.

 

Termín Security Information and Event Management roku 2005 vytvořili Mark Nicolett a Amrit Williams ze společnosti Gartner v souvislosti s popisem produktu schopného shromažďovat, analyzovat a prezentovat informace ze sítě a bezpečnostních zařízení, pomáhat spravovat identity a přístupy, ohrožená místa, shody s bezpečnostními politikami atd.

 

Schopnosti SIEM

Agregace dat - seskupení vybrané části určitých entit za účelem vytvoření nové entity. Jednotlivými entitami mohou být např. data z přepínačů, firewallů, serverů, počítačových stanic, databází, IDS/IPS, aplikací atd.

Korelace - nalézání vzájemných vztahů událostí, např. monitorování činnosti konkrétního uživatele, pohled na určité události v nějakém časovém intervalu atp.

Varování (alerting)

Informační panely, přehledové sestavy (dashboards)

Reportování shod (compliance)

Zachování, ukládání historických dat (logů)

SIEM technologie v reálném čase umožňuje analýzu bezpečnostních alertů, které generují síťová zařízení a aplikace. SIEM řešení zpravidla je postaveno na bázi aplikace, služeb a potřebného zařízení - tento základ konzumuje záznamy bezpečnostních dat (logy) a generuje reporty.

 

Cíle SIEM

Pružnější a rychlejší reakce na útoky

Úpěšnější detekce útoků

Zefektivnění správy infrastruktury

Získávání automaticky vytvářených statistik o infrastruktuře