SIEM
SIEM (Security Information and Event
Management) je management bezpečnostních informací a událostí. Současně řeší
dříve různorodé kategorie:
SIM (Security Information Management) - zabývá se dlouhodobým ukládáním
událostí, jejich analýzou a hlášením problémů.
SEM (Security Event
Management) - zabývá se monitoringem infrastruktury, korelacemi událostí a
alertováním v reálném čase.
Pojmy SIM, SEM a SIEM bývají často zaměňovány,
přestože jsou významově i přínosem rozdílné.
Termín Security Information and Event Management roku 2005 vytvořili Mark Nicolett a Amrit Williams ze společnosti Gartner v souvislosti s popisem produktu schopného shromažďovat, analyzovat a prezentovat informace ze sítě a bezpečnostních zařízení, pomáhat spravovat identity a přístupy, ohrožená místa, shody s bezpečnostními politikami atd.
Schopnosti SIEM
Agregace dat - seskupení vybrané části určitých entit za
účelem vytvoření nové entity. Jednotlivými entitami mohou být např. data z
přepínačů, firewallů, serverů, počítačových stanic, databází, IDS/IPS, aplikací
atd.
Korelace - nalézání vzájemných vztahů událostí, např. monitorování
činnosti konkrétního uživatele, pohled na určité události v nějakém časovém
intervalu atp.
Varování (alerting)
Informační panely, přehledové sestavy
(dashboards)
Reportování shod (compliance)
Zachování, ukládání
historických dat (logů)
SIEM technologie v reálném čase umožňuje analýzu
bezpečnostních alertů, které generují síťová zařízení a aplikace. SIEM řešení
zpravidla je postaveno na bázi aplikace, služeb a potřebného zařízení - tento
základ konzumuje záznamy bezpečnostních dat (logy) a generuje reporty.
Cíle SIEM
Pružnější a rychlejší reakce na útoky
Úspěšnější detekce útoků
Zefektivnění správy infrastruktury
Získávání automaticky vytvářených
statistik o infrastruktuře