SIEM (Security Information and Event Management)

Rješenja

SIEM (Security Information and Event Management) rješenja postaju glavni dio sigurnosne infrastrukture svake organizacije. SIEM tehnološki projekti su tipično orijentirani na nekoliko većih slučajeva korištenja: izvještavanje o regulatornoj sukladnosti (npr. PCI DSS, ISO 27001,…), upravljanje prijetnjama, odgovaranje na incidente i forenziku. Unaprijeđenje izvještavanja o regulatornoj suglasnosti i identificiranje sigurnosnih incidenata su glavni razlozi postavljanja ovog rješenja.

SIEM je pojam, odnosno integrirano  informatičko rješenje sa sljedećim zadaćama:

  • Sakupljanje i arhiviranje podataka informatičkog sustava (sistemski zapisi, logovi, eventi)
  • Obrada i korelacija podataka
  • Alerting
  • Automatizirane akcije kako ih definiraju sigurnosna pravila i procedure
  • Forenzička analiza
  • Izvještavanje

Spektar proizvoda koji pokrivaju dio ili cjelovito područje SIEM-a kreće od sustava za sakupljanje i arhiviranje sistemskih zapisa (system logs) s osnovnim mogućnostima izvještavanja i alerting-a, do punokrvnih SIEM sustava koji podržavaju prikupljanje, analizu i korelaciju log podataka u realnom vremenu, te naprednih mogućnosti automatiziranih akcija i forenzičkih upita, drill-down analiza itd. Sva ta rješenja podržavaju dugotrajno spremanje sistemskih zapisa i izvještavanje nad prikupljenim podacima, te se jednostavno integriraju s postojećim mrežnim, sigurnosnim i infrastrukturnim aplikacijama i uređajima. Podržani su svi vodeći formati sistemskih zapisa (Windows Log, SysLog, SNMP, W3C, MS SQL Audit Log, Oracle Audit Log, IBM DB2 Audit Log, AS400 Audit Log,…).

SIEM rješenja također mogu nadzirati i korelirati događaje na aplikacijskoj razini ili transakcijske logove u svrhu otkrivanja kombinacija događaja koje su indikator prevara ili neovlaštenog korištenja sustava. Kritični događaji često ostaju neprimijećeni jer nema načina da se vidi uzročno-posljedična povezanost važnih događaja ili nema prikladnog procesa nadgledanja sustava. SIEM rješenje ne sprječava ili umanjuje napade samo po sebi, ali kada je instalirano kao dio veće sigurnosne infrastrukture onda može odigrati kritičnu ulogu u detekciji prijetnji, pravovremenoj reakciji i kasnijoj analizi.

IT Sistemi implementiraju vodeća Security Information and Event Management rješenja: