Menu
Wdrożenia SIEM
Wdrażamy systemy SIEM – Security Information Event Management
Co to jest SIEM?
Systemy Security Information and Event Management (SIEM) to kolejna linia bezpieczeństwa, której głównym zadaniem jest analiza i korelacja logów pochodzących z różnych urządzeń i systemów komputerowych.
SIEM to produkty i usługi, które łączą zarządzanie informacjami o bezpieczeństwie (SIM – Security Information Management) i zarządzanie zdarzeniami bezpieczeństwa (SEM – Security Event Management). Systemy klasy SIEM zapewniają analizę w czasie rzeczywistym alarmów bezpieczeństwa generowanych przez aplikacje i sprzęt sieciowy, zapisanych w logach lub przekazywanych w postaci komunikatów online.
Składniki SIEM?
SIEM to zestaw aplikacji, które:
- monitorują całą infrastrukturę sieciową oraz aplikacje, ze szczególnym uwzględnieniem systemów serwerowych,
- powiadamiają o zdarzeniach zidentyfikowanych jako anomalie bezpieczeństwa,
- gromadzą i agregują informacje pochodzące z różnych logów,
- są dostępne w postaci agentów instalowanych na serwerach, stacjach roboczych oraz odczytują zdalnie informacje z innych urządzeń,
- są zawarte najczęściej w jednym, spójnym produkcie.
Jak działa SIEM?
SIEM może być skonfigurowany jako centralny serwer logów. Taka konfiguracja gwarantuje najwyższą efektywność w zakresie analizy wykrywanych zdarzeń.
SIEM może w czasie rzeczywistym poddawać analizie wszystkie logi uruchamiając przy tym zestawienia informacji z logów z różnych systemów informatycznych.
W wyniku działania SIEM Administratorzy nie muszą już przeglądać logów ręcznie. Otrzymują przetworzoną informację o zagrożeniach oraz estymacji ryzyka związanego z wykrytymi nieprawidłowościami.
Agreguje dane
Koreluje dane
Powiadamia
Monitoruje
Przechowuje dane
Agreguje dane
SIEM łączy dane z różnych źródeł, przełączników sieciowych, firewall, routerów, serwerów, baz danych, serwerów WWW, stacji klienckich i innych aplikacji, aby wszystkie logi były w całości i w sposób nienaruszony w jednym, centralnym miejscu.
Koreluje dane
W wyniku korelacji analizowane są relacje pomiędzy zdarzeniami występującymi w logach różnych urządzeń i aplikacjach. Korelacja oparta jest o reguły, które automatyzują proces porównywania oraz przedstawiają wynik końcowy w postaci alertu.
Powiadamia
W wyniku zautomatyzowanej analizy korelowanych danych generowane są powiadomienia w przypadku odnalezienia zagrożenia lub anomalii. Alerty mogą być przekazywane wielu osobom w różnym zakresie oraz różnymi kanałami (SMS, mail, komunikat sieciowy).
Monitoruje
SIEM w czasie rzeczywistym przesyła do SOC (Security Operation Center – Centrum Zarządzania Bezpieczeństwem) zidentyfikowane zdarzenia, gdzie analitycy mają możliwość podjęcia akcji bez zbędnej zwłoki.
Przechowuje dane
Dzięki wysokiej retencji, możliwe jest przechowywanie logów przez bardzo długi czas (lub nawet bezterminowo) w celu odnalezienia w długiej jednostce czasu działań szkodliwych w posiadanych systemach informatycznych.