Wdrożenia SIEM
Co to jest SIEM?
Systemy Security Information and Event Management (SIEM) to kolejna linia bezpieczeństwa, której głównym zadaniem jest analiza i korelacja logów pochodzących z różnych urządzeń i systemów komputerowych.
SIEM to produkty i usługi, które łączą zarządzanie informacjami o bezpieczeństwie (SIM – Security Information Management) i zarządzanie zdarzeniami bezpieczeństwa (SEM – Security Event Management). Systemy klasy SIEM zapewniają analizę w czasie rzeczywistym alarmów bezpieczeństwa generowanych przez aplikacje i sprzęt sieciowy, zapisanych w logach lub przekazywanych w postaci komunikatów online.
Składniki SIEM?
SIEM to zestaw aplikacji, które:
- monitorują całą infrastrukturę sieciową oraz aplikacje, ze szczególnym uwzględnieniem systemów serwerowych,
- powiadamiają o zdarzeniach zidentyfikowanych jako anomalie bezpieczeństwa,
- gromadzą i agregują informacje pochodzące z różnych logów,
- są dostępne w postaci agentów instalowanych na serwerach, stacjach roboczych oraz odczytują zdalnie informacje z innych urządzeń,
- są zawarte najczęściej w jednym, spójnym produkcie.
Jak działa SIEM?
SIEM może być skonfigurowany jako centralny serwer logów. Taka konfiguracja gwarantuje najwyższą efektywność w zakresie analizy wykrywanych zdarzeń.
SIEM może w czasie rzeczywistym poddawać analizie wszystkie logi uruchamiając przy tym zestawienia informacji z logów z różnych systemów informatycznych.
W wyniku działania SIEM Administratorzy nie muszą już przeglądać logów ręcznie. Otrzymują przetworzoną informację o zagrożeniach oraz estymacji ryzyka związanego z wykrytymi nieprawidłowościami.