Wdrożenia SIEM

Security Information Event Management

Wdrażamy systemy SIEM

Dlaczego to my powinniśmy wdrożyć SIEM?

Co to jest SIEM?

Systemy Security Information and Event Management (SIEM) to kolejna linia bezpieczeństwa, której głównym zadaniem jest analiza i korelacja logów pochodzących z różnych urządzeń i systemów komputerowych.

SIEM to produkty i usługi, które łączą zarządzanie informacjami o bezpieczeństwie (SIM – Security Information Management) i zarządzanie zdarzeniami bezpieczeństwa (SEM – Security Event Management). Systemy klasy SIEM zapewniają analizę w czasie rzeczywistym alarmów bezpieczeństwa generowanych przez aplikacje i sprzęt sieciowy, zapisanych w logach lub przekazywanych w postaci komunikatów online.

Składniki SIEM?

SIEM to zestaw aplikacji, które:

  • monitorują całą infrastrukturę sieciową oraz aplikacje, ze szczególnym uwzględnieniem systemów serwerowych,
  • powiadamiają o  zdarzeniach zidentyfikowanych jako anomalie bezpieczeństwa,
  • gromadzą i agregują informacje pochodzące z różnych logów,
  • są dostępne w postaci agentów instalowanych na serwerach, stacjach roboczych oraz odczytują zdalnie informacje z innych urządzeń,
  • są zawarte najczęściej w jednym, spójnym produkcie.
Jak działa SIEM?

SIEM może być skonfigurowany jako centralny serwer logów. Taka konfiguracja gwarantuje najwyższą efektywność w zakresie analizy wykrywanych zdarzeń.

SIEM może w czasie rzeczywistym poddawać analizie wszystkie logi uruchamiając przy tym zestawienia informacji z logów z różnych systemów informatycznych.

W wyniku działania SIEM Administratorzy nie muszą już przeglądać logów ręcznie. Otrzymują przetworzoną informację o zagrożeniach oraz estymacji ryzyka związanego z wykrytymi nieprawidłowościami.

Cechy SIEM

SIEM łączy dane z różnych źródeł, przełączników sieciowych, firewall, routerów, serwerów, baz danych, serwerów WWW, stacji klienckich i innych aplikacji, aby wszystkie logi były w całości i w sposób nienaruszony w jednym, centralnym miejscu.

W wyniku korelacji analizowane są relacje pomiędzy zdarzeniami występującymi w logach różnych urządzeń i aplikacjach. Korelacja oparta jest o reguły, które automatyzują proces porównywania oraz przedstawiają wynik końcowy w postaci alertu.

W wyniku zautomatyzowanej analizy korelowanych danych generowane są powiadomienia w przypadku odnalezienia zagrożenia lub anomalii.  Alerty mogą być przekazywane wielu osobom w różnym zakresie oraz różnymi kanałami (SMS, mail, komunikat sieciowy).

SIEM w czasie rzeczywistym przesyła do SOC (Security Operation Center – Centrum Zarządzania Bezpieczeństwem) zidentyfikowane zdarzenia, gdzie analitycy mają możliwość podjęcia akcji bez zbędnej zwłoki.

Dzięki wysokiej retencji, możliwe jest przechowywanie logów przez bardzo długi czas (lub nawet bezterminowo) w celu odnalezienia w długiej jednostce czasu działań szkodliwych w posiadanych systemach informatycznych.