Security Information and Event Management
Security Information and Event Management (SIEM) je management bezpečnostních informací a událostí. Současně řeší dříve různorodé kategorie:
- SIM (Security Information Management), které se zabývá dlouhodobým ukládáním událostí, jejich analýzou a hlášením problémů,
- SEM (Security Event Management), jež se zabývá monitoringem infrastruktury, korelacemi událostí a alertováním v reálném čase.
Pojmy SIM, SEM a SIEM bývají často zaměňovány, přestože jsou významově i přínosem rozdílné.
Termín Security Information and Event Management roku 2005 vytvořili Mark Nicolett a Amrit Williams ze společnosti Gartner v souvislosti s popisem produktu schopného shromažďovat, analyzovat a prezentovat informace ze sítě a bezpečnostních zařízení, pomáhat spravovat identity a přístupy, ohrožená místa, shody s bezpečnostními politikami atd.
Schopnosti SIEM
- Agregace dat – seskupení vybrané části určitých entit za účelem vytvoření nové entity. Jednotlivými entitami mohou být např. data z přepínačů, firewallů, serverů, počítačových stanic, databází, IDS/IPS, aplikací atd.
- Korelace – nalézání vzájemných vztahů událostí, např. monitorování činnosti konkrétního uživatele, pohled na určité události v nějakém časovém intervalu atp.
- Varování (alerting)
- Informační panely, přehledové sestavy (dashboards)
- Reportování shod (compliance)
- Zachování, ukládání historických dat (logů)
SIEM technologie v reálném čase umožňuje analýzu bezpečnostních alertů, které generují síťová zařízení a aplikace. SIEM řešení zpravidla je postaveno na bázi aplikace, služeb a potřebného zařízení – tento základ konzumuje záznamy bezpečnostních dat (logy) a generuje reporty.
Cíle
- Pružnější a rychlejší reakce na útoky
- Úspěšnější detekce útoků
- Zefektivnění správy infrastruktury
- Získávání automaticky vytvářených statistik o infrastruktuře