SIEM- zarządzanie incydentami
Podstawowym źródłem wiedzy są logi generowane przez systemy, urządzenia i aplikacje. Ich zbieranie i analiza stają się również coraz częściej wymogiem licznych standardów i regulacji związanych z bezpieczeństwem takich jak PCI DSS lub SOX.
By sprostać tym wymogom powstały produkty klasy SIEM. Systemy takie umożliwiają między innymi:
- zbieranie, zapisywanie i zabezpieczenie przed modyfikacją logów w postaci jednego repozytorium danych,
- raportowanie na podstawie zebranych logów i informacji pochodzących z innych systemów,
- alarmowanie o wszystkich zdarzeniach niosących potencjalne zagrożenia, również na podstawie symptomów pochodzących z różnych źródeł informacji poprzez narzędzia korelacyjne.
Poprawnie wdrożony SIEM pozwoli administratorom m.in.:
- identyfikować i analizować incydenty związane z atakami oraz nadużyciami popełnionymi przez użytkowników,
- wykrywać infekcje złośliwego oprogramowania,
- identyfikować awarie i problemy występujące w infrastrukturze,
- monitorować zmiany w konfiguracji i wymuszać stosowanie procedur związanych z zarządzaniem zmianą,
- ocenić efektywność wdrożonych technologii zabezpieczeń.
Wartość informacji zebranej przez SIEM można znacząco zwiększyć poprzez zapewnienie zaawansowanej integracji pomiędzy nim, a innymi rozwiązaniami służącymi do zarządzania bezpieczeństwa, takimi jak:
- IDM/PIM – systemy służące do zarządzania tożsamością/kontami uprzywilejowanymi, mogą wzbogacić czytelność raportów i alarmów oraz przed wszystkim poprawić możliwości korelacji zdarzeń z uwzględnieniem kontekstu tożsamości,
- DAM – specjalistyczne systemy monitorowania baz danych dostarczają informacji o dużej wyższej jakości niż standardowe logi z DBMS,
- VA/VM – narzędzia oceny podatności (zarządzania podatnościami) pozwalają na wyeliminowanie wielu fałszywych alarmów, równocześnie umożliwiają ocenę wpływu incydentu na bezpieczeństwo sieci i komputerów,
- NBA/UBA – rozszerzają pole obserwacji o zdarzenia sieciowe oraz zdarzenia związane z szeroko pojętą aktywnością użytkowników, nieodzwierciedlone w logach i stanowią niezwykle skuteczne narzędzie wykrywania działalności złośliwego oprogramowania,
- DLP – pozwalają na uwzględnienie w analizie informacji związanej ze zdarzeniem, co ma ogromne znaczenie do oceny znaczenia danego incydentu.