SIEM- zarządzanie incydentami

Podstawowym źródłem wiedzy są logi generowane przez systemy, urządzenia i aplikacje. Ich zbieranie i analiza stają się również coraz częściej wymogiem licznych standardów i regulacji związanych z bezpieczeństwem takich jak PCI DSS lub SOX.

By sprostać tym wymogom powstały produkty klasy SIEM. Systemy takie umożliwiają między innymi:

  • zbieranie, zapisywanie i zabezpieczenie przed modyfikacją logów w postaci jednego repozytorium danych,
  • raportowanie na podstawie zebranych logów i informacji pochodzących z innych systemów,
  • alarmowanie o wszystkich zdarzeniach niosących potencjalne zagrożenia, również na podstawie symptomów pochodzących z różnych źródeł informacji poprzez narzędzia korelacyjne.

Poprawnie wdrożony SIEM pozwoli administratorom m.in.:

  • identyfikować i analizować incydenty związane z atakami oraz nadużyciami popełnionymi przez użytkowników,
  • wykrywać infekcje złośliwego oprogramowania,
  • identyfikować awarie i problemy występujące w infrastrukturze,
  • monitorować zmiany w konfiguracji i wymuszać stosowanie procedur związanych z zarządzaniem zmianą,
  • ocenić efektywność wdrożonych technologii zabezpieczeń.

Wartość informacji zebranej przez SIEM można znacząco zwiększyć poprzez zapewnienie zaawansowanej integracji pomiędzy nim, a innymi rozwiązaniami służącymi do zarządzania bezpieczeństwa, takimi jak:

  • IDM/PIM – systemy służące do zarządzania tożsamością/kontami uprzywilejowanymi, mogą wzbogacić czytelność raportów i alarmów oraz przed wszystkim poprawić możliwości korelacji zdarzeń z uwzględnieniem kontekstu tożsamości,
  • DAM – specjalistyczne systemy monitorowania baz danych dostarczają informacji o dużej wyższej jakości niż standardowe logi z DBMS,
  • VA/VM – narzędzia oceny podatności (zarządzania podatnościami) pozwalają na wyeliminowanie wielu fałszywych alarmów, równocześnie umożliwiają ocenę wpływu incydentu na bezpieczeństwo sieci i komputerów,
  • NBA/UBA – rozszerzają pole obserwacji o zdarzenia sieciowe oraz zdarzenia związane z szeroko pojętą aktywnością użytkowników, nieodzwierciedlone w logach i stanowią niezwykle skuteczne narzędzie wykrywania działalności złośliwego oprogramowania,
  • DLP – pozwalają na uwzględnienie w analizie informacji związanej ze zdarzeniem, co ma ogromne znaczenie do oceny znaczenia danego incydentu.