Security Information and Event Management  (SIEM) to platforma, które gromadzi w jednym, centralnym miejscu logi oraz pomaga w pozyskaniu z nich istotnych informacji dla funkcjonowania organizacji jako całości. Logi gromadzone są z niemal dowolnych źródeł – sieć,  systemy bezpieczeństwa (firewall, IDS/IPS), aplikacje, bazy danych. Do samego składowania logów producenci nie rzadko wykorzystują dedykowane bazy danych między innymi po to, aby zapewnić do nich jak najszybszy dostęp.

W każdej organizacji wiele urządzeń czy aplikacji generuje w niemal każdej chwili tysiące a nierzadko setki tysięcy logów. Zapanowanie nad ogromem informacji, nawet gdy uda się je zebrać w jedno miejsce jest bardzo trudne a znalezienie interesującej nas informacji – graniczy z cudem. W praktyce więc do logów zagląda się sporadycznie i głównie wtedy, gdy coś się wydarzy. Reagowanie na bieżące incydenty i zapobieganie nim bez odpowiedniej pomocy, w postaci narzędzia informatycznego jest niemożliwe. Skuteczne zarządzanie i zapewnienie bezpieczeństwa w organizacji opiera się na kilku filarach.

Co można wyczytać z danych?

Po pierwsze konieczne jest aby połączyć w czasie rzeczywistym zdarzenia z konkretnymi danymi napływającymi z całości infrastruktury fizycznej oraz wirtualnej. Sam proces gromadzenia logów jest niezwykle ważny, ale kluczowe jest również aby określić, które zdarzenia się istotne z punktu widzenia bezpieczeństwa. Poprzez tzw. „mechanizmy korelacyjne” pozwala to na zawężenie liczby zdarzeń tylko do tych, które powinny być badane. Po drugie niezwykle istotna jest integracja z już posiadanymi technologiami bezpieczeństwa – firewall, systemy IDS/IPS i innych. Wykorzystując korelację można w przejrzysty sposób sprawdzić i powiązać dane zdarzenie z reakcją takiego systemu.

Z punktu widzenia zgodności, informacje te mogą być wykorzystane do sporządzenia raportów potwierdzających zgodność z przepisami, takimi jak GLBA, HIPAA, PCI, i wielu innych, w tym ścieżek audytu wskazując, kiedy raporty były oglądane i przez kogo. Z perspektywy operacyjnej bezpieczeństwa, informacje te mogą być wykorzystane do stworzenia zamkniętej pętli procesu obsługi incydentów, który w czasie rzeczywistym, alarmuje o  naruszeniach polityki i o samych zagrożeniach. Dodatkowym elementem jest możliwość monitorowania aktywności całej infrastruktury.

Po umieszczeniu w sieci system określa bazową aktywność, która jest typowa dla organizacji i poruszających się w jej obrębie użytkowników. Dostajemy w rezultacie powiadomienia, gdy zdarzenia są poza normą, np.  o kilku nieudanych próbach logowania do serwera finansowego. Kluczowym elementem całego rozwiązania jest możliwość przechowywania i utrzymania dużej ilości danych w zakresie bezpieczeństwa, które są zbierane. W tym celu system jest zintegrowany z systemami pamięci masowej aby efektywnie przechowywać i zarządzać informacją w całym jego cyklu życia.

Potrzebujesz więcej informacji?

Przejdź do zakładki dot. systemu i rozwiązań SIEM >

Zobacz kolejny artykuł pt. SIEM i SOC, czyli jak efektywnie zarządzać informacją >