69

Что такое SIEM

SIEM (Security Information and Event Management) — решение для мониторинга и анализа любой сетевой активности, происходящей в организации.

Зачем вообще SIEM

По словам некоторых экспертов, SIEM представляет собой улучшенную систему обнаружения вредоносной активности и различных системных аномалий. Работа SIEM позволяет увидеть более полную картину активности сети и событий безопасности. Когда обычные средства обнаружения по отдельности не видят атаки, но она может быть обнаружена при тщательном анализе и корреляции информации из различных источников. Поэтому многие организации рассматривают использование SIEM-системы в качестве дополнительного и очень важного элемента защиты от целенаправленных атак.

SIEM = УЛУЧШЕННАЯ система обнаружения несанкционированных действий

SIEM собирает логи разных приложений, обрабатывает и кладет в централизованное хранилище, с которым удобно работать.

По утверждению Gartner, SIEM-система должна собирать, анализировать и представлять информацию из сетевых устройств и устройств безопасности.

Также в эту систему должны входить приложения для управления идентификацией и доступом, инструменты управления уязвимостями и базы данных и приложений.

Основные возможности SIEM решений

  • Возможность отправки предупреждений на основе предопределенных настроек.
  • Отчеты и логирование для упрощения аудита.
  • Возможность просмотра данных на разных уровнях детализации

Где может применяться SIEM

  • Везде, где из журналов событий можно извлечь полезную информацию.
  • Аудит доступа, контроль доступа к критичным ресурсам, оценка числа посетителей сайта, обнаружение malware, контроль физического доступа, оценка продаж, интересов потребителей, снижение числа ложных срабатываний, аудит финансовых показателей, анализ сетевой активности, контроль автоматизированных устройств (конвейерных лент).