Rozwiązania bezpieczeństwa IT

SIEM – czyli wykrywanie zagrożeń oraz reagowanie na incydenty związane z zagrożeniem bezpieczeństwa

Czas czytania: 3 min

Wiele firm dąży do osiągnięcia lepszych zabezpieczeń w taki sposób, w jaki niektórzy ludzie podchodzą do osiągnięcia lepszej kondycji. Wydają dużo pieniędzy kupując produkty, podobnie jak osoby kupujące drogie członkostwo w klubie fitness. Jeżeli firma prawidłowo nie wdroży rozwiązania i nie popracuje nad nim, system zawiedzie – podobnie będzie z niewykorzystanym karnetem. Opłacenie nie jest pierwszym krokiem, który zagwarantuje wynik. Żeby cieszyć się z efektów, konieczne jest, abyś skupił się na podstawach i poznaniu każdego rozwiązania.

SIEM – kluczowe korzyści 

SIEM definiuje się jako zespół złożonych technologii, które razem zapewniają widok z lotu ptaka na infrastrukturę.

  • zapewnia scentralizowane zarządzanie zdarzeniami bezpieczeństwa
  • koreluje i normalizuje kontekst alertów
  • zapewnia korelację i normalizację kontekstu oraz alertów
  • raportuje wszystkie pochłonięte dane
  • pobiera dane z praktycznie dowolnego dostawcy lub aplikacji zewnętrznych

Rozwiązanie to pomaga Ci spojrzeć na sieć jak przez szkło powiększające, w porównaniu do pojedynczego rozwiązania, na przykład:

  • System zarządzania aktywami wyświetla tylko aplikacje, procesy biznesowe i kontakty administracyjne
  • Wykrywania włamań (IDS) rozpoznaje tyko pakiety, protokoły i adresy IP
  • System Endpoint Security wyświetla tylko pliki, nazwy użytkowników i hosty
  • Dzienniki serwisowe pokazują sesje użytkowników, transakcje w bazach danych i zmiany konfiguracji
  • Systemy monitorowania integralności plików (FIM) odnotowują tylko zmiany w plikach i ustawieniach rejestru

Żadna z tych technologii sama w sobie nie powie Ci, co dzieje się z Twoja firmową siecią. Stąd właśnie tak wielkie zainteresowanie SIEM w firmach niemal każdej wielkości. 

Warto wyjaśnić sobie kilka terminów. Mimo, że przemysł ustosunkował się do terminu SIEM jako uniwersalnego określenia dla takiego typu oprogramowania, ewoluował on z kilku różnych, ale uzupełniających się technologii:

LMSLog Management System – system, który zbiera i przechowuje pliki dziennika z wielu hostów i systemów w jednym miejscu, umożliwiając scentralizowany dostęp do dzienników, zamiast uzyskiwania dostępu do każdego systemu indywidualnie.

SLM/SEMZarządzanie dziennikami bezpieczeństwa – polega na zaznaczaniu wpisów w logach, jako bardziej istotnych dla bezpieczeństwa niż inne.

SIMZarządzanie informacjami o bezpieczeństwie – system zarządzania zasobami, ale z funkcjami, które zawierają również informacje o zabezpieczeniach; hosty mogą wyświetlać raporty o podatności w swoich podsumowaniach, powiadomienia o wykryciu intruzów i antywirusie mogą być wyświetlane w mapach dla systemów.

SIEMZarządzanie informacjami o bezpieczeństwie i zdarzeniami – SIEM to opcja wszystkie powyższe elementy, ponieważ wyżej wymienione technologie zostają połączone w pojedynczy produkt.

SIEM zajmuje się gromadzeniem dzienników, mapowaniem informacji o infrastrukturze i procesach biznesowych. Umożliwia analitykom bezpieczeństwa przeprowadzanie uzasadnionych, świadomych dochodzeń odnośnie działań w sieci. Po to aby określić ich wpływ na integralność bezpieczeństwa i ciągłość działania.

Nowoczesne systemy SIEM docenione w kwadracie Gartnera

Raporty wydawane przez niezależną firmę badawczą Gartner, zawsze budzą wiele emocji, a informatycy polegają na ich wynikach podczas wyboru najlepszych rozwiązań dla swojej infrastruktury. W raporcie z maja ubiegłego roku, rozwiązania SIEM określono jako innowacyjne i poruszające się technologicznie do przodu w zawrotnym tempie. Raport wskazuje również, że producenci SIEM coraz częściej stawiają w swoich produktach na maszynowe uczenie się i analizę statystyczną na wysokim poziomie.





Dodaj komentarz