SIEM, czyli Security Information and Event Management, to zarządzanie informacją i zdarzeniami bezpieczeństwa. Systemy SIEM pozwalają wykryć wszelkiego rodzaju anomalie, zagrożenia lub próby ataku, zbierając dane w jednym miejscu. Po przeprowadzeniu analizy generują spójny raport z wnioskami i rekomendacjami „na jednym ekranie”.

SIEM wg Gartner (definicja)

Technologia zarządzania informacjami i zdarzeniami dotyczącymi bezpieczeństwa (SIEM) wspiera wykrywanie zagrożeń, zarządzanie zgodnością i incydentami związanymi z bezpieczeństwem poprzez zbieranie i analizę (zarówno w czasie zbliżonym do rzeczywistego, jak i historycznych) zdarzeń związanych z bezpieczeństwem, a także szerokiej gamy innych źródeł danych o zdarzeniach i danych kontekstowych. Podstawowe możliwości to szeroki zakres gromadzenia i zarządzania zdarzeniami w dziennikach, możliwość analizowania zdarzeń z dzienników i innych danych z różnych źródeł oraz możliwości operacyjne (takie jak zarządzanie incydentami, pulpity nawigacyjne i raportowanie).

Najważniejsze funkcjonalności SIEM

1. Agregacja informacji
2. Monitoring środowisk lokalnych i chmurowych w czasie rzeczywistym
3. Zarządzanie zdarzeniami
4. Monitoring aktywności użytkowników
5. Korelacja zdarzeń
6. Analiza zagrożeń
7. Zaawansowane narzędzia wykrywania zagrożeń
8. Biblioteka gotowych modułów

Jak działa SIEM?

System SIEM opierają swoje działanie na zbieraniu informacji z całej organizacji, zarządzaniu logami z wielu urządzeń, ich analizie oraz archiwizacji. Pod tymi działaniami kryje się wiele procesów i akcji, w tym m.in. gromadzenie, analizowanie, filtrowanie, korelowanie i priorytetyzowanie. Efektem tych działań jest spójny, całościowy raport. Dzięki któremu zespół ds. bezpieczeństwa może, bez zbędnych dodatkowych programów czy urządzeń, ocenić poziom bezpieczeństwa danych w firmie. W raporcie znajdą się czytelne ostrzeżenia i alerty na temat podejrzanych działań i zachowań w sieci komputerowej.

Dlaczego SIEM?

Systemy SIEM to kompleksowe platformy, które agregują dane, analizują je i korelują ze sobą poszczególne zdarzenia. Efektem tych działań jest przejrzysty raport „na jednym ekranie” z potencjalnych zagrożeń w firmie. SIEM analizują nie tylko środowiska lokalne, ale i chmurowe, odciążając tym samym działy IT i analityków ds. bezpieczeństwa, którzy poświęciliby na te zadania setki godzin, nie osiągając przy tym niestety dokładności systemów SIEM. Zamiast tego, mogą się oni skupić na ulepszeniu środków ochrony danych firmowych i podniesieniu poziomu bezpieczeństwa, reagując jedynie na priorytetowe zgłoszenia z raportów generowanych przez SIEM.

Komu potrzebny jest SIEM?

Systemy SIEM dedykowane są przede wszystkim dużym sieciom, które przetwarzają ogromne ilości danych i wykorzystywane są do celów biznesowych. Przykładami organizacji, które wdrażają SIEM są banki, uniwersytety, duże korporacje, międzynarodowe firmy, a nawet organizacje wojskowe. Nie oznacza to jednak, że średnie i duże przedsiębiorstwa nie potrzebują wdrożyć systemu SIEM. Wszystkie firmy, które przetwarzają duże ilości danych i są narażone na ataki z zewnątrz, powinny rozważyć SIEM, jako narzędzie pomagające utrzymać kontrolę nad bezpieczeństwem IT.