Управление информацией и событиями безопасности

Что это?

SIEM – система безопасности, построенная на управлении и корреляции событий, собранных из подключенных информационных систем (источников). Если глобально смотреть, можно представить SIEM как систему, которая собирает всю сетевую активность в одном месте в виде понятного набора данных. Термин был придуман компанией Gartner в далеком, по меркам информационных технологий, 2005 году. Однако, за прошедшее время, как понятие, так и функции SIEM претерпели большое количество изменений. SIEM собирает все созданные логи и статистику, и сохраняет их в едином хранилище. Размер хранилища на прямую зависит от нужд конкретной системы.

Как это работает?

На основе собранных данных система производит аналитику и может выдавать события и зависимости формирующие инциденты информационной безопасности.

Главное - SIEM система напрямую не будет противодействовать хакерам, однако она анализирует большое количество входящей информации и предоставляет отчет и доводы о не безопасности определенной области, уведомляя пользователя. Таким образом, SIEM нужно добавлять в комплексный подход для обеспечения безопасности сети.

Решение.

Кроме всего прочего, внедряя SIEM систему, требуется учитывать инфраструктуру компании в каждом конкретном случае, установленную систему безопасности, а также архитектуру сети. Правильно настроенная система, с правилами корреляции событий, позволяет администратору реагировать только на действительно важные события и инциденты исключая массу ложноположительных срабатываний. Основной идеей таких систем является возможность передачи на них всех рутинных процессов и возможность принимать решения по уровню угрозы.

ПОДИСЫВАЙТЕСЬ

ООО Юнидев, Беларусь, Минск

Поддержка: +375 (17) 377 56 20