SIEM (Security information and event management, «управление событиями и информацией о безопасности») — класс программных продуктов, предназначенных для сбора и анализа информации о событиях безопасности.
SIEM — это, по сути, объединение классов SEM (Security Event Management, «управление событиями безопасности») и SIM (Security Information Management, «управление информацией о безопасности»). Решения SEM используются для мониторинга событий безопасности в реальном времени. Системы SIM, в свою очередь, отвечают за долгосрочное хранение и анализ данных с различных объектов инфраструктуры организации. SIEM-решения выполняют обе эти задачи.
Функциональность SIEM-систем
В задачи SIEM-систем входит:
- В реальном времени отслеживать сигналы тревоги, поступающие от сетевых устройств и приложений.
- Обрабатывать полученные данные и находить взаимосвязи между ними.
- Выявлять отклонения от нормального поведения контролируемых систем.
- Оповещать операторов об обнаруженных инцидентах.
В классическом понимании SIEM-системы только собирают и обрабатывают данные, а также оповещают оператора о возможной опасности. Блокирование подозрительных процессов, помещение файлов на карантин и прочие меры реагирования в их задачи не входят. Однако в последнее время под термином SIEM часто объединяют как системы сбора и обработки данных, так и системы, позволяющие затем реагировать на полученную информацию и предпринимать активные действия.
Применение SIEM-решений
При помощи SIEM ИБ-специалисты могут выявить кибератаки и нарушения политик безопасности на ранних стадиях и минимизировать ущерб от них. Также решения SIEM помогают оценить защищенность информационных систем и актуальные для предприятия риски. Кроме того, полученные от SIEM-систем данные используются при расследовании инцидентов и для формирования отчетности.
Сбор данных в SIEM-системах
Решения SIEM могут собирать данные о событиях безопасности четырьмя способами: с помощью специальных приложений (этот метод используется чаще всего), напрямую из файлов с логами, напрямую с сетевых устройств или с помощью протоколов потоковой передачи данных, например SNMP, Netflow или IPFIX.
В качестве источников информации для SIEM-решений могут выступать:
- антивирусные программы;
- системы авторизации и аутентификации;
- межсетевые экраны, брандмауэры;
- журналы сетевого оборудования, серверов и рабочих станций;
- контроллеры домена;
- системы обнаружения и предотвращения вторжений (IDS/IPS);
- системы предотвращения утечки информации (DLP);
- решения для контроля активов и инвентаризации.