SIEM (Security information and event management)

SIEM (Security information and event management, «управление событиями и информацией о безопасности») — класс программных продуктов, предназначенных для сбора и анализа информации о событиях безопасности.

SIEM — это, по сути, объединение классов SEM (Security Event Management, «управление событиями безопасности») и SIM (Security Information Management, «управление информацией о безопасности»). Решения SEM используются для мониторинга событий безопасности в реальном времени. Системы SIM, в свою очередь, отвечают за долгосрочное хранение и анализ данных с различных объектов инфраструктуры организации. SIEM-решения выполняют обе эти задачи.

Функциональность SIEM-систем

В задачи SIEM-систем входит:

  • В реальном времени отслеживать сигналы тревоги, поступающие от сетевых устройств и приложений.
  • Обрабатывать полученные данные и находить взаимосвязи между ними.
  • Выявлять отклонения от нормального поведения контролируемых систем.
  • Оповещать операторов об обнаруженных инцидентах.

В классическом понимании SIEM-системы только собирают и обрабатывают данные, а также оповещают оператора о возможной опасности. Блокирование подозрительных процессов, помещение файлов на карантин и прочие меры реагирования в их задачи не входят. Однако в последнее время под термином SIEM часто объединяют как системы сбора и обработки данных, так и системы, позволяющие затем реагировать на полученную информацию и предпринимать активные действия.

Применение SIEM-решений

При помощи SIEM ИБ-специалисты могут выявить кибератаки и нарушения политик безопасности на ранних стадиях и минимизировать ущерб от них. Также решения SIEM помогают оценить защищенность информационных систем и актуальные для предприятия риски. Кроме того, полученные от SIEM-систем данные используются при расследовании инцидентов и для формирования отчетности.

Сбор данных в SIEM-системах

Решения SIEM могут собирать данные о событиях безопасности четырьмя способами: с помощью специальных приложений (этот метод используется чаще всего), напрямую из файлов с логами, напрямую с сетевых устройств или с помощью протоколов потоковой передачи данных, например SNMP, Netflow или IPFIX.

В качестве источников информации для SIEM-решений могут выступать:

 

Публикации на схожие темы