Dəyişikliklərin auditi
Hadisələrin qeydiyyatı və dəyişikliklərin hesabatı prosesi yerli audit alətlərindən istifadə etməklə çətin və vaxt aparan olur. Mərkəzi konsol olmadığı üçün hər bir server üçün proses təkrarlanır və nəticədə böyük həcmdə məlumat və saysız-hesabsız hesabatlar əldə edilir. Bu o deməkdir ki, uyğunluğu sübut etmək və ya hadisələrə tez reaksiya vermək daimi bir problemdir. Hadisələr barədə təfərrüatlar kifayət deyildir və onları şərh etmək çətindir, bu səbəbdən, məlumat təhlükəsizliyiniz də risk altındadır. Nəticədə, çox gec olana qədər problemlərdən xəbərsiz ola bilərsiniz. Yerli qeydlər silinə bildiyi və ya yenidən yazıla bildiyi üçün, ilk növbədə audit tələblərinə zidd olaraq, jurnal məlumatlarının bütövlüyü pozula bilər.
Dəyişiklik Auditoru (Change Auditor) aləti real vaxt rejimində bütün dəyişiklikləri izləmək, yoxlamaq, hesabat vermək və xəbərdarlıq etməklə faylların və qovluqların təhlükəsizliyinə, uyğunluğuna və bütövlüyünə nəzarəti təmin etməyə kömək edir. Dəyişiklik Auditoru ilə idarəçilər mürəkkəblik və naməlum təhlükəsizlik narahatlıqlarından qorxmadan hadisələri və dəyişiklikləri izləyə, hesabat verə və təhlil edə bilər. Kimin nə vaxt, harada, hansı iş stansiyasından hansı dəyişikliyi etdiyi və bu dəyişikliyə aid bütün hadisələr dərhal bilinəcək. Daha sonra avtomatik olaraq ağıllı, dərin ekspertiza yarada və gündəlik dəyişikliklərlə bağlı riskləri azalda bilərsiniz.
SIEM proqram təminatı, sistemlər, cihazlar və ya bu elementlərin bəzi kombinasiyası vasitəsilə həyata keçirilir. Ümumiyyətlə, SIEM sisteminin altı əsas atributu var:
- Saxlama: Daha dolğun qərarlar qəbul etmək üçün məlumatların uzun müddət saxlanması.
- İdarə panelləri: Nümunələri və ya hədəf fəaliyyətini və ya normal nümunəyə uyğun gəlməyən məlumatları tanımaq cəhdində məlumatları təhlil etmək (və vizuallaşdırmaq) üçün istifadə olunur.
- Korrelyasiya: Məlumatları anlaşılan, oxşar və ümumi xüsusiyyətləri paylaşan paketlərə ayırır. Məqsəd məlumatları faydalı məlumata çevirməkdir.
- Xəbərdarlıq: Xəbərdarlıqlar və ya potensial təhlükəsizlik problemləri kimi müəyyən cavablara səbəb olan məlumatlar toplandıqda və ya müəyyən edildikdə SIEM alətləri idarə panelinə göndərilən bildirişlər, avtomatlaşdırılmış e-poçt və ya mətn mesajı kimi istifadəçiləri xəbərdar etmək üçün müəyyən protokolları aktivləşdirə bilər.
- Məlumatların Aqreqasiyası: SIEM tətbiq edildikdən sonra serverlər, şəbəkələr, verilənlər bazaları, proqram təminatı və e-poçt sistemləri daxil olmaqla istənilən sayda mənbədən məlumat toplana bilər. Aqreqator həmçinin məlumatların əlaqələndirilməsi və ya saxlanması üçün göndərilməzdən əvvəl birləşdirici resurs rolunu oynayır.
- Uyğunluq: SIEM-də təşkilat, standart və ya hökumət orqanlarının tələblərinə uyğunluq üçün lazım olan məlumatları avtomatik toplayan protokollar yaradıla bilər.