Təhlükəsizlik məlumatlarının və hadisələrin idarə edilməsi (SIEM)
Təhlükəsizlik məlumatlarının və hadisələrin idarə edilməsi (SIEM) real vaxtda İT mühitində təhlükəsizlik hadisələrinin və ya insidentlərinin müəyyən edilməsi, monitorinqi, qeydə alınması və təhlili prosesidir. O, İT infrastrukturunun təhlükəsizlik ssenarisinin hərtərəfli və mərkəzləşdirilmiş görünüşünü təmin edir. Təhlükəsizlik insidentinin və hadisələrin idarə edilməsi (SIEM) təhlükəsizlik məlumatı hadisəsinin idarə edilməsi kimi də tanınır.
SIEM proqram təminatı, sistemlər, cihazlar və ya bu elementlərin bəzi kombinasiyası vasitəsilə həyata keçirilir. Ümumiyyətlə, SIEM sisteminin altı əsas atributu var:
- Saxlama: Daha dolğun qərarlar qəbul etmək üçün məlumatların uzun müddət saxlanması.
- İdarə panelləri: Nümunələri və ya hədəf fəaliyyətini və ya normal nümunəyə uyğun gəlməyən məlumatları tanımaq cəhdində məlumatları təhlil etmək (və vizuallaşdırmaq) üçün istifadə olunur.
- Korrelyasiya: Məlumatları anlaşılan, oxşar və ümumi xüsusiyyətləri paylaşan paketlərə ayırır. Məqsəd məlumatları faydalı məlumata çevirməkdir.
- Xəbərdarlıq: Xəbərdarlıqlar və ya potensial təhlükəsizlik problemləri kimi müəyyən cavablara səbəb olan məlumatlar toplandıqda və ya müəyyən edildikdə SIEM alətləri idarə panelinə göndərilən bildirişlər, avtomatlaşdırılmış e-poçt və ya mətn mesajı kimi istifadəçiləri xəbərdar etmək üçün müəyyən protokolları aktivləşdirə bilər.
- Məlumatların Aqreqasiyası: SIEM tətbiq edildikdən sonra serverlər, şəbəkələr, verilənlər bazaları, proqram təminatı və e-poçt sistemləri daxil olmaqla istənilən sayda mənbədən məlumat toplana bilər. Aqreqator həmçinin məlumatların əlaqələndirilməsi və ya saxlanması üçün göndərilməzdən əvvəl birləşdirici resurs rolunu oynayır.
- Uyğunluq: SIEM-də təşkilat, standart və ya hökumət orqanlarının tələblərinə uyğunluq üçün lazım olan məlumatları avtomatik toplayan protokollar yaradıla bilər.