Təhlükəsizlik məlumatlarının və hadisələrin idarə edilməsi (SIEM)

Təhlükəsizlik məlumatlarının və hadisələrin idarə edilməsi (SIEM) real vaxtda İT mühitində təhlükəsizlik hadisələrinin və ya insidentlərinin müəyyən edilməsi, monitorinqi, qeydə alınması və təhlili prosesidir. O, İT infrastrukturunun təhlükəsizlik ssenarisinin hərtərəfli və mərkəzləşdirilmiş görünüşünü təmin edir. Təhlükəsizlik insidentinin və hadisələrin idarə edilməsi (SIEM) təhlükəsizlik məlumatı hadisəsinin idarə edilməsi kimi də tanınır.

SIEM proqram təminatı, sistemlər, cihazlar və ya bu elementlərin bəzi kombinasiyası vasitəsilə həyata keçirilir. Ümumiyyətlə, SIEM sisteminin altı əsas atributu var:

- Saxlama: Daha dolğun qərarlar qəbul etmək üçün məlumatların uzun müddət saxlanması.

- İdarə panelləri: Nümunələri və ya hədəf fəaliyyətini və ya normal nümunəyə uyğun gəlməyən məlumatları tanımaq cəhdində məlumatları təhlil etmək (və vizuallaşdırmaq) üçün istifadə olunur.

- Korrelyasiya: Məlumatları anlaşılan, oxşar və ümumi xüsusiyyətləri paylaşan paketlərə ayırır. Məqsəd məlumatları faydalı məlumata çevirməkdir.

- Xəbərdarlıq: Xəbərdarlıqlar və ya potensial təhlükəsizlik problemləri kimi müəyyən cavablara səbəb olan məlumatlar toplandıqda və ya müəyyən edildikdə SIEM alətləri idarə panelinə göndərilən bildirişlər, avtomatlaşdırılmış e-poçt və ya mətn mesajı kimi istifadəçiləri xəbərdar etmək üçün müəyyən protokolları aktivləşdirə bilər.

- Məlumatların Aqreqasiyası: SIEM tətbiq edildikdən sonra serverlər, şəbəkələr, verilənlər bazaları, proqram təminatı və e-poçt sistemləri daxil olmaqla istənilən sayda mənbədən məlumat toplana bilər. Aqreqator həmçinin məlumatların əlaqələndirilməsi və ya saxlanması üçün göndərilməzdən əvvəl birləşdirici resurs rolunu oynayır.

- Uyğunluq: SIEM-də təşkilat, standart və ya hökumət orqanlarının tələblərinə uyğunluq üçün lazım olan məlumatları avtomatik toplayan protokollar yaradıla bilər.

Zəiflik skanları şəbəkə xaricindən və ya şəbəkə daxilindən həyata keçirilə bilər. Təşkilatlar birbaşa internetdən əldə edilə bilən server və proqramların hücumlarına məruz qalmasını müəyyən etmək üçün şəbəkə perimetri xaricində xarici skanlar həyata keçirə bilər. Eyni zamanda, daxili zəiflik skanları nəzəri olaraq hakerlərin yerli şəbəkəyə daxil olduğu halda müxtəlif sistemlərə və serverlərə hücuma keçmək üçün istifadə edə biləcəyi qüsurları müəyyən etmək məqsədi daşıyır.

Ödəniş Kartları üzrə PCI-DSS standartı kimi bəzi beynəlxalq standartlar təşkilatlardan rüblük olaraq həm xarici, həm də daxili zəifliyin skan edilməsini tələb edir, həmçinin hər dəfə yeni sistemlər və ya komponentlər quraşdırıldıqda şəbəkə topologiyası dəyişir, firewall qaydaları dəyişdirilir və ya müxtəlif proqram məhsulları təkmilləşdirilir.