Управление информацией и событиями безопасности (SIEM)
Управление информацией и событиями безопасности (Security information and event management, SIEM) — это процесс выявления, мониторинга, записи и анализа событий или инцидентов безопасности в ИТ-среде в режиме реального времени. Он обеспечивает комплексное и централизованное представление сценария безопасности ИТ-инфраструктуры. Управление инцидентами и событиями безопасности также известно, как управление событиями безопасности.
SIEM реализуется с помощью программного обеспечения, систем, устройств или некоторой комбинации этих элементов. В целом, существует шесть основных атрибутов системы SIEM:
- Хранение: хранение данных в течение длительного времени, чтобы можно было принимать решения на основе более полных наборов данных.
- Инструментальные панели: используются для анализа (и визуализации) данных в попытке распознать шаблоны или целевые действия, или данные, которые не вписываются в обычный шаблон.
- Корреляция: сортирует данные по пакетам, которые являются значимыми, похожими и имеют общие черты. Цель состоит в том, чтобы превратить данные в полезную информацию.
- Оповещение: когда данные собираются или идентифицируются, которые вызывают определенные реакции, такие как оповещения или потенциальные проблемы безопасности, инструменты SIEM могут активировать определенные протоколы для оповещения пользователей, например, уведомления, отправляемые на панель управления, автоматическое электронное или текстовое сообщение.
- Агрегация данных: после внедрения SIEM данные можно собирать с любого количества систем, включая серверы, сети, базы данных, программное обеспечение и системы электронной почты. Агрегатор также служит в качестве консолидирующего ресурса перед отправкой данных для сопоставления или сохранения.
- Соответствие: в SIEM могут быть установлены протоколы, которые автоматически собирают данные, необходимые для соблюдения политики компании, организации или государства.