Security Information and Event Management to system do identyfikacji, korelacji i reagowania na incydenty bezpieczeństwa umożliwiając podjęcie działań w ciągu minut a nie godzin. Centralne zbieranie i korelacja logów, a także ich archiwizacja w celach dowodowych umożliwia wykrywanie zaawansowanych, wieloetapowych, nakierowanych na konkretny cel ataków.

Dla kogo?

  • Dla każdej firmy, która potrzebuje centralnego systemu zbierania i korelowania logów w celu wychwycenia odchyleń od polityki bezpieczeństwa oraz potencjalnych ataków
  • Dla analityków bezpieczeństwa, aby w jednym miejscu widzieli obraz całego stanu bezpieczeństwa firmy
  • Do wykrywanie zagrożeń w oparciu o korelację technik i taktyk MITRE ATT&CK

Korzyści

  • Zaawansowana korelacja danych – wyszukiwanie wzorców w zgromadzonych danych, logach, aktywnościach sieciowych i baz danych a nawet w treściach przenoszonych przez rozmaite aplikacje działające w sieci, a poprzez to lepsze i szybsze odnajdywanie śladów świadczących o zagrożeniach i atakach, utracie danych i oszustwach związanych z chronionymi zasobami organizacji i jej procedurami
  • Szybsze powiadamianie i ostrzeganie osób zajmujących się bezpieczeństwem organizacji o zagrożeniach, nieprawidłowościach i odstępstwach od wcześniej zgromadzonych danych
  • Większa dokładność raportowania o incydentach związana z gromadzeniem szczegółów na temat zdarzeń pochodzących z praktycznie dowolnych źródeł informacji: logów, zdarzeń generowanych przez systemy operacyjne i aplikacje, agentów działających na serwerach i stacjach, przepływów sieciowych (flows), baz danych, systemów identyfikacji użytkowników, itd.
  • Długoterminowa dostępność danych –umożliwia wgląd zarówno w napływające dane, ale także w informacje historyczne, zgromadzone wcześniej w taki sam sposób, bez rozróżnienia na aktualne i historyczne dane
  • Dostęp do informacji w czasie rzeczywistym – SIEM umożliwia uzyskiwanie wyników z analizy terabajtów danych praktycznie bez opóźnień, w czasie minut a nie godzin, czy dni jak w przypadku rozwiązań innych firm. Przy czym możliwa jest nie tylko statystyczna analiza danych, ale także korelacja informacji zgodnie ze zdefiniowanymi regułami wyszukiwania incydentów
  • Dostęp do szczegółów zdarzenia w czasie rzeczywistym – intuicyjne przechodzenie od ogólnych informacji i statystyk do coraz większych szczegółów, aż po wgląd w poszczególne logi i zdarzenia, jakie zostały przekazane do SIEM. Wszystkie operacje odbywają się w czasie rzeczywistym korzystając z tego samego, intuicyjnego i ergonomicznego interfejsu użytkownika
  • Lepszy kontekst zdarzeń – umożliwia analizę zgromadzonych danych w odniesieniu do kontekstu, w jakim powstały. Możliwe to jest poprzez wzbogacenie gromadzonych danych o informacje o lokalizacji, podatnościach, danych o użytkownikach, reputacji, poziomu ryzyka, itd.
  • Elastyczne raportowanie – możliwe w oparciu o wbudowane szablony i definicje raportów, a także na podstawie kryteriów samodzielnie określonych przez administratorów SIEM

Produkty

McAfee Enterprise Security Manager (ESM), Fortinet FortiSIEM, eSecure SecureVisio

Warto przeczytać