SIEM е софтвер за безбедносни информации и управување со настани, кој ја подобрува безбедносната свест за ИТ околините со комбинирање на управувањето со безбедносните информации (SIM) и управувањето со безбедносните настани (SEM). Решенијата на SIEM го подобруваат откривањето на заканите, усогласеноста и управувањето со безбедносните инциденти, преку собирање и анализа на податоци и извори на безбедносни настани во реално време и историски.
SIEM има низа способности, кои кога се комбинираат и интегрираат, нудат сеопфатна заштита за организациите. SIEM ги поддржува можностите за одговор на инциденти на Безбедносните оперативни центри (SOC), кој вклучува откривање закани, истрага, лов на закани, презема активности за одговор и санација на последиците, со можност за следење и управување преку една контролна табла. SIEM – от обезбедува безбедност на компаниите нудејќи им видливост на целата мрежа на уреди и апликации.
SIEM собира и комбинира податоци од извори на настани од организациската ИТ и безбедносната рамка, вклучително и хост системите, мрежите, заштитните ѕидови и антивирусните безбедносни уреди. Софтверот им овозможува на безбедносните тимови да добијат сознанија за напаѓачите со заканите добиени од увидот во тактиките, техниките и процедурите на напаѓачите (TTP) и познатите индикатори за компромиси (IOC).
Самиот елемент за откривање закани може да помогне да се детектираат заканите во е-поштата, cloud ресурсите, апликациите, threat intelligence изворите и endpoint. Кога некој инцидент или настан се идентификува, анализира и категоризира, SIEM – от работи на доставување извештаи и известувања до соодветните одговорни сегменти во компанијата. Ова може да вклучува анализа на однесувањето на корисниците и ентитетите (UEBA) која ги анализира однесувањата и активностите за следење на ненормални однесувања што може да укажат на закана. Може да открие и аномалии на однесување, странични движења и компромитирани сметки.
Ова е слично со безбедносната аналитика, која детектира аномалии во податоците за да изведе лов на информации за претходно невидени закани.
Употребата на интелигентен SIEM е клуч за управување со стратешките, тактичките и оперативните аспекти на ловот на закани – ниту еден од нив не може да се игнорира во денешниот пејзаж на закани. Ефективната интеграција на SIEM како централен дел кој работи со алатките за испитување закани е од клучно значење за стекнување подобрена видливост на потенцијалните закани.
SIEM може да ја искористи моќта на разузнавањето за глобални закани за да овозможи брзо откривање на настаните кои вклучуваат комуникации со сомнителни или злонамерни IP адреси. Патеките за напад и претходните интеракции може брзо да се идентификуваат, намалувајќи го времето на одговор за побрзо отстранување на заканите.
Интеграцијата на вашата безбедносна инфраструктура обезбедува ниво на видливост на безбедносната состојба на вашата компанија во реално време.
Соочувајќи се со зголемената разновидност и обемот на закани, екипирањето на безбедносните оперативни тимови продолжува да биде тема на загриженост. Еден SIEM сервер може да го рационализира работниот тек со користење на податоци од повеќе извори, за да генерира единствен извештај што се однесува на сите релевантни евидентирани безбедносни настани, овозможувајќи им на одговорните лица зголемена флексибилност, лесно прилагодување и побрз одговор.
SIEM – от, исто така, обезбедува поедноставување на ревизиите и управувањето.
Одредете го опсегот на SIEM имплементацијата во вашата компанија. Изградете правила засновани на политики кои ги дефинираат активностите и логовите што треба да ги мониторира вашиот SIEM. Користете ја политиката и споредете ги нејзините правила со барањата за надворешна усогласеност за да одредите каков тип на контролна табла и известување бара вашата организација.
SIEM софтверот има свој сет на претходно конфигурирани правила за корелација. Вашиот безбедносен тим може детално да го прилагоди софтверот на потребите на вашата организација така што ќе овозможи сè што е вообичаено, ќе го набљудува однесувањето и ќе ги идентификува можностите за подесување за да ја зголеми ефикасноста на откривањето и да ги намали лажните позитиви.
Исполнувањето на барањата за усогласеност е важна придобивка за повеќето компании што користат SIEM, заради потребата да се анализира способноста на софтверот да поддржува специфични мандати за усогласеност, за да се исполнат барањата за компаниските ревизии.
SIEM – от треба да следи различни аспекти на критичните ресурси, вклучувајќи привилегирани и административни адреси, невообичаени однесувања на корисниците на системите, обид за далечинско најавување и испад на системот.
Сите ранливи области на мрежата треба да се надгледуваат од SIEM, вклучувајќи ги заштитните ѕидови, рутери, порти и точки за безжичен пристап.
Важните метрики за предупредување и потребата за реконфигурација на SIEM може да се генерираат кога се спроведуваат тестирања на вашата имплементација на SIEM -от, со проценка на реакцијата.
Безбедносните инциденти може да се решаваат само навремено користење на план за одговор на инциденти. Организациите треба да планираат како ќе го инструираат персоналот по предупредувањето од SIEM решението.
SIEM постои од 2005 година, но значително еволуираше од својата генеза.
Како што напредуваше технологијата, нападите еволуираа и SIEM решенијата мораа да се развиваат, особено во следниве способности:
Ослободете го целосниот потенцијал на вашите операции со SCADA автоматизација SCADA системите за надзорна контрола…
Sophos Firewall: Новi Desktop Firewalls XGS Series и нова верзија Sophos Firewall Operating System v21…
Кабтел повторно Key Industrial Partner на Thales, со зајакната посветеност кон иновативни и безбедни решенија…
4 Т: Едноставен начин за управување со сајбер ризиците Сајбер-криминалците ги унапредуваат своите методи секој…
Покрај опипливите физички закани, Олимпијадата во Париз се соочи и со виртуелни. Веќе пишувавме за…
Дали сме прислушувани на паметни телефони? Во минатиот век важеше правило дека најмногу нè знаат…