Informații de securitate și gestionarea evenimentelor

În domeniul securității IT, acronimul SIEM ( informații de securitate și gestionarea evenimentelor ) se referă la o serie de produse și servicii software care combină / integrează funcțiile oferite de SIM ( managementul informațiilor de securitate ) cu cele ale SEM ( managementul evenimentelor de securitate). ). ^[1]

Termenul de gestionare a informațiilor și evenimentelor de securitate a fost inventat de Mark Nicolett și Amrit Williams de la compania americană Gartner în 2005. ^[2]

Descriere

SEM și SIM

În timp ce oferă funcționalități diferite, acronimele SIM, SEM și SIEM sunt adesea utilizate ca interschimbabile. ^[3]

SEM monitorizează și gestionează în timp real sistemul evenimentelor care apar în rețea și pe diferitele sisteme de securitate, oferind o corelație și agregare între ele. Are o consolă centralizată utilizată pentru monitorizare, raportare și răspuns automat la anumite evenimente.

SIM-ul este un software utilizat pentru automatizarea procesului de colectare și gestionare a jurnalelor nu în timp real. Datele sunt colectate și trimise către un server centralizat prin utilizarea agenților software instalați pe diferitele dispozitive ale sistemului monitorizat. Capacitatea de a profita de spațiile de stocare pe termen lung combinate cu analiza datelor permite generarea de rapoarte personalizate. ^[4] ^[5]

Funcționalitate

SIEM-urile integrează funcționalitățile oferite de SEM și SIM pentru a putea combina analiza efectuată în timp real a evenimentelor cu posibilitatea de a furniza rapoarte referitoare la datele colectate, răspunzând nevoilor de răspuns la incident, conformitate și analiză criminalistică . ^[6]

Software-ul SIEM este de obicei instalat într-un server centralizat alături de o bază de date în care sunt stocate datele colectate. Următoarele sunt principalele caracteristici oferite: ^[7] ^[8]

Colectarea datelor : jurnalele sunt sursa principală de date analizate de un SIEM. Fiecare dispozitiv de securitate, software, bază de date, prezent în sistem trimite datele conținute în fișierele jurnal către serverul principal pe care se află SIEM. Trimiterea datelor poate fi gestionată printr-un agent software sau permițând SIEM să acceseze direct dispozitivul. Alegerea metodei de utilizat este legată de dispozitivele pe care le folosim.
Analizare și normalizare : Fiecare dispozitiv gestionează și stochează datele în felul său, SIEM standardizează datele colectate, catalogându-le după tipul de dispozitiv și tipul de date, facilitând interpretarea acestora.
Corelație : Corelația dintre diferite evenimente este una dintre funcțiile principale, vă permite să integrați și să analizați evenimente din diferite surse. Deși SIEM are un set de reguli de corelație deja predefinite, acesta oferă posibilitatea de a crea reguli personalizate pentru a satisface nevoile administratorilor. Pe baza corelației dintre evenimentele de securitate și datele privind vulnerabilitățile prezente în sistem, este posibil să se atribuie o prioritate unui eveniment.
Raportare : stocarea pe termen lung a datelor, combinată cu capacitatea de a valorifica interogările personalizate pentru extragerea datelor, permit raportarea. Rapoartele pot fi utilizate în scopuri de audit , conformitate sau analize criminalistice.
Tablouri de bord : Tablourile de bord oferă o imagine de ansamblu asupra mediului de lucru în timp real. Aceste instrumente pot oferi o reprezentare a datelor sub formă de diagrame sau alte modele, permițând analiștilor să identifice rapid activitatea anormală.
Notificări : Semnalele de notificare și avertizare sunt generate atunci când apar anumite evenimente, informând utilizatorii despre o posibilă amenințare. Rapoartele pot fi făcute prin tabloul de bord sau folosind servicii terțe, cum ar fi e-mail sau SMS.

Utilizați cazuri

Expertul în securitate informatică Anton Chuvakin , a indicat printr-un articol publicat pe blogul companiei americane Gartner, principalele cazuri de utilizare ale unui software SIEM: ^[9]

Urmăriți autentificările între sisteme, identificând, dacă există, acces neautorizat.
Detectarea malware-ului , a părților infectate ale sistemului.
Monitorizarea conexiunilor suspendate și transferul de date. Detectarea conexiunilor suspecte la exterior.
Raportarea în cazul sistemului de prevenire a intruziunilor (IPS) sau a sistemului de detectare a intruziunilor (IDS) bazat pe date referitoare la vulnerabilități și alte date contextuale colectate de SIEM.
Încălcarea politicilor interne ale sistemului.
Încearcă să atace și să compromită buna funcționare a aplicațiilor web .

Integrare cu big data

La fel ca în diferite semnificații și definiții ale capacităților, evoluția cerințelor continuă să schimbe derivatele produselor din categoria SIEM. Organizațiile se mută pe platforme de date mari , cum ar fi Apache Hadoop , pentru a completa capacitățile SIEM prin extinderea capacității de stocare a datelor și a flexibilității analitice. ^[10] ^[11] Necesitatea vizibilității vocale sau vSIEM (informații de securitate vocală și gestionarea evenimentelor) oferă un exemplu recent al acestei evoluții.

Notă

^ (EN) SIEM: A Market Snapshot on www.drdobbs.com, 5 februarie 2007. Accesat la 5 februarie 2018.
^ (RO) Îmbunătățiți securitatea IT cu gestionarea vulnerabilității pe www.gartner.com, 2 mai 2005. Accesat la 5 februarie 2018.
^ (RO) David Swift, A Practical Application of SIM / SEM / SIEM Automating Threat Identification (PDF), editat de Institutul SANS, 23 decembrie 2006, p. 3. Adus pe 5 februarie 2018 .
^ (EN) Diferența dintre SEM, SIM și SIEM pe www.gmdit.com, 29 martie 2010. Accesat la 5 februarie 2018.
^ (EN) Security Information Management (SIM) , pe www.techopedia.com. Adus pe 5 februarie 2018 .
^ ABC of Security: SIEM, Security Information and Event Management , pe www.techeconomy.com , 27 februarie 2015. Accesat pe 6 februarie 2018 .
^ (RO) Informații de securitate și monitorizarea evenimentelor (SIEM) , pe www.uhcl.edu. Accesat la 6 februarie 2018 .
^ (RO) Anton Chuvakin, The Complete Guide to the management of log and events (PDF), editat de NetIQ, pp. 2-3. Accesat la 6 februarie 2018 .
^ (RO) Cazuri populare de utilizare SIEM Starter pe blogs.gartner.com, 14 mai 2014. Adus pe 8 februarie 2018.
^ (EN) Securitate cibernetică la scările petabytes , pe cloudera.com.
^ (RO) Justin Hayes, Cybersecurity and the Big Yellow Elephant on Cloudera Vision Blog, 6 mai 2015. Accesat la 13 iulie 2016.

Portal de securitate cibernetică : accesați intrările Wikipedia care se ocupă de securitatea cibernetică

[1] (EN) SIEM: A Market Snapshot on www.drdobbs.com, 5 februarie 2007. Accesat la 5 februarie 2018.

[2] (RO) Îmbunătățiți securitatea IT cu gestionarea vulnerabilității pe www.gartner.com, 2 mai 2005. Accesat la 5 februarie 2018.

[3] (RO) David Swift, A Practical Application of SIM / SEM / SIEM Automating Threat Identification (PDF), editat de Institutul SANS, 23 decembrie 2006, p. 3. Adus pe 5 februarie 2018 .

[4] (EN) Diferența dintre SEM, SIM și SIEM pe www.gmdit.com, 29 martie 2010. Accesat la 5 februarie 2018.

[5] (EN) Security Information Management (SIM) , pe www.techopedia.com. Adus pe 5 februarie 2018 .

[6] ABC of Security: SIEM, Security Information and Event Management , pe www.techeconomy.com , 27 februarie 2015. Accesat pe 6 februarie 2018 .

[7] (RO) Informații de securitate și monitorizarea evenimentelor (SIEM) , pe www.uhcl.edu. Accesat la 6 februarie 2018 .

[8] (RO) Anton Chuvakin, The Complete Guide to the management of log and events (PDF), editat de NetIQ, pp. 2-3. Accesat la 6 februarie 2018 .

[9] (RO) Cazuri populare de utilizare SIEM Starter pe blogs.gartner.com, 14 mai 2014. Adus pe 8 februarie 2018.

[10] (EN) Securitate cibernetică la scările petabytes , pe cloudera.com.

[11] (RO) Justin Hayes, Cybersecurity and the Big Yellow Elephant on Cloudera Vision Blog, 6 mai 2015. Accesat la 13 iulie 2016.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]