Security Information and Event Management (SIEM)
System zapewniający wgląd w to, co się dzieje w infrastrukturze na podstawie zbieranych, filtrowanych, normalizowanych i korelowanych informacji. Codzienność w infrastrukturze teleinformatycznej to ogromne ilości danych logowane przez różne systemy. Ich indywidualna analiza nie jest możliwa z punktu widzenia czasowego. Administrator powinien otrzymywać po pierwsze: informacje o krytycznych zdarzeniach, które mają miejsce w sieci, oraz po drugie: dane statystyczne, które wizualizują trendy i umożliwią planowanie zmian w przyszłości. W tych właśnie zadaniach wspiera nasze działania system klasy SIEM.
Na podstawie reguł korelujących adresowane są nie tylko powyższe potrzeby. SIEM odgrywa też bardzo dużą rolę w analizie nowoczesnych, wielowektorowych technik ataku. W tym wypadku jego stwierdzenie może nastąpić poprzez skorelowanie informacji pochodzących z wielu źródeł. W efekcie tworzone są zdarzenia, które alarmują i dostarczają administratorom i analitykom istotnych informacji.
Najczęściej w ramach rozwiązania producenci dostarczają gotowe „parsery” (słowniki), dzięki którym można poprawnie interpretować otrzymywane informacje z różnych urządzeń, systemów i aplikacji. Większość produktów posiada również opcję tworzenia własnych „parserów”, które umożliwiają dostosowanie systemu do indywidualnych potrzeb i urządzeń w infrastrukturze.
Wyjątkowość SIEM’a polega na korelowaniu logów ze wszystkich urządzeń i budowie sekwencji zdarzeń, która może wskazywać na potencjalny atak lub niepowołane zachowanie systemów bądź sieci. Konsekwencją jest prezentacja zaobserwowanych zdarzeń i błyskawiczne informowanie o incydencie osób, które mogą podjąć adekwatne działania.
Wybierając rozwiązanie, warto zwrócić uwagę, jak wygląda licencjonowanie produktu, jak czasochłonne jest programowanie reguł korelujących oraz czy zaimplementowane słowniki odzwierciedlają posiadane w infrastrukturze typy systemów i urządzeń.