SIEM – Biztonsági információ és eseménykezelő rendszerek

A SIEM egy megközelítése a biztonsági felügyeletnek, aminek célja, hogy egy átfogó képet adjon egy szervezet informatikai biztonsági tevékenységéről és jelen állapotáról. A SIEM egyesíti a SIM (biztonsági információ menedzsment) és a SEM (biztonsági eseménykezelés) funkcióit egy rendszerben.

Alapelv

A SIEM rendszerek alapelve, hogy a vállalati környezetből a megfelelő adatokat több helyen is gyűjtve rendszerezze és hogy átfogó képet kapjunk a tevékenységekről, ami megkönnyíti a követést és aminek köszönhetően láthatóvá válnak azok a minták, amik különbözőek a megszokottaktól.

SIEM

A SIEM rendszerek a rendszer üzeneteket, és biztonsággal kapcsolatos információkat gyűjtenek. A legtöbb ilyen rendszer hierarchikus módon működik, aminek több gyűjtő alrendszer a részese, amik az adatok összegyűjtéséért felelősek. A rendszer a biztonsággal kapcsolatos eseményeket gyűjti a végfelhasználói eszközökről, szerverekről, hálózati eszközökről; sőt speciális biztonsági berendezésekről is, mint például a tűzfalakról, antivírus vagy behatolás-megelőző rendszerekről. A „gyűjtők” továbbítják az eseményeket a központosított menedzsment rendszerhez, ami elvégzi a vizsgálatokat és megjelöli a bizonyos anomáliákat. Ahhoz, hogy a rendszer azonosítani tudja a rendhagyó eseményeket, fontos, hogy az első SIEM adminisztrátor létrehozzon egy profilt, a rendszer normál működési körülményeiről.

A legalapvetőbb szinten a SIEM rendszert be lehet állítani szabályokon alapuló vagy összefüggéseket kereső módra. A rendszer képes létrehozni a különböző eseménynapló bejegyzések közötti kapcsolatokat. A rendszer csupán bizonyos előre beállított eseményeket rögzít. A veszély ebben a megközelítésben az, hogy a fontos események is kiszűrésre kerülhetnek a beállításaink miatt.

SIEM rendszerek általában drágák, sokba kerül a telepítésük és bonyolult az üzemeltetésük is. Míg a Payment Card Industry Data Security szabvány (PCI DSS) hagyományosan SIEM rendszerű és elfogadott a nagyvállalatoknál, addig az „új” aggodalmak – például a állandó fenyegetések (APT) – elvezettek ahhoz, hogy a kisebb szervezetek számára is hasznos lehessen egy SIEM menedzselt biztonsági rendszer bevezetése.


A cikk másodközlése kizárólag kattintható forrásmegjelöléssel engedélyezett!

További cikkek

Webes és hálózati sérülékenységvizsgálat

Incidensvizsgálat és nyomelemzés

Zsarolóvírusok eltávolítása és adat-visszaállítás

Cyber Threat Intelligence
riasztások

DoS, DDoS támadás, terhelésteszt

Social engineering, biztonságtudatosság

Fájlok visszaállítása és végleges törlése

Hackertámadás elleni védelem

IT biztonsági tanácsadás és oktatás

Forráskód-vizsgálat, code review

Védelmi és vizsgálati termékek

Fájlok és adattárolók „törhetetlen” titkosítása

Antivírus megoldások PC-re és mobil eszközökre

Kibersuli gyerekeknek
az internet veszélyeiről

Kártevővizsgálat speciális környezetben

GDPR tanácsadás és felkészítés

Általános kiberbiztonsági fogalomtár

Webes és hálózati sérülékenységvizsgálat

Incidensvizsgálat és nyomelemzés

Zsarolóvírusok eltávolítása és adat-visszaállítás

Cyber Threat Intelligence
riasztások

DoS, DDoS támadás, terhelésteszt

Social engineering, biztonságtudatosság

Hackertámadás elleni védelem

Megosztás