Aká je základná funkcionalita SIEM a pre koho je tento nástroj určený?
SIEM je v prvom rade monitorovací a auditný nástroj. Bezpečnostným IT tímom poskytuje centralizovaný pohľad na všetky relevantné bezpečnostné informácie z IT infraštruktúry v reálnom čase a vyhodnocuje rizikové bezpečnostné udalosti. Absorbuje obrovský objem bezpečnostne relevantných údajov zo systémov naprieč celou organizáciou, aby dokázal poskytnúť ucelený pohľad na aktivity či už on-premise, na virtualizačných platformách alebo v cloudovom prostredí.
Počas zberu dát v reálnom čase aplikuje automatické procesy vyhodnocovania bezpečnostných udalostí, aby rýchlo a spoľahlivo detegoval a prioritizoval hrozby. Na základe tohto spracovania vytvára záznamy o incidentoch, ktorých kontext obsahuje potrebné informácie umožňujúce bezpečnostným analytikom organizácie včas reagovať a obmedziť dopad plánovaného alebo prebiehajúceho útoku.
Vo všeobecnosti technológia SIEM poskytuje najmä tieto činnosti:
- Zber údajov a udalostí – zber bezpečnostných a prevádzkových záznamov z rôznych zariadení nachádzajúcich sa v IT infraštruktúre organizácie.
- Normalizácia zozbieraných údajov – predspracovanie údajov za účelom zjednotenia rôznych formátov.
- Korelácia – posúdenie vzťahov medzi jednotlivými údajmi a udalosťami.
- Log management – uchovávanie log/auditných záznamov, ich komprimácia a indexácia.
- Monitoring používateľov a jednotlivých častí IT infraštruktúry – sledovanie neobvyklého správania sa používateľov a administrátorov, detekcia potenciálnych a reálnych bezpečnostných incidentov a neobvyklých aktivít voči pravidlám a/alebo minulému stavu.
- Audit a reporting – generovanie reportov o činnosti a bezpečnostnej kondícii IT infraštruktúry.
Okrem vyššie uvedených funkcionalít môže mať SIEM v závislosti od použitej technológie aj rôzne rozšírenia a nadstavby. Tie umožňujú vďaka využitiu umelej inteligencie presnejšie detegovať bezpečnostné udalosti a vykonávať aj forenzné analýzy.
SIEM je nástroj, ktorý je možné implementovať do infraštruktúry organizácie akejkoľvek veľkosti a s akýmkoľvek zameraním. Bez automatizovanej detekcie, korelácie a vyhodnocovania bezpečnostných udalostí nie je žiadny bezpečnostný tím schopný zaistiť a garantovať bezpečnosť zverenej IT infraštruktúry.
Aké sú hlavné prínosy zavedenia SIEM?
IT infraštruktúra organizácie pozostáva často z veľkého množstva sieťových prvkov, bezpečnostných technológií, serverov a aplikácií generujúcich veľké množstvo údajov. Tie sú zdrojom cenných informácií pre identifikáciu rôznych bezpečnostných hrozieb. Bez ďalšieho automatizovaného spracovania by však zostali tieto údaje často nevyužité a vzniknuté bezpečnostné hrozby nepovšimnuté.
Výhody implementácie SIEM pre organizáciu:
- schopnosť spracúvať veľké množstvo bezpečnostne relevantných údajov v reálnom čase a vzájomnú automatickú koreláciu týchto údajov,
- ucelený komplexný pohľad na bezpečnosť IT infraštruktúry organizácie,
- výrazné zníženie rizika prameniaceho z nedostatočného obrazu o tom, čo sa deje v rámci infraštruktúry z hľadiska bezpečnosti,
- možnosť forenznej analýzy udalostí z mnohých typov zariadení,
- centralizovaný nástroj na manažment bezpečnostných udalostí a na podporu reportingu bezpečnostným tímom, resp. na podporu manažmentu organizácie.
Aké údaje SIEM zbiera?
Aby SIEM identifikoval známe aj neznáme hrozby automaticky zbiera, analyzuje a koreluje informácie o aktivitách z rôznych zdrojov, akými sú log súbory rôznych bezpečnostných technológií, udalosti, network flow data, aktivity používateľov a znalosti o bezpečnosti informačných systémov. Súčasne je schopný zbierať a spracovávať aj informácie o existujúcich zraniteľnostiach je notlivých prvkov IT infraštruktúry organizácie, ktoré boli identifikované napr. v organizácii implementovaným nástrojom na sken a správu zraniteľností.
SIEM štandardne zbiera napríklad nasledovné údaje:
- bezpečnostné udalosti z firewallov, VPN, IDS, IPS a databáz,
- sieťové udalosti zo switchov, routerov, serverov a ďalších zariadení,
- sieťové aktivity a komunikáciu až na úrovni Layer 7,
- aktivity v cloude, Informácie zo SaaS a IaaS prostredia, ako sú Office365, SalesForce.com, Amazon Web Services (AWS), Azure a Google Cloud,
- dáta o používateľoch a aktívach, teda informácie zo systémov na riadenie prístupov a identít,
- informácie zo skenerov zraniteľností,
- udalosti koncových zariadení, ako je Windows event Log, Sysmon a podobne,
- aplikačné logy, či už ide o štandardné ERP, alebo vlastné aplikácie,
- informácie o hrozbách, ako je napríklad IBM X-Force®.
V prípade, že sa chcete o SIEM dozvedieť viac, kliknite na nasledovný link a my vám obratom pošleme PDF dokument s doplňujúcimi informáciami:
Prečo TEMPEST
Spoločnosť TEMPEST poskytuje služby nasadenia bezpečnostných riešení, zavedenia bezpečnostných procesov a následne komplexnú službu bezpečnostného dohľadu.
Spoločnosť TEMPEST má dlhoročné skúsenosti s bezpečnostným monitoringom, s identifikáciou a riešením bezpečnostných incidentov, s implementáciou a prevádzkou rôznych nástrojov pre zabezpečenie ochrany IT infraštruktúry (IDS/IPS, firewally, WAF, Vulnerability Management, DLP, MDM a ďalšie), nástrojov pre riadenie a monitoring aktivít privilegovaných používateľov, nástrojov pre monitoring prevádzky infraštruktúry, ako aj so zabezpečením nastavenia bezpečnostných procesov v súlade s potrebami zákazníkov, s legislatívnymi požiadavkami a bezpečnostnými štandardami.