Main ⁄ ⁄ SIEM

SIEM

SIEM (Security Information and Event Management) – система сбора информации об IT-инфраструктуре для мониторинга и последующего анализа специалистами по информационной безопасности или системными администраторами. SIEM сложилась в результате слияния двух обособленных направлений: менеджмента информационной безопасности (Security Information Management) и управления событиями безопасности (Security Event Management).

Чаще всего SIEM реализуется как программное обеспечение, компоненты которого интегрируются в IT-инфраструктуру. Программные модули SIEM можно условно разделить на 2 категории. К первой относятся агенты мониторинга, собирающие показания в системе, ко второй – серверная часть, регистрирующая события и обрабатывающая информацию об инцидентах.

Источниками информации для SIEM являются:

  • Журналы событий операционной системы и установленных приложений
  • Сетевое оборудование
  • Межсетевые экраны
  • Сканеры уязвимостей
  • CRM-системы
  • Персональные ПК и мобильные устройства пользователей
  • Антивирусные приложения
  • Любые другие средства сбора и передачи необходимой информации

Программные решения SIEM обычно представляют собой гибкий инструмент с большим количеством настроек и широкими возможностями конфигурации. Наиболее популярные решения SIEM на европейском рынке:

  • Splunk Enterprise Security
  • IBM QRadar Security Intelligence
  • McAfee Enterprise Security Manager
  • LogRhythm SIEM
  • SolarWinds Security Event Manager (SEM)
  • Microsoft Azure Sentinel

Основное назначение SIEM – сбор и анализ поступающей информации, но само ПО не является средством защиты IT-инфраструктуры от угроз. Собираемая аналитика используется для определения инцидентов и последующей оптимизации защитных инструментов и средств.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *