SIEM (Security Information and Event Management) – система сбора информации об IT-инфраструктуре для мониторинга и последующего анализа специалистами по информационной безопасности или системными администраторами. SIEM сложилась в результате слияния двух обособленных направлений: менеджмента информационной безопасности (Security Information Management) и управления событиями безопасности (Security Event Management).
Чаще всего SIEM реализуется как программное обеспечение, компоненты которого интегрируются в IT-инфраструктуру. Программные модули SIEM можно условно разделить на 2 категории. К первой относятся агенты мониторинга, собирающие показания в системе, ко второй – серверная часть, регистрирующая события и обрабатывающая информацию об инцидентах.
Источниками информации для SIEM являются:
- Журналы событий операционной системы и установленных приложений
- Сетевое оборудование
- Межсетевые экраны
- Сканеры уязвимостей
- CRM-системы
- Персональные ПК и мобильные устройства пользователей
- Антивирусные приложения
- Любые другие средства сбора и передачи необходимой информации
Программные решения SIEM обычно представляют собой гибкий инструмент с большим количеством настроек и широкими возможностями конфигурации. Наиболее популярные решения SIEM на европейском рынке:
- Splunk Enterprise Security
- IBM QRadar Security Intelligence
- McAfee Enterprise Security Manager
- LogRhythm SIEM
- SolarWinds Security Event Manager (SEM)
- Microsoft Azure Sentinel
Основное назначение SIEM – сбор и анализ поступающей информации, но само ПО не является средством защиты IT-инфраструктуры от угроз. Собираемая аналитика используется для определения инцидентов и последующей оптимизации защитных инструментов и средств.