Azərbaycanca
Беларускі
Dansk
Deutsch
Española
Français
Indonesia
Italiana
日本語
Қазақ
Lietuvos
Nederlands
Português
Русский
සිංහල
แบบไทย
Türkçe
Українська
中國人
United State
Afrikaans
SIEM (англ. Security information and event management) — об'єднання двох термінів, що позначають область застосування ПЗ: SIM (Security information management) — управління інформаційною безпекою та SEM () — управління подіями безпеки. Технологія SIEM забезпечує аналіз в реальному часі подій (тривог) безпеки, що виходять від мережевих пристроїв і додатків. SIEM представлено додатками, приладами або послугами, й використовується також для журналюваннч даних і генерації звітів з метою сумісності з іншими бізнес-даними. Сам термін був придуманий Gartner в 2005 році, але з того часу саме поняття і все, що з ним суміжне, зазнало чимало змін
Загальні дані
Акроніми SEM, SIM і SIEM іноді використовуються в контексті взаємозамінності. Сегмент систем управління безпекою, що має справу з моніторингом в реальному часі, кореляцією подій, повідомленнями й відображенням на кінцевих пристроях, зазвичай називають управлінням подіями (SEM). Друга галузь забезпечує довготривале зберігання, аналіз і звітність за накопиченинними даними, відома як управління ІБ (SIM). У міру зростання потреб в додаткових можливостях безперервно розширюється і доповнюється функціональність даної категорії продуктів. Наприклад, потреба в безпеці голосових даних ().
Поняття управління подіями інформаційної безпеки (SIEM), введене і з компанії Gartner в 2005 році, описує функціональність збору, аналізу та подання інформації від мережевих пристроїв і пристроїв безпеки, додатків ідентифікації (управління обліковими даними) та управління доступом, інструментів підтримки політики безпеки й відстеження вразливостей, операційних систем, баз даних і журналів — додатків, а також відомостей про зовнішні загрози. Основна увага приділяється управлінню привілеями користувачів і служб, сервісів директорій та іншим змінам конфігурації, а також забезпечення аудиту та огляду журналів, реакцій на інциденти.
SIEM — дозволяє здійснювати збір подій з практично будь-яких джерел, уніфікуючи їх, роблячи придатним для подальшого аналізу. SIEM — дозволяє агрегувати однотипні події, дозволяючи використовувати їх при аналізі ситуації. При цьому картина того, що відбувається, залишається не розмитою. Рішення класу SIEM автоматизують процес зіставлення подій між собою за різними критеріями, дозволяючи в автоматичному режимі виявляти складні для розпізнавання інциденти. SIEM — здійснює збір подій із практично будь-яких джерел та дозволяє зберігати визначений час, при цьому використовує стиснення та вирішує завдання централізованого архівного зберігання.
Функціональність
- Агрегація даних: управління журналами даних; дані збираються з різних джерел мережевих пристроїв і сервісів, датчиків систем безпеки, серверів, баз даних, додатків; забезпечується консолідація даних з метою пошуку критичних подій.
- Кореляція: пошук спільних атрибутів, зв'язування подій в значимі кластери. Технологія забезпечує застосування різних технічних прийомів для інтеграції даних з різних джерел для перетворення вихідних даних в значущу інформацію. Кореляція є типовою функцією підмножини Security Event Management.
- Сповіщення: автоматизований аналіз корелює події і генерує оповіщення (тривоги) про поточні проблеми. Оповіщення може виводитися на «приладову» панель самого додатка, так і бути направлено в інші сторонні канали: e-mail, GSM-шлюз і т.п.
- Засоби відображення (інформаційні панелі): відображення діаграм допомагають ідентифікувати патерни відмінні від стандартної поведінки.
- Сумісність (трансформованою): застосування додатків для автоматизації збору даних, формування звітності для адаптації агрегуючих даних до існуючих процесів управління інформаційною безпекою та аудиту.
- Зберігання даних: застосування довготривалого сховища даних в історичному порядку для кореляції даних за часом і для забезпечення трансформації. Довготривале зберігання даних критичне для проведення комп'ютерно-технічних експертиз, оскільки розслідування мережевого інциденту навряд чи буде проводитися в сам момент порушення.
- Експертний аналіз: можливість пошуку по безлічі журналів на різних вузлах; може виконуватися в рамках програмно-технічної експертизи.
Основні переваги резервного копіювання та відновлення
- надійний захист регулярно використовуваної в бізнес-діяльності компанії інформації в електронному вигляді;
- захист від втрати баз даних, корпоративної пошти та іншої інформації;
- гарантоване надання доступу до даних в потрібний момент;
- екстрене відновлення даних;
- захист від знищення даних нелояльним або підкупленим співробітником, який може мати фізичний доступ до комп'ютерного обладнання.
- зниження ризиків прямих і непрямих фінансових втрат внаслідок втрати важливої для бізнесу інформації;
- підвищення рівня довіри клієнтів і партнерів;
- забезпечення впевненості в надійному захисті інформації.
Переваги правильного використання системи класу SIEM
- Знижує ризики виникнення загроз ІБ за рахунок оперативного виявлення і реагування
- Скорочує витрати та підвищує продуктивність роботи фахівців ІТ/ІБ
- Автоматизує процес оцінки відповідності вимогам вітчизняних і міжнародних стандартів (СТО БР ІБСС, PCI DSS, ISO 27001)
- Контролює стан ІТ-інфраструктури й скорочує час можливих простоїв
- Оцінює ефективність наявних засобів захисту за рахунок виявлення причин виникнення інцидентів ІБ
- Централізовано зберігає інформацію про події та інциденти ІБ, з можливістю їх подальшого аналізу.
Лідери ринку SIEM
Розмір сховища залежить від кількості оброблюваних подій в мережі компанії. Серед лідерів світового ринку SIEM можна виділити наступних:
- HP ArcSight
- IBM QRadar SIEM
- TibcoLoglogic
- McAfeeNitroSecurity
- RSA Envision
- Splunk
- LogRhythm.
Примітки
- . Архів оригіналу за 9 квітня 2018. Процитовано 8 квітня 2018.
- . Архів оригіналу за 8 квітня 2018. Процитовано 8 квітня 2018.
Див. також
Посилання
- Что такое SIEM-системы и для чего они нужны? [ 9 квітня 2018 у Wayback Machine.]
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
SIEM angl Security information and event management ob yednannya dvoh terminiv sho poznachayut oblast zastosuvannya PZ SIM Security information management upravlinnya informacijnoyu bezpekoyu ta SEM upravlinnya podiyami bezpeki Tehnologiya SIEM zabezpechuye analiz v realnomu chasi podij trivog bezpeki sho vihodyat vid merezhevih pristroyiv i dodatkiv SIEM predstavleno dodatkami priladami abo poslugami j vikoristovuyetsya takozh dlya zhurnalyuvannch danih i generaciyi zvitiv z metoyu sumisnosti z inshimi biznes danimi Sam termin buv pridumanij Gartner v 2005 roci ale z togo chasu same ponyattya i vse sho z nim sumizhne zaznalo chimalo zminZagalni daniAkronimi SEM SIM i SIEM inodi vikoristovuyutsya v konteksti vzayemozaminnosti Segment sistem upravlinnya bezpekoyu sho maye spravu z monitoringom v realnomu chasi korelyaciyeyu podij povidomlennyami j vidobrazhennyam na kincevih pristroyah zazvichaj nazivayut upravlinnyam podiyami SEM Druga galuz zabezpechuye dovgotrivale zberigannya analiz i zvitnist za nakopicheninnimi danimi vidoma yak upravlinnya IB SIM U miru zrostannya potreb v dodatkovih mozhlivostyah bezperervno rozshiryuyetsya i dopovnyuyetsya funkcionalnist danoyi kategoriyi produktiv Napriklad potreba v bezpeci golosovih danih Ponyattya upravlinnya podiyami informacijnoyi bezpeki SIEM vvedene i z kompaniyi Gartner v 2005 roci opisuye funkcionalnist zboru analizu ta podannya informaciyi vid merezhevih pristroyiv i pristroyiv bezpeki dodatkiv identifikaciyi upravlinnya oblikovimi danimi ta upravlinnya dostupom instrumentiv pidtrimki politiki bezpeki j vidstezhennya vrazlivostej operacijnih sistem baz danih i zhurnaliv dodatkiv a takozh vidomostej pro zovnishni zagrozi Osnovna uvaga pridilyayetsya upravlinnyu privileyami koristuvachiv i sluzhb servisiv direktorij ta inshim zminam konfiguraciyi a takozh zabezpechennya auditu ta oglyadu zhurnaliv reakcij na incidenti SIEM dozvolyaye zdijsnyuvati zbir podij z praktichno bud yakih dzherel unifikuyuchi yih roblyachi pridatnim dlya podalshogo analizu SIEM dozvolyaye agreguvati odnotipni podiyi dozvolyayuchi vikoristovuvati yih pri analizi situaciyi Pri comu kartina togo sho vidbuvayetsya zalishayetsya ne rozmitoyu Rishennya klasu SIEM avtomatizuyut proces zistavlennya podij mizh soboyu za riznimi kriteriyami dozvolyayuchi v avtomatichnomu rezhimi viyavlyati skladni dlya rozpiznavannya incidenti SIEM zdijsnyuye zbir podij iz praktichno bud yakih dzherel ta dozvolyaye zberigati viznachenij chas pri comu vikoristovuye stisnennya ta virishuye zavdannya centralizovanogo arhivnogo zberigannya FunkcionalnistAgregaciya danih upravlinnya zhurnalami danih dani zbirayutsya z riznih dzherel merezhevih pristroyiv i servisiv datchikiv sistem bezpeki serveriv baz danih dodatkiv zabezpechuyetsya konsolidaciya danih z metoyu poshuku kritichnih podij Korelyaciya poshuk spilnih atributiv zv yazuvannya podij v znachimi klasteri Tehnologiya zabezpechuye zastosuvannya riznih tehnichnih prijomiv dlya integraciyi danih z riznih dzherel dlya peretvorennya vihidnih danih v znachushu informaciyu Korelyaciya ye tipovoyu funkciyeyu pidmnozhini Security Event Management Spovishennya avtomatizovanij analiz korelyuye podiyi i generuye opovishennya trivogi pro potochni problemi Opovishennya mozhe vivoditisya na priladovu panel samogo dodatka tak i buti napravleno v inshi storonni kanali e mail GSM shlyuz i t p Zasobi vidobrazhennya informacijni paneli vidobrazhennya diagram dopomagayut identifikuvati paterni vidminni vid standartnoyi povedinki Sumisnist transformovanoyu zastosuvannya dodatkiv dlya avtomatizaciyi zboru danih formuvannya zvitnosti dlya adaptaciyi agreguyuchih danih do isnuyuchih procesiv upravlinnya informacijnoyu bezpekoyu ta auditu Zberigannya danih zastosuvannya dovgotrivalogo shovisha danih v istorichnomu poryadku dlya korelyaciyi danih za chasom i dlya zabezpechennya transformaciyi Dovgotrivale zberigannya danih kritichne dlya provedennya komp yuterno tehnichnih ekspertiz oskilki rozsliduvannya merezhevogo incidentu navryad chi bude provoditisya v sam moment porushennya Ekspertnij analiz mozhlivist poshuku po bezlichi zhurnaliv na riznih vuzlah mozhe vikonuvatisya v ramkah programno tehnichnoyi ekspertizi Osnovni perevagi rezervnogo kopiyuvannya ta vidnovlennyanadijnij zahist regulyarno vikoristovuvanoyi v biznes diyalnosti kompaniyi informaciyi v elektronnomu viglyadi zahist vid vtrati baz danih korporativnoyi poshti ta inshoyi informaciyi garantovane nadannya dostupu do danih v potribnij moment ekstrene vidnovlennya danih zahist vid znishennya danih neloyalnim abo pidkuplenim spivrobitnikom yakij mozhe mati fizichnij dostup do komp yuternogo obladnannya znizhennya rizikiv pryamih i nepryamih finansovih vtrat vnaslidok vtrati vazhlivoyi dlya biznesu informaciyi pidvishennya rivnya doviri kliyentiv i partneriv zabezpechennya vpevnenosti v nadijnomu zahisti informaciyi Perevagi pravilnogo vikoristannya sistemi klasu SIEMZnizhuye riziki viniknennya zagroz IB za rahunok operativnogo viyavlennya i reaguvannya Skorochuye vitrati ta pidvishuye produktivnist roboti fahivciv IT IB Avtomatizuye proces ocinki vidpovidnosti vimogam vitchiznyanih i mizhnarodnih standartiv STO BR IBSS PCI DSS ISO 27001 Kontrolyuye stan IT infrastrukturi j skorochuye chas mozhlivih prostoyiv Ocinyuye efektivnist nayavnih zasobiv zahistu za rahunok viyavlennya prichin viniknennya incidentiv IB Centralizovano zberigaye informaciyu pro podiyi ta incidenti IB z mozhlivistyu yih podalshogo analizu Lideri rinku SIEMRozmir shovisha zalezhit vid kilkosti obroblyuvanih podij v merezhi kompaniyi Sered lideriv svitovogo rinku SIEM mozhna vidiliti nastupnih HP ArcSight IBM QRadar SIEM TibcoLoglogic McAfeeNitroSecurity RSA Envision Splunk LogRhythm Primitki Arhiv originalu za 9 kvitnya 2018 Procitovano 8 kvitnya 2018 Arhiv originalu za 8 kvitnya 2018 Procitovano 8 kvitnya 2018 Div takozhBezpeka yak poslugaPosilannyaChto takoe SIEM sistemy i dlya chego oni nuzhny 9 kvitnya 2018 u Wayback Machine