Security Information and Event Management to system do identyfikacji, korelacji i reagowania na incydenty bezpieczeństwa umożliwiając podjęcie działań w ciągu minut a nie godzin. Centralne zbieranie i korelacja logów, a także ich archiwizacja w celach dowodowych umożliwia wykrywanie zaawansowanych, wieloetapowych, nakierowanych na konkretny cel ataków.
Dla kogo?
- Dla każdej firmy, która potrzebuje centralnego systemu zbierania i korelowania logów w celu wychwycenia odchyleń od polityki bezpieczeństwa oraz potencjalnych ataków
- Dla analityków bezpieczeństwa, aby w jednym miejscu widzieli obraz całego stanu bezpieczeństwa firmy
- Do wykrywanie zagrożeń w oparciu o korelację technik i taktyk MITRE ATT&CK
Korzyści
- Zaawansowana korelacja danych – wyszukiwanie wzorców w zgromadzonych danych, logach, aktywnościach sieciowych i baz danych a nawet w treściach przenoszonych przez rozmaite aplikacje działające w sieci, a poprzez to lepsze i szybsze odnajdywanie śladów świadczących o zagrożeniach i atakach, utracie danych i oszustwach związanych z chronionymi zasobami organizacji i jej procedurami
- Szybsze powiadamianie i ostrzeganie osób zajmujących się bezpieczeństwem organizacji o zagrożeniach, nieprawidłowościach i odstępstwach od wcześniej zgromadzonych danych
- Większa dokładność raportowania o incydentach związana z gromadzeniem szczegółów na temat zdarzeń pochodzących z praktycznie dowolnych źródeł informacji: logów, zdarzeń generowanych przez systemy operacyjne i aplikacje, agentów działających na serwerach i stacjach, przepływów sieciowych (flows), baz danych, systemów identyfikacji użytkowników, itd.
- Długoterminowa dostępność danych –umożliwia wgląd zarówno w napływające dane, ale także w informacje historyczne, zgromadzone wcześniej w taki sam sposób, bez rozróżnienia na aktualne i historyczne dane
- Dostęp do informacji w czasie rzeczywistym – SIEM umożliwia uzyskiwanie wyników z analizy terabajtów danych praktycznie bez opóźnień, w czasie minut a nie godzin, czy dni jak w przypadku rozwiązań innych firm. Przy czym możliwa jest nie tylko statystyczna analiza danych, ale także korelacja informacji zgodnie ze zdefiniowanymi regułami wyszukiwania incydentów
- Dostęp do szczegółów zdarzenia w czasie rzeczywistym – intuicyjne przechodzenie od ogólnych informacji i statystyk do coraz większych szczegółów, aż po wgląd w poszczególne logi i zdarzenia, jakie zostały przekazane do SIEM. Wszystkie operacje odbywają się w czasie rzeczywistym korzystając z tego samego, intuicyjnego i ergonomicznego interfejsu użytkownika
- Lepszy kontekst zdarzeń – umożliwia analizę zgromadzonych danych w odniesieniu do kontekstu, w jakim powstały. Możliwe to jest poprzez wzbogacenie gromadzonych danych o informacje o lokalizacji, podatnościach, danych o użytkownikach, reputacji, poziomu ryzyka, itd.
- Elastyczne raportowanie – możliwe w oparciu o wbudowane szablony i definicje raportów, a także na podstawie kryteriów samodzielnie określonych przez administratorów SIEM
Produkty
McAfee Enterprise Security Manager (ESM), Fortinet FortiSIEM, eSecure SecureVisio