Obsah:
- Definícia - Čo znamená správa bezpečnostných incidentov a udalostí (SIEM)?
- Techopedia vysvetľuje správu bezpečnostných incidentov a udalostí (SIEM)
Definícia - Čo znamená správa bezpečnostných incidentov a udalostí (SIEM)?
Správa bezpečnostných incidentov a udalostí (SIEM) je proces identifikácie, monitorovania, zaznamenávania a analýzy bezpečnostných udalostí alebo incidentov v prostredí IT v reálnom čase. Poskytuje komplexný a centralizovaný pohľad na bezpečnostný scenár IT infraštruktúry.
Správa bezpečnostných incidentov a udalostí je známa aj ako správa udalostí bezpečnostných informácií.
Techopedia vysvetľuje správu bezpečnostných incidentov a udalostí (SIEM)
SIEM je implementovaný prostredníctvom softvéru, systémov, zariadení alebo nejakou kombináciou týchto položiek. Všeobecne možno povedať, že existuje šesť hlavných atribútov systému SIEM:
- Uchovávanie : Ukladanie údajov po dlhú dobu, aby bolo možné rozhodnúť o úplnejších súboroch údajov.
- Dashboards : Používa sa na analýzu (a vizualizáciu) údajov v snahe rozpoznať vzorce alebo cieľovú aktivitu alebo údaje, ktoré sa nezmestia do normálneho vzoru.
- Korelácia : Triedi údaje do paketov, ktoré sú zmysluplné, podobné a zdieľajú spoločné črty. Cieľom je zmeniť údaje na užitočné informácie.
- Varovanie : Keď sa zhromažďujú alebo identifikujú údaje, ktoré vyvolávajú určité reakcie - napríklad varovania alebo potenciálne bezpečnostné problémy - nástroje SIEM môžu aktivovať určité protokoly na upozornenie používateľov, ako sú oznámenia zasielané na palubnú dosku, automatizovaný e-mail alebo textové správy.
- Agregácia údajov : Údaje je možné zhromažďovať z ľubovoľného počtu stránok po zavedení systému SIEM vrátane serverov, sietí, databáz, softvéru a e-mailových systémov. Agregátor tiež slúži ako konsolidačný prostriedok pred odoslaním údajov na koreláciu alebo uchovanie.
- Dodržiavanie : V SIEM je možné vytvoriť protokoly, ktoré automaticky zbierajú údaje potrebné na dosiahnutie súladu s politikou spoločnosti, organizácie alebo vlády.
