Что такое SIEM-система?
SIEM-система (Security information and event management system) – это комплексное решение программных продуктов, предназначенных для сбора и анализа информации, касающейся безопасности.
«Энциклопедия Касперского» дает следующее определение: «SIEM – это, по сути, объединение классов SEM (Security Event Management, «управление событиями безопасности») и SIM (Security Information Management, «управление информацией о безопасности»). Решения SEM используются для мониторинга событий безопасности в реальном времени. Системы SIM, в свою очередь, отвечают за долгосрочное хранение и анализ данных с различных объектов инфраструктуры организации. SIEM-решения выполняют обе эти задачи».
Основная идея таких систем – это централизация сетевой активности и объединение в себе функционала различных решений в формате «одного окна», чтобы информацию можно было быстрее получать и легче ею оперировать. Но для каждой конкретной организации конфигурация и методы использования SIEM будут зависеть от целей и
Особенности SIEM
По утверждению разработчиков российской компании по информационной безопасности «СерчИнформ SIEM», SIEM – это уникальная система, которая не идет по стандартному пути, проложенному другими вендорами. Представленное ПО не имеет проблем большинства существующих систем. Продукт практически предоставляет результаты «из коробки», легко интегрируется с существующей IT-инфраструктурой и не требует привлечения высококвалифицированных специалистов для написания или корректировки правил реагирования.
Разработчики изучили более чем 30 типов источников информации и выяснили, что число коннекторов постоянно увеличивается. Для источников без коннекторов разработан Custom Connector, который решает проблему подключения SIEM к ПО к любой самописной программе.
В системе визуализируется весь состав инфраструктуры: компьютеры, роутеры, принтеры и другое оборудование, что дает возможность легко обнаруживать открытые порты и попытки несанкционированного подключения сторонних устройств. Сканер уязвимостей в режиме реального времени показывает возникающие проблемы. Если есть необходимость подробного изучение инцидента, это можно сделать нажатием одной кнопки, и система предоставит все подробности.
SIEM-система понятна любому, кто работал, например, с Exel. Повторим, что работа с ней не требует уникального специалиста. В «коробке» предустановлены сотни универсальных правил, что создает плацдарм на начальном этапе. Дальше можно продолжить настройку под цели своей компании.
