Next-Gen SIEM

Security Information & Event Management

Když už data z různých zdrojů shromažďujeme ve formátu logů, chceme je taky správně pochopit. Každý log v sobě obsahuje informaci o konkrétní události. Ty pochopíme až tehdy, když je správně identifikujeme a kategorizujeme. Propojením více logů v rámci zkoumané časové linky je obohacujeme, a vytváříme z nich kontextuální události s konkrétním průběhem. Logy tedy zpravidla vytváří seznamy událostí v souborech .log.

Next-Gen SIEM

Gartner

SIEM je „technologie, která poskytuje detekci hrozeb, dodržování předpisů a řízení bezpečnostních incidentů prostřednictvím sběru a analýzy (v reálném čase i v minulosti) bezpečnostních událostí, jakož i široké škály dalších zdrojů událostí a kontextových dat“.

Kvalita výstupu SIEM záleží přímo na kvalitě zdrojových dat a jejich pochopení.

Organizace instalují řadu bezpečnostních zařízení a softwaru, aby odhalily neobvyklé chování a identifikovaly bezpečnostní incidenty. Ty však pracují izolovaně, takže jsou při odhalování pokročilých hrozeb neúčinné. Zde přichází ke slovu systém správy bezpečnostních informací a událostí (SIEM), který pomáhá bezpečnostnímu týmu shromažďovat a analyzovat logy v reálném čase.

Funkcionality v kostce

Agregace a kategorizace logů

Agregace a kategorizace logů

Rychlé prohledávání logů

Rychlé prohledávání logů

Odpovědi na dotazy v řádu milisekund

Odpovědi na dotazy v řádu milisekund

Napojení vlastního unikátního zdroje logů

Napojení vlastního unikátního zdroje logů

Zkoumání korelovaných a obohacených logů

Zkoumání korelovaných a obohacených logů

Detekce a lov skrytých hrozeb, IOC a IOA

Detekce a lov skrytých hrozeb, IOC a IOA

Ověřování úrovně ohrožení

Ověřování úrovně ohrožení

Třídění incidentů

Třídění incidentů

Forenzní vyšetřování

Forenzní vyšetřování

Zapojení znalostí MITRE ATT&CK

Zapojení znalostí MITRE ATT&CK

Bodové hodnocení rizik

Bodové hodnocení rizik

Detekce hrozeb a vyšetřování

Detekce hrozeb a vyšetřování

SIEM analyzuje shromážděná data pro identifikaci podezřelých aktivit a potenciálních bezpečnostních hrozeb.

Alarmy a upozornění

V případě detekce potenciální hrozby systém generuje upozornění, aby informoval bezpečnostní tým o možných incidentech.

Alarmy a upozornění
Sledování a analýza událostí

Sledování a analýza událostí

Systém poskytuje nástroje pro sledování a analýzu bezpečnostních událostí, což umožňuje provozním i bezpečnostním administrátorům včas reagovat na nalezené neshody s požadovaným stavem.

Dodržování předpisů a compliance

SIEM pomáhá organizacím dodržovat bezpečnostní standardy a předpisy tím, že poskytuje potřebná data a reporty.

Nástroj typu SIEM je nejen vhodný pro značnou část organizací z veřejného i soukromého sektoru, ale pro řadu z nich je také nenahraditelný. Bez funkčního SIEMu lze jen obtížně dosáhnout souladu s požadavky NIS2 směrnice, ZoKB, nařízení DORA, atd.

Dodržování předpisů a compliance

SIEM podrobněji

K čemu je SIEM