Security information and event management (SIEM)

SIEM (англ. Security information and event management) — об'єднання двох термінів, що позначають область застосування ПЗ: SIM (Security information management) — управління інформаційною безпекою та SEM (Security event management) — управління подіями безпеки. Технологія SIEM забезпечує аналіз в реальному часі подій (тривог) безпеки, що виходять від мережевих пристроїв і додатків. SIEM представлено додатками, приладами або послугами, й використовується також для журналювання даних і генерації звітів з метою сумісності з іншими бізнес-даними. Сам термін був придуманий Gartner в 2005 році, але з того часу саме поняття і все, що з ним суміжне, зазнало чимало змін^[1]

Акроніми SEM, SIM і SIEM іноді використовуються в контексті взаємозамінності. Сегмент систем управління безпекою, що має справу з моніторингом в реальному часі, кореляцією подій, повідомленнями й відображенням на кінцевих пристроях, зазвичай називають управлінням подіями (SEM). Друга галузь забезпечує довготривале зберігання, аналіз і звітність за накопиченинними даними, відома як управління ІБ (SIM). У міру зростання потреб в додаткових можливостях безперервно розширюється і доповнюється функціональність даної категорії продуктів. Наприклад, потреба в безпеці голосових даних (vSIEM).

Поняття управління подіями інформаційної безпеки (SIEM), введене Марком Ніколеттом і Амрітом Вільямсом з компанії Gartner в 2005 році, описує функціональність збору, аналізу та подання інформації від мережевих пристроїв і пристроїв безпеки, додатків ідентифікації (управління обліковими даними) та управління доступом, інструментів підтримки політики безпеки й відстеження вразливостей, операційних систем, баз даних і журналів — додатків, а також відомостей про зовнішні загрози. Основна увага приділяється управлінню привілеями користувачів і служб, сервісів директорій та іншим змінам конфігурації, а також забезпечення аудиту та огляду журналів, реакцій на інциденти.

SIEM — дозволяє здійснювати збір подій з практично будь-яких джерел, уніфікуючи їх, роблячи придатним для подальшого аналізу. SIEM — дозволяє агрегувати однотипні події, дозволяючи використовувати їх при аналізі ситуації. При цьому картина того, що відбувається, залишається не розмитою. Рішення класу SIEM автоматизують процес зіставлення подій між собою за різними критеріями, дозволяючи в автоматичному режимі виявляти складні для розпізнавання інциденти. SIEM — здійснює збір подій із практично будь-яких джерел та дозволяє зберігати визначений час, при цьому використовує стиснення та вирішує завдання централізованого архівного зберігання^[2].

• Агрегація даних: управління журналами даних; дані збираються з різних джерел мережевих пристроїв і сервісів, датчиків систем безпеки, серверів, баз даних, додатків; забезпечується консолідація даних з метою пошуку критичних подій.
• Кореляція: пошук спільних атрибутів, зв'язування подій в значимі кластери. Технологія забезпечує застосування різних технічних прийомів для інтеграції даних з різних джерел для перетворення вихідних даних в значущу інформацію. Кореляція є типовою функцією підмножини Security Event Management.
• Сповіщення: автоматизований аналіз корелює події і генерує оповіщення (тривоги) про поточні проблеми. Оповіщення може виводитися на «приладову» панель самого додатка, так і бути направлено в інші сторонні канали: e-mail, GSM-шлюз і т.п.
• Засоби відображення (інформаційні панелі): відображення діаграм допомагають ідентифікувати патерни відмінні від стандартної поведінки.
• Сумісність (трансформованою): застосування додатків для автоматизації збору даних, формування звітності для адаптації агрегуючих даних до існуючих процесів управління інформаційною безпекою та аудиту.
• Зберігання даних: застосування довготривалого сховища даних в історичному порядку для кореляції даних за часом і для забезпечення трансформації. Довготривале зберігання даних критичне для проведення комп'ютерно-технічних експертиз, оскільки розслідування мережевого інциденту навряд чи буде проводитися в сам момент порушення.
• Експертний аналіз: можливість пошуку по безлічі журналів на різних вузлах; може виконуватися в рамках програмно-технічної експертизи.

• надійний захист регулярно використовуваної в бізнес-діяльності компанії інформації в електронному вигляді;
• захист від втрати баз даних, корпоративної пошти та іншої інформації;
• гарантоване надання доступу до даних в потрібний момент;
• екстрене відновлення даних;
• захист від знищення даних нелояльним або підкупленим співробітником, який може мати фізичний доступ до комп'ютерного обладнання.
• зниження ризиків прямих і непрямих фінансових втрат внаслідок втрати важливої для бізнесу інформації;
• підвищення рівня довіри клієнтів і партнерів;
• забезпечення впевненості в надійному захисті інформації^[2].

• Знижує ризики виникнення загроз ІБ за рахунок оперативного виявлення і реагування
• Скорочує витрати та підвищує продуктивність роботи фахівців ІТ/ІБ
• Автоматизує процес оцінки відповідності вимогам вітчизняних і міжнародних стандартів (СТО БР ІБСС, PCI DSS, ISO 27001)
• Контролює стан ІТ-інфраструктури й скорочує час можливих простоїв
• Оцінює ефективність наявних засобів захисту за рахунок виявлення причин виникнення інцидентів ІБ
• Централізовано зберігає інформацію про події та інциденти ІБ, з можливістю їх подальшого аналізу^[2].

Розмір сховища залежить від кількості оброблюваних подій в мережі компанії. Серед лідерів світового ринку SIEM можна виділити наступних:

• HP ArcSight
• IBM QRadar SIEM
• TibcoLoglogic
• McAfeeNitroSecurity
• RSA Envision
• Splunk
• LogRhythm^[1].

• Безпека як послуга

• Система сбора и корреляции событий ИБ (SIEM)
• Что такое SIEM-системы и для чего они нужны? [Архівовано 9 квітня 2018 у Wayback Machine.]