Бизнесу приходится мониторить много информационных систем. Без автоматизированного средства этого не сделать, а потому растет спрос на SIEM-системы. Что это такое, какие проблемы возникают при интеграции системы и как быть, знает журнал IT-Manager
SIEM, или Security information and event management, — это система, которая позволяет собирать и анализировать информацию о событиях безопасности. Являясь ключевым элементом SOC, SIEM-системы играют важную роль в ИБ-компании.
SIEM-система предоставляет возможность оценить защищенность информационных систем и риски организации. Полученная от систем информация применяется при расследовании инцидентов и при формировании отчетности.
С функциональной точки зрения SIEM-система:
- обеспечивает сбор данных из различных источников и их нормализацию;
- производит корреляцию данных;
- проверяет перечни коррелированных событий для выявления ИБ-инцидентов и оповещения по ним;
- визуализирует события и инциденты. Данные представляются в формате удобных дашбордов;
- хранит данные в течение определенного периода;
- осуществляет контекстный поиск в рамках расследований инцидентов и экспертиз;
- создает отчеты, которые информируют службу ИБ о текущем положении дел.
Проблемы SIEM-систем
