Как меняются технологии, которые нужны бизнесу для защиты от киберугроз
Этот материал входит в раздел «Технологии», в котором мы каждую неделю разбираем актуальные технологические тренды и публикуем прогнозы и рекомендации бизнесменов, IT-евангелистов и футурологов. Вы также найдете экспертные материалы о том, как стать продуктивнее, вывести бизнес на новый уровень и улучшить качество жизни с помощью технологий.
Технологии XDR (Extended Detection and Response) — расширенное обнаружение и реагирование. SIEM (Security Information Management) — информация о безопасности и управление событиями.
Если говорить простыми словами, то SIEM собирают, объединяют и анализируют данные из разных источников IT-инфраструктуры компании, а XDR выходят за эти рамки. Они способны собирать информацию с конечных устройств и выявлять опасности, которые не под силу обнаружить, используя только SIEM.
Разберем, чем похожи эти системы, в чем различны и чем дополняют друг друга, если использовать их вместе.
Для чего нужны системы SIEM
Системы SIEM предназначены для сбора, объединения и анализа данных из различных источников в сети и IT-инфраструктуре организации. Они обеспечивают централизованный просмотр журналов событий безопасности (логов), генерируемых сетевыми устройствами, серверами, приложениями, а также брандмауэрами и системами обнаружения вторжений.
SIEM-системы собирают журналы событий безопасности (логи), управляют ими, анализируют их содержимое для выявления потенциальных инцидентов. Кроме того, на стороне SIEM — создание отчетов и помощь в соблюдении нормативных требований.
Инструменты SIEM используют правила корреляции — иными словами, соотносят друг с другом разные события, происходящие внутри периметра ИБ. В процессе работы эти правила можно расширять и совершенствовать.
С ростом сложности атак развитием IT-инфраструктур, хакерских инструментов и техник стало необходимо не только детектировать их, но и блокировать. SIEM подходят для сбора и анализа больших объемов событий журналов и других данных. Но выявлять новые угрозы до наступления последствий атак они неспособны.