SIEM (Security information and event management) er en tilgang til sikkerhedsstyring, der kombinerer SIM (sikkerhedsinformationsstyring) og SEM (sikkerhedshændelsesstyring) -funktioner sikkerhedsstyringssystem. Forkortelsen SIEM udtales “sim” med en tavs e.

De bagvedliggende principper for hvert SIEM-system er at samle relevante data fra flere kilder, identificere afvigelser fra normen og tage passende handling. For eksempel, når et potentielt problem opdages, kan et SIEM-system muligvis logge yderligere oplysninger, generere en alarm og instruere andre sikkerhedskontrol om at stoppe en aktivitets fremskridt.

På det mest basale niveau er et SIEM-system kan være reglerbaseret eller anvende en statistisk korrelationsmotor til at etablere sammenhænge mellem hændelseslogindgange. Avancerede SIEM-systemer har udviklet sig til at omfatte bruger- og enhedsadfærdsanalyse (UEBA) og sikkerhedsorkestrering, automatisering og respons (SOAR).

Overholdelse af betalingskortsektorens datasikkerhedsstandard (PCI DSS) kørte oprindeligt SIEM-adoption i store virksomheder, men bekymringer over avancerede vedvarende trusler (APT’er) har fået mindre organisationer til at se på fordelene, som SIEM-styrede sikkerhedstjenesteudbydere (MSSP’er) kan tilbyde. At kunne se på alle sikkerhedsrelaterede data fra et enkelt synspunkt gør det lettere for organisationer i alle størrelser at få øje på mønstre, der er usædvanlige.

SIEM-systemer fungerer ved at implementere multi pleje indsamlingsagenter på en hierarkisk måde til at indsamle sikkerhedsrelaterede begivenheder fra slutbrugerenheder, servere og netværksudstyr såvel som specialiseret sikkerhedsudstyr, såsom firewalls, antivirus- eller indbrudsforebyggelsessystemer (IPSer). Samlerne videresender begivenheder til en central styringskonsol, hvor sikkerhedsanalytikere siver igennem støj, forbinder prikkerne og prioriterer sikkerhedshændelser.

I nogle systemer kan forbehandling ske ved kantsamlere. , hvor kun visse begivenheder overføres til en centraliseret styringsknude. På denne måde kan mængden af information, der kommunikeres og lagres, reduceres. Selvom fremskridt inden for maskinindlæring hjælper systemer med at markere anomalier mere præcist, skal analytikere stadig give feedback og løbende informere systemet om miljøet.

Her er nogle af de vigtigste funktioner, der skal gennemgås, når de vurderer SIEM-produkter:

• Integration med andre kontroller. Kan systemet give kommandoer til andre sikkerhedskontroller i virksomheden for at forhindre eller stoppe igangværende angreb?
• Kunstig intelligens (AI). Kan systemet forbedre sin egen nøjagtighed gennem maskinlæring og dyb læring?
• Trusler om intelligens feeds. Kan systemet understøtte trusselsunderretningsfeeds, som organisationen vælger, eller er det mandat til at bruge et bestemt feed?
• Omfattende rapportering om overholdelse. Indeholder systemet indbyggede rapporter til fælles overholdelsesbehov og leverer organisation med evnen til at tilpasse eller oprette nye overholdelsesrapporter?
• Forensics-funktioner. Kan systemet fange yderligere oplysninger om sikkerhedshændelser ved at registrere overskrifter og indhold af interessepakker?

Hvordan fungerer SIEM?

SIEM-værktøjer fungerer ved at indsamle begivenheds- og logdata, der er oprettet af værtssystemer, applikationer og sikkerhedsenheder, såsom antivirusfiltre og firewalls, gennem en virksomheds infrastruktur og bringe det data sammen på en central platform. SIEM-værktøjerne identificerer og sorterer dataene i sådanne kategorier som vellykkede og mislykkede login, malware-aktivitet og anden sandsynlig ondsindet aktivitet.

SIEM-softwaren genererer derefter sikkerhedsadvarsler, når den identificerer potentielle sikkerhedsproblemer. Ved hjælp af et sæt foruddefinerede regler kan organisationer indstille disse alarmer som lav eller høj prioritet.

For eksempel kan en brugerkonto, der genererer 25 mislykkede loginforsøg på 25 minutter, blive markeret som mistænkelig, men stadig være indstillet til en lavere prioritet, fordi loginforsøgene sandsynligvis blev foretaget af den bruger, der sandsynligvis havde glemt sine loginoplysninger.

En brugerkonto, der genererer 130 mislykkede loginforsøg på fem minutter, vil dog blive markeret som en høj prioritet begivenhed, fordi det sandsynligvis er et brutalt kraftangreb i gang.

Hvorfor er SIEM vigtigt?

SIEM er vigtigt, fordi det gør det lettere for virksomheder at administrere sikkerhed ved at filtrere massiv mængder af sikkerhedsdata og prioritering af sikkerhedsalarmer, som softwaren genererer.

SIEM-software gør det muligt for organisationer at opdage hændelser, der ellers muligvis ikke bliver opdaget. Softwaren analyserer logposterne for at identificere tegn på ondsindet aktivitet.Da systemet derudover samler begivenheder fra forskellige kilder på tværs af netværket, kan det genskabe tidslinjen for et angreb, hvilket gør det muligt for en virksomhed at bestemme angrebets art og dens indvirkning på virksomheden.

A SIEM systemet kan også hjælpe en organisation med at overholde overholdelseskrav ved automatisk at generere rapporter, der inkluderer alle de loggede sikkerhedshændelser blandt disse kilder. Uden SIEM-software ville virksomheden skulle indsamle logdata og kompilere rapporterne manuelt.

Et SIEM-system forbedrer også hændelsesstyring ved at gøre det muligt for virksomhedens sikkerhedsteam at afdække den rute, et angreb tager over hele netværket. , identificer de kilder, der er kompromitteret, og lever de automatiserede værktøjer til at forhindre igangværende angreb.

Fordele ved SIEM

Nogle af fordelene ved SIEM inkluderer følgende:

• forkorter den tid, det tager at identificere trusler markant, hvilket minimerer skaden fra disse trusler;
• giver et helhedsbillede af en organisations informationssikkerhedsmiljø, hvilket gør det lettere at samle og analysere sikkerhedsoplysninger for at holde systemerne sikre – alle organisationens data går ind i et centralt lager, hvor det er gemt og let tilgængeligt;
• kan bruges af virksomheder til en række brugssager, der drejer sig om data eller logfiler, herunder sikkerhedsprogrammer, revision og rapportering om overholdelse, han lp desk og netværksfejlfinding;
• understøtter store mængder data, så organisationer kan fortsætte med at skalere ud og øge deres data;
• giver trusselsregistrering og sikkerhedsadvarsler; og
• kan udføre detaljeret retsmedicinsk analyse i tilfælde af større sikkerhedsbrud.

Begrænsninger af SIEM

På trods af fordelene er der stadig nogle begrænsninger af SIEM, herunder følgende:

• Normalt tager det lang tid at implementere det, fordi det kræver støtte for at sikre en vellykket integration med en organisations sikkerhedskontrol og de mange værter i dens infrastruktur. Det tager typisk 90 dage eller længere at installere SIEM, før det begynder at virke.
• Det er dyrt. Den oprindelige investering i SIEM kan være i hundreder af tusinder af dollars. Og de tilknyttede omkostninger kan også tilføjes, herunder personaleomkostningerne til at styre og overvåge en SIEM-implementering, årlig support og software eller agenter til at indsamle data.
• Analyse, konfiguration og integration af rapporter kræver talentet til at eksperter. Derfor styres nogle SIEM-systemer direkte i et sikkerhedsoperationscenter (SOC), en central enhed bemandet med et informationssikkerhedsteam, der beskæftiger sig med en organisations sikkerhedsproblemer.
• SIEM-værktøjer afhænger normalt af regler til at analysere alle de registrerede data. Problemet er, at et firmas netværk genererer et stort antal alarmer – normalt 10.000 pr. Dag – hvilket måske eller måske ikke er positivt. Derfor er det vanskeligt at identificere potentielle angreb på grund af antallet af irrelevante logfiler.
• Et forkert konfigureret SIEM-værktøj kan gå glip af vigtige sikkerhedshændelser, hvilket gør informationsrisikostyring mindre effektiv.

SIEM-værktøjer og software

Nogle af værktøjerne i SIEM-rummet inkluderer følgende:

• Splunk. Splunk er et komplet lokalt SIEM-system. Splunk understøtter sikkerhedsovervågning og tilbyder avancerede trusselregistreringsfunktioner.
• IBM QRadar. QRadar kan implementeres som et hardwareapparat, et virtuelt apparat eller et softwareapparat afhængigt af en virksomheds behov og kapacitet. QRadar on Cloud er en cloudtjeneste leveret fra IBM Cloud baseret på QRadar SIEM-produktet.
• LogRhythm. LogRhythm, et godt SIEM-system til mindre organisationer, forener SIEM, loghåndtering, netværks- og endepunktsovervågning og forensik og sikkerhedsanalyser.
• Exabeam. Exabeams SIEM-produkt tilbyder flere muligheder, herunder UEBA, en datasø, avanceret analyse og en trusseljæger.
• RSA. RSA NetWitness Platform er et værktøj til detektering og reaktion af trusler, der inkluderer dataindsamling, videresendelse, lagring og analyse. RSA tilbyder også SOAR.

Sådan vælger du det rigtige SIEM-produkt

Valg af det rigtige SIEM-værktøj varierer afhængigt af en række faktorer, herunder en organisations budget og sikkerhedsposition.

Virksomheder bør dog kigge efter SIEM-værktøjer, der tilbyder følgende muligheder:

• rapportering om overholdelse;
• hændelsesrespons og retsmedicin;
• overvågning af database- og serveradgang;
• detektion af intern og ekstern trussel;
• overvågning, korrelation og analyse i realtid af trusler på tværs af en række applikationer og systemer;
• indbrudsdetekteringssystem (IDS), IPS, firewall, hændelsesapplikationslog og andre applikations- og systemintegrationer;
• trusselintelligens og
• overvågning af brugeraktivitet ( UAM).

SIEMs historie

SIEM-teknologi, der har eksisteret siden midten af 2000’erne, udviklede sig oprindeligt fra loghåndteringsdisciplinen, de kollektive processer og politikker, der blev brugt til at administrere og lette generering, transmission, analyse, lagring, arkivering og ultimativ bortskaffelse af de store mængder logdata, der er oprettet i et informationssystem.

Gartner Inc.-analytikere skabte udtrykket SIEM i Gartner-rapporten fra 2005, “Improve IT-sikkerhed med sårbarhedsstyring. ” I rapporten foreslog analytikerne et nyt sikkerhedsinformationssystem baseret på SIM og SEM.

Bygget på ældre log-indsamlingsstyringssystemer introducerede SIM langsigtet lageranalyse og rapportering om logdata. SIM integrerede også logfiler med trusselintelligens. SEM-adresseret identifikation, indsamling, overvågning og rapportering af sikkerhedsrelaterede begivenheder i software, systemer eller IT-infrastruktur.

Derefter oprettede leverandører SIEM ved at kombinere SEM, som analyserer log- og begivenhedsdata i realtid og leverer trusselovervågning , hændelseskorrelation og hændelsesrespons med SIM, som indsamler, analyserer og rapporterer om logdata.

Fremtiden for SIEM

De fremtidige tendenser for SIEM inkluderer følgende:

• Forbedret orkestrering. I øjeblikket leverer SIEM kun virksomheder med grundlæggende automatisering af workflow. Da organisationer fortsætter med at vokse, skal SIEM imidlertid tilbyde yderligere kapaciteter. For eksempel på grund af den øgede kommercialisering af AI og maskinindlæring bliver SIEM-værktøjer nødt til at tilbyde hurtigere orkestrering for at give de forskellige afdelinger i en virksomhed det samme beskyttelsesniveau. Derudover vil sikkerhedsprotokollerne og udførelsen af disse protokoller være hurtigere samt mere effektive og mere effektive.
• Bedre samarbejde med MDR-værktøjer (managed discovery and response). Da trusler om hacking og uautoriseret adgang fortsætter med at stige, er det vigtigt, at organisationer implementerer en todelt tilgang til at opdage og analysere sikkerhedstrusler. En virksomheds IT-team kan implementere SIEM internt, mens en administreret tjenesteudbyder (MSP ) kan implementere MDR-værktøjet.
• Forbedret cloudadministration og overvågning. SIEM-leverandører forbedrer cloudstyrings- og overvågningsfunktionerne i deres værktøjer for bedre at imødekomme sikkerhedsbehovene hos organisationer, der bruger skyen.
• SIEM og SOAR vil udvikle sig til et værktøj. Se efter traditionelle SIEM-produkter for at drage fordel af SOAR; dog vil SOAR-leverandører sandsynligvis reagere ved at udvide deres produkters kapacitet.