Sikkerhetsinformasjon og hendelsesadministrasjon (SIEM) er en tilnærming til sikkerhetsadministrasjon som kombinerer SIM (sikkerhetsinformasjonsadministrasjon) og SEM (sikkerhetshendelsesadministrasjon) i en sikkerhetsstyringssystem. Forkortelsen SIEM uttales «sim» med en stille e.

De underliggende prinsippene for hvert SIEM-system er å samle relevante data fra flere kilder, identifisere avvik fra normen og ta passende tiltak. For eksempel når et potensielt problem blir oppdaget, kan et SIEM-system logge ytterligere informasjon, generere et varsel og instruere andre sikkerhetskontroller om å stoppe fremdriften til en aktivitet.

På det mest grunnleggende nivået, et SIEM-system kan være regelbasert eller bruke en statistisk korrelasjonsmotor for å etablere sammenhenger mellom hendelsesloggoppføringer. Avanserte SIEM-systemer har utviklet seg til å inkludere bruker- og enhetsadferdsanalyse (UEBA) og sikkerhetsorkestrering, automatisering og respons (SOAR).

Overholdelse av PCI DSS (Payment Card Industry Data Security Standard) førte opprinnelig til SIEM-adopsjon i store bedrifter, men bekymringer over avanserte vedvarende trusler (APT-er) har ført til at mindre organisasjoner har sett på fordelene SIEM-managed security service providers (MSSPs) kan tilby. Å kunne se på alle sikkerhetsrelaterte data fra ett synspunkt gjør det lettere for organisasjoner i alle størrelser å få øye på mønstre som er utenom det vanlige.

SIEM-systemer fungerer ved å distribuere multi ple samlingsagenter på en hierarkisk måte for å samle sikkerhetsrelaterte hendelser fra sluttbrukerenheter, servere og nettverksutstyr, samt spesialisert sikkerhetsutstyr, som brannmurer, antivirus- eller innbruddsforebyggende systemer (IPSer). Samlerne videresender hendelser til en sentralisert administrasjonskonsoll, der sikkerhetsanalytikere sikter gjennom støyen, kobler prikkene og prioriterer sikkerhetshendelser.

I noen systemer kan forhåndsbehandling foregå hos kantsamlere. , med bare visse hendelser som sendes videre til en sentralisert administrasjonsnode. På denne måten kan informasjonsvolumet som kommuniseres og lagres reduseres. Selv om fremskritt innen maskinlæring hjelper systemer til å rapportere unomalier mer nøyaktig, må analytikere fremdeles gi tilbakemelding og kontinuerlig informere systemet om miljøet.

Her er noen av de viktigste funksjonene du må gjennomgå når du vurderer SIEM-produkter:

• Integrasjon med andre kontroller. Kan systemet gi kommandoer til andre sikkerhetskontroller for bedrifter for å forhindre eller stoppe pågående angrep?
• Kunstig intelligens (AI). Kan systemet forbedre sin egen nøyaktighet gjennom maskinlæring og dyp læring?
• Trusselintelligens feeds. Kan systemet støtte informasjon om trusler fra organisasjonen du velger, eller er det mandat til å bruke en bestemt feed?
• Omfattende rapportering om samsvar. Inneholder systemet innebygde rapporter for vanlige compliance-behov og gir organisasjon med muligheten til å tilpasse eller opprette nye samsvarsrapporter?
• Rettsmedisinske evner. Kan systemet hente ytterligere informasjon om sikkerhetshendelser ved å registrere overskrifter og innhold i interessepakker?

Hvordan fungerer SIEM?

SIEM-verktøy fungerer ved å samle hendelses- og loggdata opprettet av vertssystemer, applikasjoner og sikkerhetsenheter, for eksempel antivirusfiltre og brannmurer, gjennom hele selskapets infrastruktur og bringe det data sammen på en sentralisert plattform. SIEM-verktøyene identifiserer og sorterer dataene i slike kategorier som vellykkede og mislykkede pålogginger, skadelig programvareaktivitet og annen sannsynlig skadelig aktivitet.

SIEM-programvaren genererer deretter sikkerhetsvarsler når den identifiserer potensielle sikkerhetsproblemer. Ved å bruke et sett med forhåndsdefinerte regler kan organisasjoner sette disse varslene som lav eller høy prioritet.

For eksempel kan en brukerkonto som genererer 25 mislykkede påloggingsforsøk på 25 minutter, bli markert som mistenkelig, men likevel være satt til en lavere prioritet fordi påloggingsforsøkene sannsynligvis ble gjort av brukeren som sannsynligvis hadde glemt påloggingsinformasjonen.

En brukerkonto som genererer 130 mislykkede påloggingsforsøk på fem minutter, vil imidlertid bli markert som en høy prioritet hendelse fordi det mest sannsynlig er et brutalt kraftangrep pågår.

Hvorfor er SIEM viktig?

SIEM er viktig fordi det gjør det lettere for bedrifter å administrere sikkerhet ved å filtrere massiv mengder sikkerhetsdata og prioritering av sikkerhetsvarsler programvaren genererer.

SIEM-programvare gjør det mulig for organisasjoner å oppdage hendelser som ellers kan oppdages. Programvaren analyserer loggoppføringene for å identifisere tegn på ondsinnet aktivitet.I tillegg, siden systemet samler hendelser fra forskjellige kilder på tvers av nettverket, kan det gjenskape tidslinjen for et angrep, slik at et selskap kan bestemme angrepets art og dets innvirkning på virksomheten.

A SIEM Systemet kan også hjelpe en organisasjon å oppfylle kravene ved å automatisk generere rapporter som inkluderer alle de loggede sikkerhetshendelsene blant disse kildene. Uten SIEM-programvare måtte selskapet samle loggdata og kompilere rapportene manuelt.

Et SIEM-system forbedrer også hendelsesadministrasjon ved å gjøre det mulig for selskapets sikkerhetsteam å avdekke ruten et angrep tar over nettverket , identifiser kildene som ble kompromittert og gi de automatiserte verktøyene for å forhindre pågående angrep.

Fordeler med SIEM

Noen av fordelene med SIEM inkluderer følgende:

• forkorter tiden det tar å identifisere trusler betydelig, og minimerer skaden fra disse truslene.
• gir et helhetsbilde av organisasjonens informasjonssikkerhetsmiljø, noe som gjør det lettere å samle og analysere sikkerhetsinformasjon for å holde systemene trygge – alle organisasjonens data går inn i et sentralt depot der de er lagret og lett tilgjengelige.
• kan brukes av selskaper i en rekke brukssaker som dreier seg om data eller logger, inkludert sikkerhetsprogrammer, revisjon og rapportering om samsvar, han feilsøking av lp desk og nettverk;
• støtter store mengder data, slik at organisasjoner kan fortsette å skalere ut og øke dataene;
• gir trusseldeteksjon og sikkerhetsvarsler; og
• kan utføre detaljert rettsmedisinsk analyse i tilfelle store sikkerhetsbrudd.

Begrensninger av SIEM

Til tross for fordelene, er det fortsatt noen begrensninger av SIEM, inkludert følgende:

• Vanligvis tar det lang tid å implementere det fordi det krever støtte for å sikre vellykket integrering med organisasjonens sikkerhetskontroller og de mange vertene i infrastrukturen. Det tar vanligvis 90 dager eller lenger å installere SIEM før den begynner å fungere.
• Det er dyrt. Den opprinnelige investeringen i SIEM kan være på hundretusener av dollar. Og de tilknyttede kostnadene kan også øke, inkludert personalkostnadene for å administrere og overvåke en SIEM-implementering, årlig støtte og programvare eller agenter for å samle inn data.
• Analyse, konfigurering og integrering av rapporter krever talentet til å eksperter. Derfor administreres noen SIEM-systemer direkte i et sikkerhetsoperasjonssenter (SOC), en sentralisert enhet bemannet av et informasjonssikkerhetsteam som håndterer organisasjonens sikkerhetsspørsmål.
• SIEM-verktøy er vanligvis avhengig av regler for å analysere alle registrerte data. Problemet er at et selskaps nettverk genererer et stort antall varsler – vanligvis 10 000 per dag – noe som kan eller ikke kan være positivt. Derfor er det vanskelig å identifisere potensielle angrep på grunn av antall irrelevante logger.
• Et feilkonfigurert SIEM-verktøy kan savne viktige sikkerhetshendelser, noe som gjør informasjonsrisikostyring mindre effektiv.

SIEM-verktøy og programvare

Noen av verktøyene i SIEM-rommet inkluderer følgende:

• Splunk. Splunk er et komplett lokalt SIEM-system. Splunk støtter sikkerhetsovervåking og tilbyr avanserte muligheter for deteksjon av trusler.
• IBM QRadar. QRadar kan distribueres som et maskinvareapparat, et virtuelt apparat eller et programvareapparat, avhengig av selskapets behov og kapasitet. QRadar on Cloud er en skytjeneste levert fra IBM Cloud basert på QRadar SIEM-produktet.
• LogRhythm. LogRhythm, et godt SIEM-system for mindre organisasjoner, forener SIEM, loggstyring, nettverks- og endepunktovervåking og rettsmedisin og sikkerhetsanalyse.
• Exabeam. Exabeams SIEM-produkt tilbyr flere muligheter, inkludert UEBA, en datasjø, avansert analyse og en trusseljeger.
• RSA. RSA NetWitness Platform er et verktøy for oppdagelse og respons for trusler som inkluderer datainnsamling, videresending, lagring og analyse. RSA tilbyr også SOAR.

Hvordan velge riktig SIEM-produkt

Valg av riktig SIEM-verktøy varierer basert på en rekke faktorer, inkludert organisasjonens budsjett og sikkerhetsstilling.

Bedrifter bør imidlertid se etter SIEM-verktøy som tilbyr følgende muligheter:

• rapportering om samsvar;
• respons og kriminalteknikk;
• overvåking av database- og servertilgang;
• deteksjon av intern og ekstern trussel;
• sanntids trusselovervåking, korrelasjon og analyse på tvers av en rekke applikasjoner og systemer;
• innbruddsdeteksjonssystem (IDS), IPS, brannmur, applikasjonslogg for hendelser og andre applikasjons- og systemintegrasjoner;
• trusselintelligens og
• brukeraktivitetsovervåking ( UAM).

Historie om SIEM

SIEM-teknologi, som har eksistert siden midten av 2000-tallet, utviklet seg opprinnelig fra loggledelsesdisiplinen, de kollektive prosessene og policyene som ble brukt til å administrere og legge til rette for generering, overføring, analyse, lagring, arkivering og endelig avhending av store volum loggdata opprettet i et informasjonssystem.

Gartner Inc.-analytikere laget begrepet SIEM i Gartner-rapporten fra 2005, «Improve IT-sikkerhet med sårbarhetsadministrasjon. » I rapporten foreslo analytikerne et nytt sikkerhetsinformasjonssystem basert på SIM og SEM.

Bygget på eldre styringssystemer for loggsamling, introduserte SIM langsiktig lagringsanalyse og rapportering om loggdata. SIM integrerte også logger med trusselinformasjon. SEM adressert til å identifisere, samle, overvåke og rapportere sikkerhetsrelaterte hendelser i programvare, systemer eller IT-infrastruktur.

Deretter opprettet leverandører SIEM ved å kombinere SEM, som analyserer logg- og hendelsesdata i sanntid, og gir trusselovervåking , hendelseskorrelasjon og hendelsesrespons, med SIM, som samler inn, analyserer og rapporterer om loggdata.

Fremtiden til SIEM

De fremtidige trendene til SIEM inkluderer følgende:

• Forbedret orkestrering. For øyeblikket gir SIEM bare selskaper med grunnleggende automatisering av arbeidsflyt. Imidlertid, ettersom organisasjoner fortsetter å vokse, vil SIEM måtte tilby ytterligere muligheter. For eksempel, på grunn av den økte kommersialiseringen av AI og maskinlæring, må SIEM-verktøy tilby raskere orkestrering for å gi de forskjellige avdelingene i et selskap samme beskyttelsesnivå. I tillegg vil sikkerhetsprotokollene og utførelsen av disse protokollene være raskere, så vel som mer effektive og mer effektive.
• Bedre samarbeid med administrerte gjenkjennings- og responsverktøy (MDR). Etter hvert som truslene om hacking og uautorisert tilgang fortsetter å øke, er det viktig at organisasjoner implementerer en to-trinns tilnærming for å oppdage og analysere sikkerhetstrusler. Et selskaps IT-team kan implementere SIEM internt, mens en administrert tjenesteleverandør (MSP) ) kan implementere MDR-verktøyet.
• Forbedret skyadministrasjon og overvåking. SIEM-leverandører vil forbedre skystyrings- og overvåkingsfunksjonene til verktøyene sine for bedre å møte sikkerhetsbehovene til organisasjoner som bruker skyen.
• SIEM og SOAR vil utvikle seg til ett verktøy. Se etter tradisjonelle SIEM-produkter for å ta fordelene av SOAR; imidlertid vil SOAR-leverandører sannsynligvis svare ved å utvide funksjonene til produktene deres.