Zarządzanie informacjami o bezpieczeństwie i zdarzeniami (SIEM) to podejście do zarządzania bezpieczeństwem, które łączy funkcje SIM (zarządzanie informacjami o bezpieczeństwie) i SEM (zarządzanie zdarzeniami bezpieczeństwa) w jedno system zarządzania bezpieczeństwem. Akronim SIEM jest wymawiany jako „sim” z cichym e.

Podstawowymi zasadami każdego systemu SIEM jest agregowanie odpowiednich danych z wielu źródeł, identyfikowanie odchyleń od normy i podejmowanie odpowiednich działań. Na przykład, gdy zostanie wykryty potencjalny problem, system SIEM może zarejestrować dodatkowe informacje, wygenerować alert i poinstruować inne mechanizmy kontroli bezpieczeństwa, aby zatrzymać postęp aktywności.

Na najbardziej podstawowym poziomie system SIEM mogą być oparte na regułach lub wykorzystywać mechanizm korelacji statystycznej w celu ustanowienia relacji między wpisami dziennika zdarzeń. Zaawansowane systemy SIEM ewoluowały tak, aby obejmowały analizę zachowania użytkowników i jednostek (UEBA) oraz orkiestrację, automatyzację i reakcję bezpieczeństwa (SOAR).

p> Zgodność ze standardem Payment Card Industry Data Security Standard (PCI DSS) pierwotnie doprowadziła do przyjęcia SIEM w dużych przedsiębiorstwach, ale obawy dotyczące zaawansowanych trwałych zagrożeń (APT) skłoniły mniejsze organizacje do przyjrzenia się korzyściom, jakie mogą zaoferować dostawcy usług bezpieczeństwa zarządzanych przez SIEM (MSSP). Możliwość spojrzenia na wszystkie dane związane z bezpieczeństwem z jednego punktu widzenia ułatwia organizacjom każdej wielkości dostrzeżenie nietypowych wzorców.

Systemy SIEM działają poprzez wdrażanie wielu agentów zbierania ple w sposób hierarchiczny w celu gromadzenia zdarzeń związanych z bezpieczeństwem z urządzeń użytkowników końcowych, serwerów i sprzętu sieciowego, a także specjalistycznego sprzętu zabezpieczającego, takiego jak zapory ogniowe, antywirus lub systemy zapobiegania włamaniom (IPS). Kolektory przekazują zdarzenia do scentralizowanej konsoli zarządzania, gdzie analitycy bezpieczeństwa przeglądają szum, łącząc kropki i ustalając priorytety incydentów bezpieczeństwa.

W niektórych systemach przetwarzanie wstępne może mieć miejsce w zbieraczach brzegowych , przy czym tylko niektóre zdarzenia są przekazywane do scentralizowanego węzła zarządzania. W ten sposób można zmniejszyć ilość przekazywanych i przechowywanych informacji. Chociaż postępy w uczeniu maszynowym pomagają systemom dokładniej oznaczać anomalie, analitycy muszą nadal przekazywać informacje zwrotne, nieustannie edukując system o środowisku.

Oto niektóre z najważniejszych funkcji, które należy przejrzeć podczas oceny produktów SIEM:

• Integracja z innymi kontrolkami. Czy system może wydawać polecenia innym kontrolom bezpieczeństwa przedsiębiorstwa, aby zapobiec trwającym atakom lub je zatrzymać?
• Sztuczna inteligencja (AI). Czy system może poprawić swoją dokładność dzięki uczeniu maszynowemu i uczeniu głębokiemu?
• Źródła informacji o zagrożeniach. Czy system może obsługiwać źródła informacji o zagrożeniach wybrane przez organizację, czy też jest upoważniony do korzystania z określonego źródła?
• Obszerne raportowanie zgodności. Czy system zawiera wbudowane raporty dotyczące typowych potrzeb w zakresie zgodności i zapewnia organizacji z możliwością dostosowywania lub tworzenia nowych raportów zgodności?
• Możliwości kryminalistyczne. Czy system może przechwytywać dodatkowe informacje o zdarzeniach związanych z bezpieczeństwem, rejestrując nagłówki i zawartość interesujących pakietów?

Jak działa SIEM?

Narzędzia SIEM działają poprzez gromadzenie danych o zdarzeniach i dziennikach utworzonych przez systemy hosta, aplikacje i urządzenia zabezpieczające, takie jak filtry antywirusowe i zapory, w całej infrastrukturze firmy i przenoszenie ich dane razem na scentralizowanej platformie. Narzędzia SIEM identyfikują i sortują dane w takie kategorie, jak udane i nieudane logowania, aktywność złośliwego oprogramowania i inne prawdopodobne złośliwe działania.

Następnie oprogramowanie SIEM generuje alerty zabezpieczeń, gdy identyfikuje potencjalne problemy z bezpieczeństwem. Korzystając z zestawu wstępnie zdefiniowanych reguł, organizacje mogą ustawić te alerty jako niskie lub o wysokim priorytecie.

Na przykład konto użytkownika, które generuje 25 nieudanych prób logowania w ciągu 25 minut, może zostać oznaczone jako podejrzane, ale nadal może mieć niższy priorytet, ponieważ próby logowania zostały prawdopodobnie wykonane przez użytkownika, który prawdopodobnie zapomniał swoich danych logowania.

Jednak konto użytkownika, które generuje 130 nieudanych prób logowania w ciągu pięciu minut, byłoby oznaczone jako o wysokim priorytecie zdarzenie, ponieważ najprawdopodobniej jest to atak siłowy.

Dlaczego SIEM jest ważne?

SIEM jest ważne, ponieważ ułatwia przedsiębiorstwom zarządzanie bezpieczeństwem poprzez filtrowanie masowych ilości danych bezpieczeństwa i ustalanie priorytetów alertów bezpieczeństwa generowanych przez oprogramowanie.

Oprogramowanie SIEM umożliwia organizacjom wykrywanie incydentów, które w przeciwnym razie mogłyby pozostać niewykryte. Oprogramowanie analizuje wpisy dziennika w celu zidentyfikowania oznak złośliwej aktywności.Ponadto, ponieważ system zbiera zdarzenia z różnych źródeł w sieci, może odtworzyć oś czasu ataku, umożliwiając firmie określenie charakteru ataku i jego wpływu na biznes.

A SIEM System może również pomóc organizacji w spełnieniu wymagań zgodności poprzez automatyczne generowanie raportów zawierających wszystkie zarejestrowane zdarzenia dotyczące bezpieczeństwa z tych źródeł. Bez oprogramowania SIEM firma musiałaby gromadzić dane dziennika i ręcznie kompilować raporty.

System SIEM usprawnia również zarządzanie incydentami, umożliwiając zespołowi ds. Bezpieczeństwa firmy wykrywanie trasy ataku przez sieć , zidentyfikuj źródła, które zostały przejęte, i zapewnij zautomatyzowane narzędzia do zapobiegania trwającym atakom.

Korzyści z SIEM

Niektóre z korzyści SIEM są następujące:

• znacznie skraca czas potrzebny do zidentyfikowania zagrożeń, minimalizując szkody spowodowane przez te zagrożenia;
• oferuje całościowy obraz środowiska bezpieczeństwa informacji w organizacji, ułatwiając gromadzenie i analizowanie informacje o bezpieczeństwie w celu zapewnienia bezpieczeństwa systemów – wszystkie dane organizacji trafiają do scentralizowanego repozytorium, gdzie są przechowywane i łatwo dostępne;
• mogą być wykorzystywane przez firmy do różnych zastosowań związanych z danymi lub dzienniki, w tym programy bezpieczeństwa, raporty z audytów i zgodności, on lp desk i rozwiązywanie problemów z siecią;
• obsługuje duże ilości danych, dzięki czemu organizacje mogą dalej skalować i zwiększać swoje dane;
• zapewnia wykrywanie zagrożeń i alerty bezpieczeństwa; i
• może przeprowadzić szczegółową analizę kryminalistyczną w przypadku poważnych naruszeń bezpieczeństwa.

Ograniczenia SIEM

Pomimo jego zalet, nadal istnieje kilka ograniczenia SIEM, w tym następujące:

• Zazwyczaj implementacja zajmuje dużo czasu, ponieważ wymaga wsparcia zapewniającego pomyślną integrację z mechanizmami kontroli bezpieczeństwa organizacji i wieloma hostami w jej infrastrukturze. Zwykle instalacja SIEM, zanim zacznie działać, zajmuje 90 dni lub dłużej.
• Jest drogi. Początkowa inwestycja w SIEM może wynosić setki tysięcy dolarów. A powiązane koszty również mogą się sumować, w tym koszty personelu do zarządzania i monitorowania wdrożenia SIEM, rocznego wsparcia oraz oprogramowania lub agentów do gromadzenia danych.
• Analizowanie, konfigurowanie i integrowanie raportów wymaga talentu ekspertów. Dlatego niektóre systemy SIEM są zarządzane bezpośrednio w centrum operacji bezpieczeństwa (SOC), scentralizowanej jednostce obsadzonej przez zespół ds. Bezpieczeństwa informacji, który zajmuje się kwestiami bezpieczeństwa organizacji.
• Narzędzia SIEM zwykle zależą od zasady analizy wszystkich zapisanych danych. Problem polega na tym, że sieć firmowa generuje dużą liczbę alertów – zwykle 10 000 dziennie – które mogą być pozytywne lub nie. W związku z tym trudno jest zidentyfikować potencjalne ataki ze względu na liczbę nieistotnych dzienników.
• Źle skonfigurowane narzędzie SIEM może pomijać ważne zdarzenia dotyczące bezpieczeństwa, przez co zarządzanie ryzykiem informacyjnym będzie mniej skuteczne.

Narzędzia i oprogramowanie SIEM

Niektóre narzędzia w przestrzeni SIEM obejmują:

• Splunk. Splunk to w pełni lokalny system SIEM. Splunk obsługuje monitorowanie bezpieczeństwa i oferuje zaawansowane możliwości wykrywania zagrożeń.
• IBM QRadar. QRadar może zostać wdrożony jako urządzenie sprzętowe, urządzenie wirtualne lub urządzenie programowe, w zależności od potrzeb i możliwości firmy. QRadar on Cloud to usługa w chmurze dostarczana z IBM Cloud w oparciu o produkt QRadar SIEM.
• LogRhythm. LogRhythm, dobry system SIEM dla mniejszych organizacji, ujednolica SIEM, zarządzanie dziennikami, monitorowanie i kryminalistykę sieci i punktów końcowych oraz analitykę bezpieczeństwa.
• Exabeam. Produkt SIEM firmy Exabeam oferuje kilka możliwości, w tym UEBA, jezioro danych, zaawansowane analizy i łowca zagrożeń.
• RSA. Platforma RSA NetWitness to narzędzie do wykrywania i reagowania na zagrożenia, które obejmuje pozyskiwanie, przekazywanie, przechowywanie i analizę danych. RSA oferuje również SOAR.

Jak wybrać odpowiedni produkt SIEM

Wybór odpowiedniego narzędzia SIEM zależy od wielu czynników, w tym budżetu organizacji i Stan bezpieczeństwa.

Jednak firmy powinny szukać narzędzi SIEM, które oferują następujące możliwości:

• raportowanie zgodności;
• reagowanie na incydenty i analizy kryminalistyczne;
• monitorowanie dostępu do bazy danych i serwera;
• wykrywanie zagrożeń wewnętrznych i zewnętrznych;
• monitorowanie, korelacja i analiza zagrożeń w czasie rzeczywistym w różnych aplikacjach i systemach;
• system wykrywania włamań (IDS), IPS, zapora sieciowa, dziennik aplikacji zdarzeń i inne integracje aplikacji i systemów;
• analiza zagrożeń; oraz
• monitorowanie aktywności użytkowników ( UAM).

Historia SIEM

Technologia SIEM, która istnieje od połowy 2000 roku, wyewoluowała początkowo z dyscypliny zarządzania logami, zbiorowych procesów i polityk służących do administrowania i ułatwiają generowanie, przesyłanie, analizę, przechowywanie, archiwizację i ostateczne usuwanie dużych ilości danych dziennika utworzonych w systemie informacyjnym.

Analitycy Gartner Inc. ukuli termin SIEM w raporcie Gartnera z 2005 r. „Improve Bezpieczeństwo IT z zarządzaniem lukami ”. W raporcie analitycy zaproponowali nowy system informacji o bezpieczeństwie oparty na SIM i SEM.

Zbudowany na starszych systemach zarządzania gromadzeniem dzienników, SIM wprowadził długoterminową analizę przechowywania i raportowanie danych dziennika. SIM zintegrował również dzienniki z analizą zagrożeń. SEM zajął się identyfikacją, gromadzeniem, monitorowaniem i raportowaniem zdarzeń związanych z bezpieczeństwem w oprogramowaniu, systemach lub infrastrukturze IT.

Następnie dostawcy stworzyli SIEM, łącząc SEM, który analizuje dzienniki i dane o zdarzeniach w czasie rzeczywistym, zapewniając monitorowanie zagrożeń , korelacja zdarzeń i reakcja na incydenty, za pomocą karty SIM, która zbiera, analizuje i raportuje dane dziennika.

Przyszłość SIEM

Przyszłe trendy SIEM obejmują:

• Ulepszona orkiestracja. Obecnie SIEM zapewnia firmom jedynie podstawową automatyzację przepływu pracy. Jednak wraz z rozwojem organizacji SIEM będzie musiał oferować dodatkowe możliwości. Na przykład z powodu zwiększonej komercjalizacji sztucznej inteligencji i uczenia maszynowego narzędzia SIEM będą musiały oferować szybszą koordynację, aby zapewnić różnym działom w firmie ten sam poziom ochrony. Ponadto protokoły bezpieczeństwa i ich wykonanie będą szybsze, a także bardziej efektywne i wydajne.
• Lepsza współpraca dzięki zarządzanym narzędziom do wykrywania i reagowania (MDR). Ponieważ zagrożenia związane z włamaniem i nieautoryzowanym dostępem stale rosną, ważne jest, aby organizacje wdrażały dwupoziomowe podejście do wykrywania i analizowania zagrożeń bezpieczeństwa. Zespół IT firmy może wdrożyć rozwiązanie SIEM samodzielnie, podczas gdy dostawca usług zarządzanych (MSP ) może zaimplementować narzędzie MDR.
• Ulepszone zarządzanie i monitorowanie w chmurze. Dostawcy SIEM poprawią możliwości zarządzania chmurą i monitorowania ich narzędzi, aby lepiej spełniać potrzeby organizacji korzystających z chmury.
• SIEM i SOAR staną się jednym narzędziem. Poszukaj tradycyjnych produktów SIEM, aby skorzystać z zalet SOAR; jednak dostawcy SOAR prawdopodobnie zareagują rozszerzeniem możliwości swoich produktów.