Säkerhetsinformation och händelsehantering (SIEM) är ett tillvägagångssätt för säkerhetshantering som kombinerar SIM (säkerhetsinformationshantering) och SEM (säkerhetshändelsehantering) till en säkerhetshanteringssystem. Förkortningen SIEM uttalas ”sim” med en tyst e.

De underliggande principerna för varje SIEM-system är att sammanställa relevanta data från flera källor, identifiera avvikelser från normen och vidta lämpliga åtgärder. Till exempel när ett potentiellt problem upptäcks kan ett SIEM-system logga ytterligare information, generera en varning och instruera andra säkerhetskontroller att stoppa en aktivitets framsteg.

På den mest grundläggande nivån, ett SIEM-system kan vara reglerbaserade eller använda en statistisk korrelationsmotor för att skapa relationer mellan händelseloggposter. Avancerade SIEM-system har utvecklats till att inkludera användar- och enhetsbeteendeanalys (UEBA) och säkerhetsorkestrering, automatisering och svar (SOAR).

Betalningskortsindustrins datasäkerhetsstandard (PCI DSS) efterlevde ursprungligen SIEM-antagandet i stora företag, men oro över avancerade ihållande hot (APT) har lett till att mindre organisationer tittar på fördelarna som SIEM-hanterade säkerhetsleverantörer (MSSP) kan erbjuda. Att kunna titta på alla säkerhetsrelaterade data från en enda synvinkel gör det lättare för organisationer i alla storlekar att upptäcka mönster som är ovanliga.

SIEM-system fungerar genom att distribuera flera välj insamlingsagenter på ett hierarkiskt sätt för att samla säkerhetsrelaterade händelser från slutanvändare, servrar och nätverksutrustning, samt specialiserad säkerhetsutrustning, såsom brandväggar, antivirus- eller intrångssystem (IPS). Samlarna vidarebefordrar händelser till en central hanteringskonsol, där säkerhetsanalytiker siktar igenom bruset, ansluter prickarna och prioriterar säkerhetsincidenter.

I vissa system kan förbehandling ske hos kantsamlare. , med endast vissa händelser som skickas till en central hanteringsnod. På detta sätt kan informationsvolymen som kommuniceras och lagras minskas. Även om framsteg inom maskininlärning hjälper system att flagga avvikelser mer exakt, måste analytiker fortfarande ge feedback och kontinuerligt utbilda systemet om miljön.

Här är några av de viktigaste funktionerna att granska när de utvärderar SIEM-produkter:

• Integration med andra kontroller. Kan systemet ge kommandon till andra säkerhetskontroller för företag för att förhindra eller stoppa attacker som pågår?
• Artificiell intelligens (AI). Kan systemet förbättra sin egen noggrannhet genom maskininlärning och djupinlärning?
• Hotinformationsflöden. Kan systemet stödja hotinformationsflöden som organisationen väljer, eller är det mandat att använda ett visst flöde?
• Omfattande rapportering om efterlevnad. Innehåller systemet inbyggda rapporter för gemensamma efterlevnadsbehov och tillhandahåller organisation med förmågan att anpassa eller skapa nya efterlevnadsrapporter?
• Rättsmedicinska funktioner. Kan systemet fånga ytterligare information om säkerhetshändelser genom att spela in rubriker och innehåll i intressanta paket?

Hur fungerar SIEM?

SIEM-verktyg fungerar genom att samla händelse- och loggdata som skapats av värdsystem, applikationer och säkerhetsenheter, såsom antivirusfilter och brandväggar, genom hela företagets infrastruktur och för att data tillsammans på en centraliserad plattform. SIEM-verktygen identifierar och sorterar data i kategorier som framgångsrika och misslyckade inloggningar, skadlig aktivitet och annan sannolikt skadlig aktivitet.

SIEM-programvaran genererar sedan säkerhetsvarningar när den identifierar potentiella säkerhetsproblem. Med hjälp av en uppsättning fördefinierade regler kan organisationer ställa in dessa varningar som låg eller hög prioritet.

Till exempel kan ett användarkonto som genererar 25 misslyckade inloggningsförsök på 25 minuter flaggas som misstänkt men ändå ställas in på en lägre prioritet eftersom inloggningsförsöken troligen gjordes av användaren som förmodligen hade glömt sin inloggningsinformation.

Ett användarkonto som genererar 130 misslyckade inloggningsförsök på fem minuter skulle dock flaggas som en högprioritet händelse eftersom det troligtvis pågår en brute-force attack.

Varför är SIEM viktigt?

SIEM är viktigt eftersom det gör det lättare för företag att hantera säkerheten genom att filtrera massivt mängder säkerhetsdata och prioritering av säkerhetsvarningar som programvaran genererar.

SIEM-programvara gör det möjligt för organisationer att upptäcka incidenter som annars kan bli oupptäckta. Programvaran analyserar loggposterna för att identifiera tecken på skadlig aktivitet.Eftersom systemet samlar händelser från olika källor i nätverket kan det dessutom återskapa tidslinjen för en attack, vilket gör det möjligt för ett företag att bestämma attackens natur och dess inverkan på verksamheten.

A SIEM systemet kan också hjälpa en organisation att uppfylla efterlevnadskraven genom att automatiskt generera rapporter som innehåller alla loggade säkerhetshändelser bland dessa källor. Utan SIEM-programvara måste företaget samla in loggdata och sammanställa rapporterna manuellt.

Ett SIEM-system förbättrar också incidenthantering genom att göra det möjligt för företagets säkerhetsteam att avslöja den rutt som en attack tar över nätverket , identifiera de källor som komprometterats och tillhandahålla de automatiska verktygen för att förhindra attackerna som pågår.

Fördelar med SIEM

Några av fördelarna med SIEM inkluderar följande:

• förkortar den tid det tar att identifiera hot väsentligt, vilket minimerar skadan från dessa hot.
• ger en helhetssyn på en organisations informationssäkerhetsmiljö, vilket gör det lättare att samla in och analysera säkerhetsinformation för att hålla systemen säkra – all organisations data går in i ett centralförvar där det är lagrat och lättillgängligt.
• kan användas av företag för en mängd olika användningsfall som kretsar kring data eller loggar, inklusive säkerhetsprogram, revision och rapportering om efterlevnad, han felsökning av lp desk och nätverk;
• stöder stora mängder data så att organisationer kan fortsätta att skala ut och öka sina data.
• tillhandahåller hotdetektering och säkerhetsvarningar; och
• kan utföra detaljerad kriminalteknisk analys vid större säkerhetsintrång.

Begränsningar av SIEM

Trots fördelarna finns det fortfarande begränsningar av SIEM, inklusive följande:

• Vanligtvis tar det lång tid att implementera det eftersom det kräver stöd för att säkerställa en framgångsrik integration med en organisations säkerhetskontroller och de många värdarna i dess infrastruktur. Det tar vanligtvis 90 dagar eller längre att installera SIEM innan det börjar fungera.
• Det är dyrt. Den initiala investeringen i SIEM kan uppgå till hundratusentals dollar. Och de därmed sammanhängande kostnaderna kan också lägga till, inklusive personalens kostnader för att hantera och övervaka en SIEM-implementering, årligt stöd och programvara eller agenter för att samla in data.
• Analys, konfigurering och integrering av rapporter kräver talangen att experter. Därför hanteras vissa SIEM-system direkt i ett säkerhetsoperationscenter (SOC), en central enhet som är bemannad av ett informationssäkerhetsteam som hanterar en organisations säkerhetsfrågor.
• SIEM-verktyg beror vanligtvis på regler för att analysera alla inspelade data. Problemet är att ett företags nätverk genererar ett stort antal varningar – vanligtvis 10 000 per dag – vilket kanske eller inte är positivt. Följaktligen är det svårt att identifiera potentiella attacker på grund av antalet irrelevanta loggar.
• Ett felkonfigurerat SIEM-verktyg kan missa viktiga säkerhetshändelser, vilket gör informationsriskhantering mindre effektiv.

SIEM-verktyg och programvara

Några av verktygen i SIEM-utrymmet inkluderar följande:

• Splunk. Splunk är ett komplett lokalt SIEM-system. Splunk stöder säkerhetsövervakning och erbjuder avancerade hotdetekteringsfunktioner.
• IBM QRadar. QRadar kan distribueras som en hårdvaruapparat, en virtuell apparat eller en programvaruapparat, beroende på företagets behov och kapacitet. QRadar on Cloud är en molntjänst som levereras från IBM Cloud baserat på QRadar SIEM-produkten.
• LogRhythm. LogRhythm, ett bra SIEM-system för mindre organisationer, förenar SIEM, logghantering, nätverks- och slutpunktsövervakning och kriminalteknik och säkerhetsanalys.
• Exabeam. Exabeams SIEM-produkt erbjuder flera funktioner, inklusive UEBA, en datasjö, avancerad analys och en hotjägare.
• RSA. RSA NetWitness Platform är ett verktyg för upptäckt och svar för hot som inkluderar datainsamling, vidarebefordran, lagring och analys. RSA erbjuder också SOAR.

Hur man väljer rätt SIEM-produkt

Att välja rätt SIEM-verktyg varierar beroende på ett antal faktorer, inklusive en organisations budget och säkerhetsställning.

Företagen bör dock leta efter SIEM-verktyg som erbjuder följande funktioner:

• rapportering om efterlevnad;
• incidentrespons och kriminalteknik;
• övervakning av databas- och serveråtkomst;
• intern och extern hotdetektering;
• hotövervakning, korrelation och analys i realtid i olika applikationer och system;
• intrångsdetekteringssystem (IDS), IPS, brandvägg, händelseprogramlogg och andra applikations- och systemintegrationer;
• hotinformation och
• övervakning av användaraktivitet ( UAM).

SIEM: s historia

SIEM-teknik, som har funnits sedan mitten av 2000-talet, utvecklades ursprungligen från loggdisciplinen, de kollektiva processer och policyer som används för att administrera och underlätta generering, överföring, analys, lagring, arkivering och slutlig bortskaffande av stora volymer loggdata som skapats inom ett informationssystem.

Gartner Inc.-analytiker myntade termen SIEM i 2005 års Gartner-rapport, ”Förbättra IT-säkerhet med sårbarhetshantering. ” I rapporten föreslog analytikerna ett nytt säkerhetsinformationssystem baserat på SIM och SEM.

Byggt på äldre logghanteringssystem införde SIM långvarig lagringsanalys och rapportering av loggdata. SIM integrerade också loggar med hotinformation. SEM-adresserad identifiering, insamling, övervakning och rapportering av säkerhetsrelaterade händelser i programvara, system eller IT-infrastruktur.

Sedan skapade leverantörer SIEM genom att kombinera SEM, som analyserar logg- och händelsesdata i realtid och tillhandahåller hotövervakning , händelsekorrelation och incidentrespons, med SIM, som samlar in, analyserar och rapporterar loggdata.

Framtiden för SIEM

De framtida trenderna för SIEM inkluderar följande:

• Förbättrad orkestrering. För närvarande tillhandahåller SIEM bara företag med grundläggande automatisering av arbetsflöden. Men när organisationer fortsätter att växa kommer SIEM att behöva erbjuda ytterligare funktioner. Till exempel, på grund av den ökade kommersialiseringen av AI och maskininlärning måste SIEM-verktyg erbjuda snabbare orkestrering för att ge de olika avdelningarna inom ett företag samma skyddsnivå. Dessutom kommer säkerhetsprotokollen och genomförandet av dessa protokoll att gå snabbare, liksom mer effektiva och effektivare.
• Bättre samarbete med hanterade detekterings- och svar (MDR) -verktyg. Eftersom hot om hacking och obehörig åtkomst fortsätter att öka är det viktigt att organisationer genomför en tvåstegsstrategi för att upptäcka och analysera säkerhetshot. Ett företags IT-team kan implementera SIEM internt, medan en hanterad tjänsteleverantör (MSP) ) kan implementera MDR-verktyget.
• Förbättrad molnhantering och övervakning. SIEM-leverantörer kommer att förbättra molnhanterings- och övervakningsfunktionerna för sina verktyg för att bättre möta säkerhetsbehoven hos organisationer som använder molnet.
• SIEM och SOAR kommer att utvecklas till ett verktyg. Leta efter traditionella SIEM-produkter för att dra nytta av SOAR; dock kommer SOAR-leverantörer sannolikt att svara genom att utöka sina produkters kapacitet.