Обзор мирового рынка SIEM-систем 2017
SIEM (Security Information and Event Management) — решения, которые осуществляют мониторинг информационных систем, анализируют события безопасности в реальном времени, исходящие от сетевых устройств, средств защиты информации, ИТ-сервисов, инфраструктуры систем и приложений, и помогают обнаружить инциденты ИБ. SIEM предоставляются провайдерами в качестве аппаратных устройств, программного обеспечения или услуг и применяются для сбора и обработки событий, оповещений, генерации отчетов и визуализации нарушений ИБ.
Следует сразу отметить, что SIEM-системы предназначены для мониторинга и реагирования на инциденты, но не позволяют защищаться от угроз или предотвращать негативные события. В связи с этим SIEM применяются для решения следующих задач:
- консолидация данных, сбор событий ИБ из различных источников (сетевые устройства и ИТ-сервисы, системы безопасности, операционные системы, базы данных, бизнес-приложения);
- хранение событий безопасности из различных источников в историческом порядке для ретроспективного анализа и определения цепочек действий, ставших причиной возникновения инцидентов безопасности;
- корреляция и обработка событий безопасности, применение различных технических приемов для сопоставления данных аудита из различных источников и выявления значимой информации;
- предоставление инструментов для экспертного анализа событий и разбора инцидентов безопасности с возможностью поиска по множеству параметров и построению моделей связи событий между собой;
- контекстное обогащение инцидентов информацией о принадлежности затронутых в событиях ИБ данных к тем или иным бизнес-приложениям, сотрудникам организации и процессам, их критичности для бизнеса или подверженности угрозам на основе информации от систем безопасности и сканеров уязвимостей;
- автоматическое оповещение администратора безопасности через интерфейс SIEM посредством интеграции с системой учета заявок, а также по электронной почте, через SMS и т. д.