- SIEM -

SIEM

SIEM (Security Information and Event Management) je management bezpečnostních informací a událostí. Současně řeší dříve různorodé kategorie:

SIM (Security Information Management) - zabývá se dlouhodobým ukládáním událostí, jejich analýzou a hlášením problémů.SEM (Security Event Management) - zabývá se monitoringem infrastruktury, korelacemi událostí a alertováním v reálném čase.Pojmy SIM, SEM a SIEM bývají často zaměňovány, přestože jsou významově i přínosem rozdílné.

Analytická fáze

Před pořízením konkrétního nástroje by měla být iniciována analytická fáze, jejíž výstupy nám pomohou z široké nabídky typů a výrobců produktů SIEM vybrat takový, který bude vyhovovat skutečným potřebám vycházejícím z problematiky řízení bezpečnosti informací v naší organizaci. Pro výběr vhodného řešení SIEM potřebujeme znát alespoň přibližně následující parametry.

Implementace

Předpokládejme, že jsme na základě analýzy požadavků a cenového srovnání vybrali a zakoupili konkrétní SIEM a nyní nás čeká jeho zapojení a konfigurace. Zprovoznění jednotlivých modulů je ve většině případů záležitostí jednoho dne; zakoupené appliance mají předinstalovaný a nakonfigurovaný operační systém a v základním nastavení je dodáván i samotný nástroj SIEM.

Dokumentace

Zvláště u náročnějších nasazení, kdy vytváříme vlastní parsery pro nepodporované zdroje logů, definujeme nové korelace, alerty a reporty, doporučujeme už během implementační fáze vytvářet podrobnou dokumentaci. Navrhujeme vytvořit provozní příručku, vytvořit a udržovat aktuální seznamy připojených zařízení, korelací, alertů a pravidelně generovaných reportů. Zmíněné dokumenty pak velmi dobře poslouží v případě zotavení po havárii systému SIEM.

Rozvoj

Vzhledem ke skutečnosti, že veškeré IT systémy procházejí neustálým vývojem, což samozřejmě platí také pro bezpečnostní hrozby, jimž čelí, tak i nasazení SIEM v organizaci by mělo být procesem kontinuálních změn a neustálého vývoje. Je třeba mít na paměti, že pro kvalitní analýzu a monitoring připojených systémů, je třeba dodávat nástroji SIEM kvalitní logovací záznamy. Pokud používáme vlastní parsery, korelace a reporty, pak je nutné pravidelně zjišťovat, zda se po provedení aktualizace daného systému nezměnil formát logů, na což bychom museli reagovat úpravou nastavení v SIEM.

Produkty na trhu

Nabídka produktů SIEM je v současnosti již značně široká. Poslední hodnotící zpráva „Magic Quadrant“ firmy Gartner z května minulého roku obsahuje analýzu šestnácti výrobců nástrojů SIEM. Mezi výborně hodnocené pokročilé nástroje SIEM patří produkty McAfee ESM, IBM QRadar, HP ArcSight, LogRhytm a Splunk. Vybrat nejlepší produkt, který by byl vhodný pro každého, však není možné, vždy záleží na specifických požadavcích zákazníka, rozsahu zamýšlené implementace a finančního rozpočtu projektu.

Shrnutí

Produkty SIEM dokáží bezpečnostnímu oddělení nabídnout komplexní nástroj pro monitorování a analýzu logovacích záznamů přicházejících z velkého množství heterogenních systémů organizace. Cílem implementace SIEM je zefektivnění práce bezpečnostních analytiků, auditorů a manažerů podílejících se na řízení rizik. Pro naplnění uvedeného cíle nabízí SIEM centrální rozhraní pro sběr, archivaci, zpracování a celkový přehled o bezpečnostních událostech, nástroje pro korelace, generování alertů a vytváření reportů pro účely bezpečnostních auditů.