Кому и зачем нужна SIEM-система

На сегодняшний день сложно переоценить значимость SIEM в мире информационной безопасности. Можно сказать, что без нее невозможно эффективное функционирование ни одной комплексной системы ИБ.

Так для чего и кому нужна SIEM?

SIEM (Security information and event management) – программные продукты, предназначенные для сбора и анализа информации о событиях безопасности, уведомления об инцидентах.

Источниками для сбора информации могут быть:

• Антивирусное ПО

• Системы авторизации и аутентификации

• Межсетевые экраны

• Контроллеры домена

• Системы обнаружения и предотвращения вторжений (IDS/IPS);

• Системы предотвращения утечки информации (DLP);

Несмотря на то, что SIEM умеет решать много различных задач, к основным можно отнести:

✔ Мониторинг и анализ данных (как событий ИБ, так и системных событий) в режиме реального времени;
✔ Корреляция данных, т.е. сопоставление и поиск по атрибутам, группирование по определенным признакам, выявление аномалий;
✔ Оповещение системы безопасности о наличии угрозы;

SIEM-система упрощает для компаний управление и анализ информации.

Этот инструмент будет полезен в том случае, когда устройства генерируют тысячи событий в секунду, среди которых выделить вручную то, что интересно организации, невозможно.

Например, человек не проходил на территорию организации, но зашел в корпоративный компьютер – это событие является инцидентом.

SIEM из тысячи событий выделяет единицы, о которых необходимо оповестить, вывести информацию на экран. Также решения SIEM помогают оценить защищенность информационных систем и актуальные для предприятия риски. Полученные от SIEM-систем данные используются при расследовании инцидентов и для формирования отчетности.

Чаще всего потребность в SIEM возникает у предприятий финансового и промышленного сектора, небольших образовательных учреждений и иных организаций с численностью более 50 человек.