09.12.2016 Экспертиза, БезопасностьSIEM-система разбирает логи различных систем и собирает из них общую картину происходящего
Количество и разнообразие атак и их форм ежегодно растет, а в системы безопасности с каждым годом добавляются новые компоненты, тем самым расширяя инфраструктуру информационной безопасности (ИБ). В ситуации, когда вы имеете 5-10 различных ИБ-систем, становится проблематично продуктивно их администрировать и понимать, что в целом происходит в вашей инфраструктуре. В связи с этим многие компании сегодня в качестве проактивной меры борьбы интегрируют в свои системы SIEM (Security Information Event Management), чтобы получить наиболее полное представление о том, что происходит в системе, иметь возможность строить подробные отчеты о ИБ-инцидентах и оперативно на них реагировать. Да, именно реагировать! Ни одна ИБ-система не может продуктивно защищать вас, находясь в вакууме — ситуация, когда вы купили NGFW (Next Generation Firewall), настроили его с помощью интегратора и два-три года он у вас стоит в той же конфигурации. В этой статье рассказывается о ключевых особенностях и возможностях SIEM. Как работает SIEM? Каждое приложение или сервис логируют свою деятельность в системных журналах. Например, если ваша система внезапно выключится или перезапустится, то данные события будут отражены в системном журнале. Если ваша система IPS (Intrusion Prevention System) предотвратила какую-либо атаку, она напишет об этом в системный журнал. Аналогичным образом все приложения записывают происходящие в них события в системный журнал. Чтобы иметь возможность оперативно мониторить события ...
читать далее.