Close Menu
torsdag, november 21
Intrusion detection

SIEM – när du vill analysera loggar i realtid

daniel larssonBy Updated:Inga kommentarer3 Mins Read
Analyze log files

Vad är SIEM?

SIEM står för Security Information and Event Management och är en mjukvarulösning där man samlar in och analyserar loggar från olika datasystem i syfte att hitta oönskade aktiviteter vid säkerhetsincidenter. SIEM-system samlar och analyserar loggdata från olika källor i en organisation, som nätverksutrustning, servrar, och säkerhetssystem, för att ge en överblick över säkerhetsläget och hjälpa till att upptäcka, förhindra och svara på säkerhetshot.

SIEM-system kan upptäcka attacker som inte upptäckts på annat sätt, och kan leda omstruktureringen av företagets säkerhet genom att säkra till säkerhetsluckorna i företagets säkerhet.

Hur kan man använda SIEM?

Exempel på användningsfall inom SIEM

Datainsamling: SIEM-system samlar in logg- och händelsedata från olika källor inom en organisations IT-miljö.

Dataaggregering och normalisering: Data från olika källor aggregeras och normaliseras för att underlätta analys och jämförelser.

Händelseanalys och advanced detection: Systemet analyserar datan för att identifiera avvikelser eller tecken på säkerhetshot, som intrångsförsök eller misstänkt nätverksaktivitet.

Larm, compliance och rapportering: Om potentiella hot upptäcks, kan SIEM-systemet skicka larm och skapa rapporter för säkerhetsteamet.

Säkerhetsincidenthantering: SIEM kan integreras med Incident response dvs incidenthanteringssystem, threat hunting och workflow inom säkerhet för att säkerställa snabb och effektiv respons på säkerhetshot.

Exempel på SIEM plattformar och produkter

Några av de främsta SIEM produkter kan även stoppa upptäckta säkerhetsöverträdelser. SIEM har utökad kontroll och bättre detektion i säkerhetsarbetet.

Exempel på SIEM produkter.

  • LogRhythm Security Intelligence Platform fick pris redan 2016 som SANS 2016 bästa SIEM produkt. Kombinerar SIEM-funktioner med maskininlärning för att förbättra hotupptäckt och respons.
  • Splunk Enterprise är en produkt för att dataanalys, logghantering och IT operations. Det är ett populärt SIEM-verktyg som är känt för sin flexibilitet och förmåga att hantera stora datamängder. Själva marknadsför de sig som machine learning och datadriven analytics.
  • Hewlett Packard Enterprise’s ArcSight ESM
  • ConnectWise SIEM: Fokusera på cybersäkerhetsdataströmmar för att möjliggöra företagsomfattande synlighet, realtidsdetektion av hot (threat detection) och förenklad rapportering för compliance.
  • EMC RSA Security Analytics
  • AlienVault OSSIM: En open source-lösning som erbjuder grundläggande SIEM-funktionalitet och är populär bland mindre organisationer.
  • SolarWinds Log and Event Manager
  • IBM Security QRadar: Ett omfattande SIEM-system som erbjuder avancerad analys och hotupptäckt.
  • McAfee Enterprise Security Manager: Ger djupgående insikt i säkerhetshot och hjälper till med att snabbt identifiera och åtgärda säkerhetsincidenter.
Läs artikel om framgången med SOAR vilket till stor del beror på hur mogen organisationen är och hur mogen SEIM miljön är.

Om du inte har en SIEM produkt är det inte möjligt att upptäcka vissa typer av angrepp och oönskade aktiviteter. Andra kompletterande tjänster/produkter är IDS  och IPS.

https://www.youtube.com/watch?v=h2_MiD9OC_8

Share.

Daniel Larsson har jobbat med cybersecurity och datasäkerhet med fokus på Internet sedan 1998. Under åren har han marknadsfört scaleup cyberbolag inom områden som PKI, certifikat, digital signering, mobil säkerhet och kryptering. Han har tung erfarenhet av digital marknadsföring, webbutveckling och e-handel från några av världens största varumärken och jobbar till vardags på Expandtalk.

Related Posts

Comments are closed.