Vad är SIEM?
SIEM står för Security Information and Event Management och är en mjukvarulösning där man samlar in och analyserar loggar från olika datasystem i syfte att hitta oönskade aktiviteter vid säkerhetsincidenter. SIEM-system samlar och analyserar loggdata från olika källor i en organisation, som nätverksutrustning, servrar, och säkerhetssystem, för att ge en överblick över säkerhetsläget och hjälpa till att upptäcka, förhindra och svara på säkerhetshot.
SIEM-system kan upptäcka attacker som inte upptäckts på annat sätt, och kan leda omstruktureringen av företagets säkerhet genom att säkra till säkerhetsluckorna i företagets säkerhet.
Hur kan man använda SIEM?
Exempel på användningsfall inom SIEM
Datainsamling: SIEM-system samlar in logg- och händelsedata från olika källor inom en organisations IT-miljö.
Dataaggregering och normalisering: Data från olika källor aggregeras och normaliseras för att underlätta analys och jämförelser.
Händelseanalys och advanced detection: Systemet analyserar datan för att identifiera avvikelser eller tecken på säkerhetshot, som intrångsförsök eller misstänkt nätverksaktivitet.
Larm, compliance och rapportering: Om potentiella hot upptäcks, kan SIEM-systemet skicka larm och skapa rapporter för säkerhetsteamet.
Säkerhetsincidenthantering: SIEM kan integreras med Incident response dvs incidenthanteringssystem, threat hunting och workflow inom säkerhet för att säkerställa snabb och effektiv respons på säkerhetshot.
Exempel på SIEM plattformar och produkter
Några av de främsta SIEM produkter kan även stoppa upptäckta säkerhetsöverträdelser. SIEM har utökad kontroll och bättre detektion i säkerhetsarbetet.
Exempel på SIEM produkter.
- LogRhythm Security Intelligence Platform fick pris redan 2016 som SANS 2016 bästa SIEM produkt. Kombinerar SIEM-funktioner med maskininlärning för att förbättra hotupptäckt och respons.
- Splunk Enterprise är en produkt för att dataanalys, logghantering och IT operations. Det är ett populärt SIEM-verktyg som är känt för sin flexibilitet och förmåga att hantera stora datamängder. Själva marknadsför de sig som machine learning och datadriven analytics.
- Hewlett Packard Enterprise’s ArcSight ESM
- ConnectWise SIEM: Fokusera på cybersäkerhetsdataströmmar för att möjliggöra företagsomfattande synlighet, realtidsdetektion av hot (threat detection) och förenklad rapportering för compliance.
- EMC RSA Security Analytics
- AlienVault OSSIM: En open source-lösning som erbjuder grundläggande SIEM-funktionalitet och är populär bland mindre organisationer.
- SolarWinds Log and Event Manager
- IBM Security QRadar: Ett omfattande SIEM-system som erbjuder avancerad analys och hotupptäckt.
- McAfee Enterprise Security Manager: Ger djupgående insikt i säkerhetshot och hjälper till med att snabbt identifiera och åtgärda säkerhetsincidenter.
Om du inte har en SIEM produkt är det inte möjligt att upptäcka vissa typer av angrepp och oönskade aktiviteter. Andra kompletterande tjänster/produkter är IDS och IPS.