Что такое SIEM?

Что такое SIEM?

Программное обеспечение SIEM (управление информацией о безопасности и событиях) централизованно собирает, хранит и анализирует журналы от периметра до конечного пользователя. Оно отслеживает угрозы безопасности в реальном времени для быстрого обнаружения и сдерживания атак, а также реагирования на них, предоставляя целостный отчет о безопасности и управление соответствием стандартам.

Когда на сеть, использующую SIEM, совершается атака, программное обеспечение предоставляет аналитику со всех ИТ-компонентов (шлюзов, серверов, брандмауэров и т. д.).

Преимущества использования SIEM

Программное обеспечение SIEM предоставляет организациям эффективный способ обнаружения новейших угроз безопасности в своих сетях. SIEM обеспечивает целостную картину ИТ-безопасности организации, предоставляя отчеты в реальном времени, а также долгосрочный анализ событий, угрожающих безопасности. SIEM записывает журналы событий в сети. Эти журналы предоставляют ИТ-отделу инструменты для сбора доказательной базы по инцидентам, которые программное обеспечение затем помогает анализировать. Полный набор журналов помогает удовлетворить многие требования к предоставлению отчетности. Благодаря обработке и нормализации сообщения из разных систем сводятся в общую модель данных и позволяют анализировать связанные события, которые записываются в различных форматах. Корреляция связывает события журналов из разнородных систем или приложений, что ускоряет обнаружение угроз безопасности и реагирование на них. Агрегация SIEM сокращает объем данных о событиях благодаря объединению повторяющихся записей о событиях и отправке отчетов о коррелированных, агрегированных данных о событиях в реальном времени, сравнивая их со сводками, собирающимися в течение долгого времени.

Решение проблем с помощью SIEM

В мире быстро появляются и распространяются многочисленные угрозы безопасности сетей. Стало больше точек доступа в сети из-за большей мобильности пользователей, увеличения количества дистанционных рабочих мест и огромного количества устройств, получающих доступ к сети.

Новые приложения и технологии создают риски и становятся привлекательным объектом для новых атак на сети. В одних организациях нарушения безопасности могут оставаться невыявленными в течение нескольких месяцев, в то время как в других есть ИТ-отделы, предназначенные для защиты сети от подозрительной деятельности. Они должны анализировать данные из множества источников, чтобы понимать угрозы, с которыми сталкивается сеть, и определять действия для устранения угроз.

Для работы ИТ-специалистов требуется комплексное и целостное решение, обеспечивающее многослойную безопасность для защиты от угроз, возникающих на всех уровнях и объектах сети. Кроме того, ИТ-отделам необходимо быть в курсе требований о соответствии стандартам, обеспечивая:

  • подотчетность, которая заключается в возможности просматривать отчеты о том, кто совершил то или иное действие и когда;
  • прозрачность, которая заключается в возможности обеспечивать визуальный контроль безопасности, бизнес-приложений и защищаемых активов;
  • измеримость, которая заключается в возможности предоставления метрик и отчетов о рисках в области ИТ-безопасности компании.

Juniper Networks SIEM

Juniper Networks Secure Analytics (JSA) — это платформа для управления безопасностью сети, которая облегчает сопоставление данных из широчайшего набора устройств и сетевого трафика. Она объединяет в себе управление журналами, SIEM и выявление аномалий поведения сети (NBAD) в одно интегрированное комплексное решение для управления безопасностью сети. Администраторы получают полную картину состояния безопасности сети, что облегчает соблюдение стандартов индустрии платежных карт (PCI), Федерального закона об управлении информационной безопасностью (FISMA) и иных требований.

Ресурсы

Практические ресурсы