Sikkerhetsinformasjon og hendelsesadministrasjon (SIEM)

Hva er SIEM

SIEM (Security Information and Event Management) er et sett med verktøy og tjenester som tilbyr et helhetlig syn på en organisasjons informasjonssikkerhet.

SIEM-verktøy gir:

• Sikt i sanntid på tvers av organisasjonens informasjonssikkerhetssystemer.
• Hendelseslogg administrasjon som konsoliderer data fra mange kilder.
• En korrelasjon av hendelser samlet fra forskjellige logger eller sikkerhetskilder, ved hjelp av if-then-regler som legger intelligens til rådata.
• Automatiske varslinger om sikkerhetshendelser . De fleste SIEM-systemer tilbyr dashbord for sikkerhetsproblemer og andre metoder for direkte varsling.

SIEM fungerer ved å kombinere to teknologier: a) Security Information Management (SIM), som samler inn data fra loggfiler for analyse. og rapporter om sikkerhetstrusler og hendelser, og b) sikkerhetshåndteringsadministrasjon (SEM), som utfører systemovervåking i sanntid, varsler nettverksadministratorer om viktige spørsmål og etablerer sammenhenger mellom sikkerhetshendelser.

Sikkerhetsinformasjonen og hendelsesadministrasjonsprosessen kan brytes ned som følger:

1. Datainnsamling – Alle kilder til nettverkssikkerhetsinformasjon, f.eks. servere, operativsystemer, brannmurer, antivirusprogramvare og innbruddsforebyggende systemer er konfigurert til å mate hendelsen data til et SIEM-verktøy. De fleste moderne SIEM-verktøy bruker agenter til å samle inn hendelseslogger fra bedriftssystemer, som deretter blir behandlet, filtrert og sendt dem til SIEM. Noen SIEM-er tillater agentløs datainnsamling. For eksempel tilbyr Splunk agentløs datainnsamling i Windows ved hjelp av WMI.
2. Retningslinjer – En profil er opprettet av SIEM-administratoren, som definerer oppførselen til bedriftssystemer, både under normale forhold og under forhåndsdefinerte sikkerhetshendelser. . SIEM-er inneholder standardregler, varsler, rapporter og dashbord som kan stilles inn og tilpasses for å passe spesifikke sikkerhetsbehov.
3. Datakonsolidering og korrelasjon – SIEM-løsninger konsoliderer, analyserer og analyserer loggfiler. Hendelser kategoriseres deretter basert på rådataene og bruker korrelasjonsregler som kombinerer individuelle datahendelser til meningsfylte sikkerhetsproblemer.
4. Varsler – Hvis en hendelse eller et sett med hendelser utløser en SIEM-regel, varsler systemet sikkerhetspersonell.

Sikkerhetsinformasjon og verktøy for hendelsesadministrasjon

Det finnes en rekke sikkerhetsinformasjons- og hendelsesadministrasjonsløsninger på markedet. Arcsight ESM, IBM QRadar og Splunk er blant de mest populære.

ArcSight

ArcSight samler inn og analyserer loggdata fra bedriftens sikkerhetsteknologi, operativsystemer og applikasjoner. Når en ondsinnet trussel er oppdaget, varsler systemet sikkerhetspersonell.

ArcSight kan også starte en automatisk reaksjon for å stoppe den ondsinnede aktiviteten. En annen funksjon er evnen til å integrere tredjeparts feedsinformasjon for mer nøyaktig deteksjon av trusler.

IBM QRadar

IBM QRadar samler loggdata fra kilder i et foretaks informasjonssystem, inkludert nettverk enheter, operativsystemer, applikasjoner og brukeraktiviteter.

QRadar SIEM analyserer loggdata i sanntid, slik at brukerne raskt kan identifisere og stoppe angrep. QRadar kan også samle logghendelser og nettverksflytdata fra skybaserte applikasjoner. Denne SIEM støtter også feedsinformasjon.

Splunk

Splunk Enterprise Security gir sanntids trusselovervåking, raske undersøkelser ved hjelp av visuelle korrelasjoner og etterforskningsanalyse for å spore dynamiske aktiviteter knyttet til avansert sikkerhet trusler.

Splunk SIEM er tilgjengelig som lokalt installert programvare eller som en skytjeneste. Den støtter integrasjon av trusselinformasjon fra tredjepartsapper.

SIEM og PCI DSS-samsvar

SIEM-verktøy kan hjelpe en organisasjon å bli PCI DSS-kompatibel. Denne sikkerhetsstandarden forsikrer selskapets kunder om at kredittkort- og betalingsdata vil forbli trygge mot tyveri eller misbruk.

Et SIEM kan oppfylle følgende PCI DSS-krav:

• Uautorisert nettverkstilkoblingsdeteksjon – PCI DSS-kompatible organisasjoner trenger et system som oppdager alle uautoriserte nettverkstilkoblinger til / fra organisasjonens IT-eiendeler. En SIEM-løsning kan brukes som et slikt system.
• Søke etter usikre protokoller – En SIEM er i stand til å dokumentere og rettferdiggjøre bruken av organisasjonens tillatte tjenester, protokoller og porter, samt implementerte dokumentsikkerhetsfunksjoner for usikre protokoller.
• Inspiser trafikkstrømmer over DMZ – PCI-kompatible organisasjoner trenger å implementere en DMZ som administrerer forbindelser mellom ikke-klarerte nettverk (f.eks. internett) og en webserver. I tillegg må innkommende internettrafikk til IP-er innenfor DMZ begrenses mens utgående trafikk som handler om kortinnehaveropplysninger, må vurderes.

SIEM-løsninger kan oppfylle disse kravene ved å inspisere trafikk som strømmer over DMZ til og fra interne systemer, og ved å rapportere om sikkerhetsspørsmål.

SIEM-integrasjon med Imperva-sikkerhetsløsninger

Imperva gir totalintegrasjon med ledende SIEM-løsninger , inkludert ArcSight og Splunk.

Dette gjør at kundene våre enkelt kan integrere sikkerhetsdataene som tilbys av produktene våre i deres valgte SIEM-plattform, hvor de lett kan nås og vises i en bredere sammenheng.

Imperva SIEM-integrasjon er skreddersydd laget for å møte søknadens sikkerhetsbehov, slik at du kan kutte gjennom støyen og prioritere høyrisiko-trusler. Samtidig vil du få handlingsbar innsikt.

Spesifikke funksjoner i integrasjonspakkene våre inkluderer tilpassbare regler for korrelering av sikkerhetshendelser, alternativer for stedsspesifikk trusselanalyse, et forhåndsdefinert optimalisert dashbord og mer.

Tilleggsinformasjon om Imperva sky SIEM-integrering finner du her.

Imperva SIEM-integrasjonsinformasjon finner du her.