Wat is SIEM
Security Information and Event Management (SIEM) is een set van tools en services die worden aangeboden een holistische kijk op de informatiebeveiliging van een organisatie.
SIEM-tools bieden:
- Realtime inzicht in de informatiebeveiligingssystemen van een organisatie.
- Gebeurtenislogboek beheer dat gegevens uit talloze bronnen consolideert.
- Een correlatie van gebeurtenissen die zijn verzameld uit verschillende logboeken of beveiligingsbronnen, met behulp van als-dan-regels die intelligentie toevoegen aan onbewerkte gegevens.
- Automatische meldingen over beveiligingsgebeurtenissen . De meeste SIEM-systemen bieden dashboards voor beveiligingsproblemen en andere methoden voor directe melding.
SIEM werkt door twee technologieën te combineren: a) Security Information Management (SIM), dat gegevens uit logbestanden verzamelt voor analyse en rapporten over beveiligingsbedreigingen en -gebeurtenissen, en b) beveiligingsgebeurtenisbeheer (SEM), dat realtime systeembewaking uitvoert, netwerkbeheerders op de hoogte stelt van belangrijke problemen en correlaties vaststelt tussen beveiligingsgebeurtenissen.
De beveiligingsinformatie en gebeurtenisbeheerproces kan als volgt worden onderverdeeld:
- Gegevensverzameling – Alle bronnen van netwerkbeveiligingsinformatie, bijv. servers, besturingssystemen, firewalls, antivirussoftware en inbraakpreventiesystemen zijn geconfigureerd om gegevens in een SIEM-tool.De meeste moderne SIEM-tools gebruiken agents om gebeurtenislogboeken van bedrijfssystemen te verzamelen, die vervolgens worden verwerkt, gefilterd en naar de SIEM worden verzonden. Sommige SIEMs staan gegevensverzameling zonder agent toe. Splunk biedt bijvoorbeeld agentloze gegevensverzameling in Windows met behulp van WMI.
- Beleid – Er wordt een profiel gemaakt door de SIEM-beheerder, dat het gedrag van bedrijfssystemen definieert, zowel onder normale omstandigheden als tijdens vooraf gedefinieerde beveiligingsincidenten . SIEMs bieden standaardregels, waarschuwingen, rapporten en dashboards die kunnen worden afgestemd en aangepast aan specifieke beveiligingsbehoeften.
- Gegevensconsolidatie en correlatie – SIEM-oplossingen consolideren, parseren en analyseren logbestanden. Gebeurtenissen worden vervolgens gecategoriseerd op basis van de onbewerkte gegevens en passen correlatieregels toe die individuele gegevensgebeurtenissen combineren tot zinvolle beveiligingskwesties.
- Meldingen – Als een gebeurtenis of reeks gebeurtenissen een SIEM-regel activeert, stelt het systeem het beveiligingspersoneel op de hoogte.
Tools voor beveiligingsinformatie en gebeurtenisbeheer
Er zijn een aantal oplossingen voor beveiligingsinformatie en gebeurtenisbeheer op de markt. Arcsight ESM, IBM QRadar en Splunk behoren tot de meest populaire.
ArcSight
ArcSight verzamelt en analyseert loggegevens van de beveiligingstechnologieën, besturingssystemen en toepassingen van een onderneming. Zodra een kwaadaardige bedreiging is gedetecteerd, waarschuwt het systeem het beveiligingspersoneel.
ArcSight kan ook een automatische reactie starten om de kwaadaardige activiteit te stoppen. Een ander kenmerk is de mogelijkheid om bedreigingsinformatiefeeds van derden te integreren voor een nauwkeurigere bedreigingsdetectie.
IBM QRadar
IBM QRadar verzamelt logboekgegevens van bronnen in het informatiesysteem van een onderneming, inclusief netwerk apparaten, besturingssystemen, applicaties en gebruikersactiviteiten.
De QRadar SIEM analyseert loggegevens in realtime, waardoor gebruikers aanvallen snel kunnen identificeren en stoppen. QRadar kan ook logboekgebeurtenissen en netwerkstroomgegevens verzamelen van cloudgebaseerde applicaties. Deze SIEM ondersteunt ook feeds met informatie over bedreigingen.
Splunk
Splunk Enterprise Security biedt realtime monitoring van bedreigingen, snel onderzoek met behulp van visuele correlaties en onderzoeksanalyse om de dynamische activiteiten te traceren die verband houden met geavanceerde beveiliging bedreigingen.
De Splunk SIEM is beschikbaar als lokaal geïnstalleerde software of als cloudservice. Het ondersteunt de integratie van bedreigingsinformatiefeeds vanuit apps van derden.
SIEM- en PCI DSS-compliance
SIEM-tools kunnen een organisatie helpen PCI DSS-compliant te worden. Deze beveiligingsstandaard verzekert de klanten van een bedrijf dat hun creditcard- en betalingsgegevens beschermd blijven tegen diefstal of misbruik.
Een SIEM kan voldoen aan de volgende PCI DSS-vereisten:
- Ongeautoriseerd netwerkverbindingsdetectie – PCI DSS-compatibele organisaties hebben een systeem nodig dat alle ongeautoriseerde netwerkverbindingen van / naar de IT-middelen van een organisatie detecteert. Een SIEM-oplossing kan als een dergelijk systeem worden gebruikt.
- Zoeken naar onveilige protocollen – Een SIEM kan het gebruik van de toegestane services, protocollen en poorten van een organisatie documenteren en rechtvaardigen, evenals geïmplementeerde documentbeveiligingsfuncties voor onveilige protocollen.
- Inspecteer verkeersstromen over DMZ – PCI-compatibele organisaties moeten een DMZ implementeren die verbindingen beheert tussen niet-vertrouwde netwerken (bijv. internet) en een webserver. Bovendien moet inkomend internetverkeer naar IPs binnen de DMZ worden beperkt, terwijl uitgaand verkeer met kaarthoudergegevens moet worden geëvalueerd.
SIEM-oplossingen kunnen aan deze vereisten voldoen door het verkeer dat door de DMZ naar en van interne systemen stroomt te inspecteren en door te rapporteren over beveiligingskwesties.
Bekijk hoe Imperva Web Application Firewall u kan helpen met SIEM-integratie.
SIEM-integratie met Imperva-beveiligingsoplossingen
Imperva biedt kant-en-klare integratie met toonaangevende SIEM-oplossingen , inclusief ArcSight en Splunk.
Dit stelt onze klanten in staat om de beveiligingsgegevens die door onze producten worden geleverd gemakkelijk te integreren in hun SIEM-platform naar keuze, waar ze gemakkelijk toegankelijk en bekeken kunnen worden in een bredere context.
Imperva geïntegreerd met Splunk.
Imperva SIEM-integratie is op maat gemaakt om aan de beveiligingsbehoeften van uw toepassing te voldoen, zodat u door de ruis heen kunt en prioriteit kunt geven aan risicovolle bedreigingen. Tegelijkertijd krijgt u bruikbare inzichten.
Specifieke functies in onze integratiepakketten omvatten aanpasbare regels voor correlatie van beveiligingsgebeurtenissen, opties voor locatiespecifieke dreigingsanalyse, een vooraf gedefinieerd geoptimaliseerd dashboard en meer.
Aanvullende informatie over Imperva cloud SIEM-integratie is hier te vinden.
Imperva SIEM-integratie-informatie is hier te vinden.