Ce este SIEM
Informații de securitate și gestionarea evenimentelor (SIEM) este un set de instrumente și servicii care oferă o vedere holistică a securității informațiilor unei organizații.
Instrumentele SIEM oferă:
- Vizibilitate în timp real a sistemelor de securitate a informației unei organizații.
- Jurnal de evenimente management care consolidează date din numeroase surse.
- O corelație de evenimente colectate din diferite jurnale sau surse de securitate, utilizând reguli if-then care adaugă informații datelor brute.
- Notificări automate de evenimente de securitate . Majoritatea sistemelor SIEM oferă tablouri de bord pentru probleme de securitate și alte metode de notificare directă.
SIEM funcționează prin combinarea a două tehnologii: a) Managementul informațiilor de securitate (SIM), care colectează date din fișierele jurnal pentru analiză. și rapoarte privind amenințările și evenimentele de securitate și b) gestionarea evenimentelor de securitate (SEM), care efectuează monitorizarea sistemului în timp real, notifică administratorii rețelei despre probleme importante și stabilește corelații între evenimentele de securitate.
Informațiile de securitate și procesul de gestionare a evenimentelor poate fi defalcat după cum urmează:
- Colectarea datelor – Toate sursele de informații privind securitatea rețelei, de exemplu, servere, sisteme de operare, firewall-uri, software antivirus și sisteme de prevenire a intruziunilor sunt configurate pentru a alimenta evenimentele date într-un instrument SIEM. Cele mai multe instrumente SIEM moderne folosesc agenți pentru a colecta jurnalele de evenimente din sistemele de întreprindere, care sunt apoi procesate, filtrate și trimise către SIEM. Unele SIEM permit colectarea datelor fără agenți. De exemplu, Splunk oferă colectarea de date fără agent în Windows utilizând WMI.
- Politici – Un profil este creat de administratorul SIEM, care definește comportamentul sistemelor de întreprindere, atât în condiții normale, cât și în timpul incidentelor de securitate predefinite. . SIEM oferă reguli implicite, alerte, rapoarte și tablouri de bord care pot fi reglate și personalizate pentru a se potrivi nevoilor specifice de securitate.
- Consolidarea și corelarea datelor – soluțiile SIEM consolidează, analizează și analizează fișierele jurnal. Evenimentele sunt apoi clasificate pe baza datelor brute și aplică reguli de corelație care combină evenimentele de date individuale în probleme semnificative de securitate.
- Notificări – Dacă un eveniment sau un set de evenimente declanșează o regulă SIEM, sistemul notifică personalul de securitate.
Informații de securitate și instrumente de gestionare a evenimentelor
Există o serie de informații de securitate și soluții de gestionare a evenimentelor pe piață. Arcsight ESM, IBM QRadar și Splunk sunt printre cele mai populare.
ArcSight
ArcSight colectează și analizează datele jurnalului din tehnologiile de securitate, sistemele de operare și aplicațiile unei întreprinderi. Odată ce este detectată o amenințare rău intenționată, sistemul alertează personalul de securitate.
ArcSight poate începe, de asemenea, o reacție automată pentru a opri activitatea rău intenționată. O altă caracteristică este abilitatea de a integra fluxuri de informații de amenințări terță parte pentru o detecție mai precisă a amenințărilor.
IBM QRadar
IBM QRadar colectează date jurnal din surse în sistemul de informații al unei întreprinderi, inclusiv în rețea dispozitive, sisteme de operare, aplicații și activități ale utilizatorilor.
QRadar SIEM analizează datele jurnalului în timp real, permițând utilizatorilor să identifice și să oprească rapid atacurile. QRadar poate colecta, de asemenea, evenimente jurnal și date despre fluxul de rețea din aplicații bazate pe cloud. Acest SIEM acceptă, de asemenea, fluxuri de informații privind amenințările.
Splunk
Splunk Enterprise Security oferă monitorizare în timp real a amenințărilor, investigații rapide utilizând corelații vizuale și analize de investigație pentru a urmări activitățile dinamice asociate cu securitatea avansată amenințări.
Splunk SIEM este disponibil ca software instalat local sau ca serviciu cloud. Acceptă integrarea feed-ului de informații de amenințări din aplicații terțe.
Conformitatea SIEM și PCI DSS
Instrumentele SIEM pot ajuta o organizație să devină compatibilă cu PCI DSS. Acest standard de securitate asigură clienții unei companii că cardul de credit și datele de plată vor rămâne în siguranță împotriva furtului sau a utilizării incorecte.
Un SIEM poate îndeplini următoarele cerințe PCI DSS:
- Neautorizat detectarea conexiunii la rețea – organizațiile care respectă PCI DSS au nevoie de un sistem care detectează toate conexiunile de rețea neautorizate la / de la activele IT ale unei organizații. O soluție SIEM poate fi utilizată ca un astfel de sistem.
- Căutarea protocoalelor nesigure – Un SIEM este capabil să documenteze și să justifice utilizarea serviciilor, protocoalelor și porturilor permise de o organizație, precum și caracteristicile de securitate ale documentelor implementate. pentru protocoale nesigure.
- Inspectați fluxurile de trafic peste DMZ – organizațiile care respectă PCI trebuie să implementeze un DMZ care gestionează conexiunile între rețelele neacredibile (de exemplu, internetul) și un server web. În plus, traficul de internet de intrare către adresele IP din DMZ trebuie să fie limitat, în timp ce traficul de ieșire care se ocupă cu detaliile titularului de card trebuie evaluat.
Soluțiile SIEM pot îndeplini aceste cerințe prin inspectarea traficului care circulă peste DMZ către și de la sistemele interne și prin raportarea problemelor de securitate.
Vedeți cum Imperva Web Application Firewall vă poate ajuta cu integrarea SIEM.
Integrarea SIEM cu soluțiile de securitate Imperva
Imperva oferă integrare la cheie cu soluții SIEM de vârf , inclusiv ArcSight și Splunk.
Acest lucru le permite clienților noștri să integreze cu ușurință datele de securitate furnizate de produsele noastre în platforma lor de alegere SIEM, unde pot fi accesate și vizualizate cu ușurință într-un context mai larg.
Imperva integrată cu Splunk.
Integrarea Imperva SIEM este personalizată realizate pentru a satisface nevoile de securitate ale aplicației dvs., permițându-vă să reduceți zgomotul și să acordați prioritate amenințărilor cu risc ridicat. În același timp, vi se vor oferi informații utile.
Funcțiile specifice din pachetele noastre de integrare includ reguli personalizabile pentru corelarea evenimentelor de securitate, opțiuni pentru analiza amenințărilor specifice site-ului, un tablou de bord optimizat predefinit și multe altele.
Informații suplimentare despre integrarea Imperva cloud SIEM pot fi găsite aici.
Informațiile privind integrarea Imperva SIEM pot fi găsite aici.