Security Information and Event Management (SIEM) is een systeem dat informatie verzamelt voor verdere analyse en classificatie door een systeembeheerder of een informatiebeveiligingsspecialist.
Aanvankelijk bestond SIEM uit twee gebieden: Security Information Management, dat verantwoordelijk is voor informatiebeveiliging, en Security Event Management, dat beveiligingsgebeurtenissen controleert. In 2005 werden concepten gecombineerd en verschenen beveiligingsinformatie en Gebeurtenisbeheer.
De gegevens voor SIEM komen uit verschillende bronnen. Deze omvatten::
- gebeurtenislogboeken die worden geregistreerd door het besturingssysteem of een toepassing van derden
- netwerkapparatuur (routers, proxy-servers, gateways, enz.))
- firewall
- vulnerability scanners zijn speciale software die kwetsbaarheden in de infrastructuur vindt
- CRM-systemen
- user workstations
- antivirusprogramma
- andere bronnen die gebeurtenissen registreren en deze kunnen verzenden via agenten of ingebouwde tools
audit van informatiebeveiliging
Het principe van de werking
SIEM wordt gebruikt om inkomende informatie te monitoren en te analyseren, maar het beschermt de infrastructuur niet tegen externe en interne bedreigingen. De verzamelde analyses worden gebruikt om incidenten te identificeren en de beveiliging van het bedrijf te optimaliseren.
De criteria aan de hand waarvan de staat van de infrastructuur wordt beoordeeld, worden vastgesteld. De apparatuur die door SIEM wordt gecontroleerd, wordt voorgeschreven. Als er een gebeurtenis optreedt die verder gaat dan de geconfigureerde sjablonen, reageert SIEM op de wijziging en registreert het incident.
Het wordt aanbevolen dat u het systeem eerst op een klein aantal apparaten implementeert om te testen. Beheerders controleren de prestaties, bewerken de regels en voeren deze vervolgens uit in de werkmodus.
Een extra kenmerk van het systeem: op basis van de verkregen gegevens worden de acties van indringers geanalyseerd. Met andere woorden, het vastleggen van incidenten helpt om dergelijke gebeurtenissen te onderzoeken.
De ingebouwde meldingsfunctie informeert beheerders over schendingen of problemen via e-mail, SMS en messengers.
De software is een flexibele tool die is geconfigureerd volgens de eisen en wensen van de gebruiker.
Componenten van SIEM
De softwareoplossing is voorwaardelijk verdeeld in twee componenten. De eerste categorie omvat monitoringagenten. Zij worden geïnstalleerd op de elementen van het informatiesysteem waaruit de metingen worden genomen. Het tweede element is het servergedeelte. Het verwerkt inkomende informatie van agenten, registreert gebeurtenissen en incidenten op basis van de vastgestelde regels. Templates voor informatieverwerking en incident logging worden ingesteld door informatiebeveiligingsspecialisten tijdens de configuratie
SIEM systems
Verdere analyse van de gemelde incidenten valt ook onder de afdeling informatiebeveiliging. Ze gebruiken ingebouwde tools om rapporten te maken, te reageren op gebeurtenissen en proberen herhaling van incidenten in de toekomst te voorkomen.
Ook tussenliggende elementen zoals collectoren en correlatoren zijn geïntegreerd. De eerste worden geïnstalleerd als gewone opslagplaatsen. Ze filteren de gegevens door duplicaten en lege records uit te filteren. De laatste isoleert de nodige gegevens tussen een verscheidenheid aan gebeurtenissen. Aangezien informatie in verschillende formaten en van verschillende soorten wordt gepresenteerd, verzamelt het SIEM-systeem deze informatie en brengt deze naar één enkele weergave.
Beroemde SIEM:
- Splunk Enterprise Security
- HPE ArcSight
- McAfee NitroSecurity
- Qradar
- Tibco Loglogic
- MaxPatrol
- AlienVault Usm
- KOMRAD van NGO Echelon