Что такое SIEM и зачем она нужна

Системы информационной безопасности совершенствуются и модернизируются каждый год, месяц, и даже день. Неспроста, ведь в мире постоянно возникают тысячи новых угроз, к которым нужно адаптироваться, чтобы обеспечить максимально эффективную защиту от несанкционированного вторжения. Киберпреступники никогда не сидели на месте сложа руки. Однако оказывается, что мало просто установить систему безопасности. Какой бы качественной, современной и надёжной она ни была, всё равно необходимо устранять возникающие угрозы. То есть необходимо как можно быстрее реагировать на сообщения, поступающие от систем защиты данных. Особенно всё вышесказанное касается крупных организаций. Прежде всего, в таких компаниях бывает больше всего информации и различного типа данных, которые нужно в обязательном порядке защищать. Охранять их нужно как можно более тщательно и строго. Но в тех же больших организациях инфраструктура оказывается настолько многоуровневой и в целом сложной, что уследить за огромным потоком сведений о вторжениях в систему бывает чрезвычайно сложно и даже порой невозможно. Что делать? А здесь на помощь и приходит так называемая система SIEM - Security Information & Event Management (Информационная Безопасность и Управление Событиями).

В первую очередь, SIEM решает задачу обобщения и объединения всех журналов происходящих событий с различных ресурсов (это могут быть журналы операционных систем, программного обеспечения, устройств в сети и т.д.). Бывает такое, что вовремя угроза обнаружена не была. И пусть даже система безопасности отреагировала как положено, отразив атаку (хотя такое случается, поверьте, далеко не всегда!), журнал, то есть "история" этих нападений на систему впоследствии оказывается более не доступной. А SIEM не просто собирает со всей сети эту информацию, но и хранит её в течение установленного периода времени. Таким образом, вы всегда сможете обратиться к журналу событий посредством системы SIEM.

Кроме консолидации всех событий и их хранения, система предоставляет возможность пользоваться удобными встроенными средствами для анализа и работы с произошедшими инцидентами. Она преобразовывает трудночитаемые форматы данных о событиях, при этом выделяя только наиболее значимые и отсеивая массу других, недостойных вашего драгоценного внимания и времени.

Также удобство этой системы заключается в том, что в её особых правилах содержится ряд условий, в соответствии с которыми об определённых событиях вы не будете знать, пока их не накопится, скажет три или более. Наиболее простым и одновременно ярким примером может служить событие неверно введённого пароля. Система не будет предупреждать вас, если была зафиксирована лишь одна попытка ввести невалидный пароль - это случается сплошь и рядом. Достаточно просто допустить опечатку, случайно нажать Caps или забыть переключить раскладку клавиатуры - и пожалуйста, событие. Однако если система регистрирует повторяющиеся попытки ввода неверного пароля к одному и тому же аккаунту, событие переходит в статус угрозы, поскольку это может свидетельствовать о чьём-то желании несанкционированно проникнуть в систему при помощт подбора пароля.

Таким образом, в условиях крупной организации или любой компании, для которой важна информационная безопасность, для полноценной и надёжной защиты данных наличие системы SIEM оказывается не просто рекомендуемым, но даже обязательным условием.