V súčastnosti sú bezpečnostné prvky počítačových sietí vnímané ako samozrejmosť.

Zariadenia ako Firewall, IDS, DLP, AntiVirus, AntiSpam, ale aj samotné operačné systémy poskytujú aktívne alebo pasívne nástroje na ochranu pred bezpečnostnými hrozbami zo siete. Tieto prvky však zaznamenávajú obrovské množstvá udalostí, ktoré je nevyhnutné ukladať a spracovávať, aby sa zabezpečila ich optimálna funkčnosť a efektivita. Spravidla platí, čím väčšia a rôznorodejšia je počítačová sieť, tým viac bezpečnostných prvkov alebo riešení obsahuje. Ako sa však v týchto záznamoch a udalostiach vyznať? 

Pre úspešné pokrytie týchto udalostí z pohľadu analýzy a vyhodnocovania, je nutné použitie unifikovaného a sofistikovaného riešenia, ktoré by tieto záznamy zbieralo, archivovalo, analyzovalo a o zistených náväznostiach medzi nimi informovalo určené zodpovedné osoby.

Takéto riešenia sa všeobecne nazývajú Security Information and Event Management alebo SIEM.

Typická funkcionalita týchto riešení:

  • zber všetkých relevantných bezpečnostných udalostí
  • zber štatistických dát o sieťovej premávke
  • archivácia pre účely forenznej analýzy
  • korelácia medzi bezpečnostnými udalosťami a odhaľovanie bezpečnostných rizík
  • odhalenie prípadných porúch sieťových prvkov
  • vizualizácia analyzovaných dát
  • súlad s regulačnými normami a predpismi - regulatory compliance
  • reporting analyzovaných a identifikovaných hrozieb

Samozrejmosťou pri týchto riešeniach sú tieto vlastnosti:

  • podpora veľkého množstva zariadení, ktorých vstupné dáta sú natívne rozpoznávané a teda aj ľahko implementovateľné
  • možnosť podrobne špecifikovať vlastné parsre na rozpoznávanie neznámych dát
  • možnosť výberu z dostatočného množstva predpripravených reportov alebo možnosť tvorby vlastných reportov
  • detailná konfigurovateľnosť korelačných a filtrovacích pravidiel

 

Medzi popredné produkty za posledné roky patria:

Micro Focus ArcSight

Micro Focus ArcSight
IBM qradar

IBM qRadar

 

Prídavnou hodnotou integrátora pri nasadení SIEM riešenia je schopnosť analyzovať a nadizajnovať jednotlivé komponenty SIEM riešenia tak, aby fungovali čo najefektívnejšie. Integrácia všetkých relevantných prvkov siete do systému, úprava alebo tvorba vlastných parserov pre neznáme vstupné dáta tak, aby vyhovovali nutným požiadavkám na efektívnu analýzu a taktiež pomoc pri tvorbe korelačných a filtrovacích pravidiel a tvorba reportov pre potreby zákazníka.