SIEM
СКАЧАТЬ
Основное назначение
Управление информацией и событиями безопасности, или SIEM
SIEM — это решение для обеспечения безопасности, которое помогает организациям распознавать и устранять потенциальные угрозы безопасности и уязвимости до того, как они смогут нарушить бизнес-операции. Системы SIEM помогают службам
безопасности предприятия обнаруживать аномалии в поведении пользователей и использовать искусственный интеллект (ИИ) для автоматизации многих ручных процессов, связанных с обнаружением угроз и реагированием на инциденты.
ОСНОВНОЕ НАЗНАЧЕНИЕ
решение для распознавания и устранения потенциальных угроз безопасности и уязвимостей до того, как они смогут нарушить бизнес-операции
Функциональные задачи SIEM
Обеспечивается сбор данных (как событий ИБ, так и системных событий) от разнообразных источников: технические средства информационной безопасности (межсетевые экраны всех типов, системы предотвращения вторжений, антивирусы, системы защиты от спама, системы защиты от утечек данных, системы предварительного выполнения программ, контроля целостности и т. д.), серверы, прикладные системы и т.д.
Сопоставление и поиск по атрибутам, группирование и индексирование по определенным признакам. По сути корреляция является ключевой функцией SIEM, выдающей на выходе список коррелированных событий.
Проверка списка коррелированных событий с целью выявить инциденты ИБ и выполнить оповещение по данным инцидентам. Возможна как индикация на консоли управления SIEM, так и автоматизированное уведомление по сработанным корреляционным правилам.
Графики различных типов и форматов, таблицы, списки и другая визуализация по текущим событиям и инцидентам. Визуализация в значительной мере влияет на общее восприятие продукта и является важным элементом процесса Incident Monitoring/Tracking.
Хранение данных в течение заданного периода времени. Необходимо для ретроспективного анализа, расследований инцидентов, экспертиз. Большинство современных SIEM обрабатывают и хранят как сырые события (до процесса осуществления распознавания функциональных полей события (анг. - parsing), так и нормализованные события (события с распознанными полями).
Контекстный поиск в рамках расследований инцидентов и экспертиз. Важно отметить, что поиск в сырых и нормализованных событиях может существенно отличаться.
Создание настраиваемых отчетов с целью периодического информирования службы ИБ о текущих событиях, инцидентах, трендах. Как правило, отчеты могут выгружаться и использоваться в рамках комплексных отчетов служб ИБ.
Решения SIEM
Заинтересовал продукт?
Свяжитесь с нами и получите подробную консультацию
8 (800) 201-98-08
info@ic-cs.ru
info@ic-cs.ru
Будем рады нашему сотрудничеству