Security Information and Event Management (SIEM), to system monitorowania, który agreguje dane z wielu różnych źródeł wrażliwych na bezpieczeństwo, analizuje dane, prezentuje je i generuje alerty po spełnieniu określonych kryteriów wyzwalania. Dane SIEM są pozyskiwane z różnych źródeł, w tym z sieci, systemów bezpieczeństwa, serwerów, baz danych, aplikacji itp. Następnie dane są analizowane w celu wykrycia nieprawidłowości, które mogą wskazywać na problem. Dane z różnych źródeł są często skorelowane, aby zapewnić bardziej znaczący kontekst dla poszczególnych wydarzeń.
Security Information and Event Management wysyła alerty o podejrzanych zdarzeniach do dashboardów lub kanałów zewnętrznych, takich jak poczta e-mail. Dane prezentowane na dashboardach pomagają analitykom w identyfikacji nieprawidłowych działań. Alerty można skonfigurować w celu wyzwalania zabezpieczeń, w celu zebrania dodatkowych danych lub wymuszenia działania blokującego, aby zapobiec atakowi.
Podstawowe systemy SIEM stosują podejście oparte na regułach do wyzwalania alertów. Bardziej zaawansowane systemy wykorzystują uczenie maszynowe do analizy ogromnych ilości gromadzonych danych.
Systemy SIEM są również wykorzystywane do celów przechowywania danych, wspierania dochodzeń kryminalistycznych oraz przestrzegania wymogów/przepisów dotyczących przechowywania danych.
Trochę mało tutaj wiedzy na temat SIEMa będziesz kontynuował, rozszerzał temat, czy raczej na tym poprzestaniesz ?
Temat na pewno będzie kontynuowany lub rozszerzany. Na tym etapie pojawiają się w większości krótkie wpisy. ale z czasem będą pojawiać się również treści bardziej rozbudowane 😉