Što je sigurnosni incident i upravljanje događajima (siem)? - definicija iz tehopedije

Definicija - Što znači upravljanje sigurnosnim incidentima i događajima (SIEM)?

Upravljanje sigurnosnim incidentima i događajima (SIEM) postupak je identificiranja, nadziranja, snimanja i analiziranja sigurnosnih događaja ili incidenata unutar IT okruženja u stvarnom vremenu. Pruža sveobuhvatan i centralizirani prikaz sigurnosnog scenarija IT infrastrukture.

Upravljanje sigurnosnim incidentima i događajima također je poznato i kao upravljanje sigurnosnim informacijama.

Techopedia objašnjava upravljanje sigurnosnim incidentima i događajima (SIEM)

SIEM se implementira putem softvera, sustava, uređaja ili neke kombinacije ovih stavki. Postoji, uglavnom, šest glavnih atributa SIEM sustava:

• Zadržavanje : pohranjivanje podataka za dugo razdoblje kako bi se mogle donositi odluke iz potpunijih podataka.
• Nadzorne ploče : Koristi se za analizu (i vizualizaciju) podataka u pokušaju prepoznavanja obrazaca ili ciljne aktivnosti ili podataka koji se ne uklapaju u uobičajeni obrazac.
• Povezanost : sortiranje podataka u pakete koji su značajni, slični i dijele zajedničke osobine. Cilj je pretvoriti podatke u korisne informacije.
• Upozorenje : Kada se prikupe ili identificiraju podaci koji pokreću određene odgovore - poput upozorenja ili potencijalnih sigurnosnih problema - alati SIEM mogu aktivirati određene protokole za upozoravanje korisnika, poput obavijesti poslanih na nadzornu ploču, automatizirane e-poruke ili tekstne poruke.
• Agregiranje podataka : Podaci se mogu prikupljati s bilo kojeg broja mjesta nakon uvođenja SIEM-a, uključujući servere, mreže, baze podataka, softver i e-poštu. Agregator također služi kao konsolidirajući resurs prije nego što se podaci pošalju za korelaciju ili zadržavanje.
• Sukladnost : Mogu se uspostaviti protokoli u SIEM-u koji automatski prikupljaju podatke potrebne za usklađenost s politikama poduzeća, organizacije ili vlade.