Что такое SIEM-решение

Что такое SIEM-решение

SOC— важная концепция кибербезопасности, и я узнал об этом одним из первых. Со временем в своей повседневной работе я провожу много времени, изучая системы SIEM и используемые решения SOC.

В чем разница между SIEM и SOC? SIEM расшифровывается как Security Incident Event Management и отличается от SOC тем, что представляет собой систему, которая собирает и анализирует агрегированные данные журналов. SOC означает Security Operations Center и состоит из людей, процессов и технологий, предназначенных для обработки событий безопасности, полученных из анализа SIEM.

Оба набора технологий дополняют друг друга с помощью SIEM, анализирующего данные для поиска событий, требующих внимания группы SOC для обработки. Аналитики команд SOC изучат оповещения от систем SIEM и решат, нужно ли их эскалировать дальше. Или это просто ложные срабатывания, когда предупреждение SIEM не так опасно, как ожидалось, и система SIEM сообщает о нем неправильно.

Что такое SIEM-решение?

Решение SIEM состоит из ряда компонентов, участвующих в управлении информацией о безопасности (SIM) и управлении событиями безопасности (SEM), включая следующие:

  • Агрегация данных
  • Аналитика угроз
  • Корреляция событий безопасности
  • Расширенная аналитика
  • SOC-автоматизация
  • Панели мониторинга
  • Поиск угроз
  • Судебная экспертиза

Давайте рассмотрим эти компоненты решения SIEM более подробно, чтобы увидеть, как они работают и сочетаются друг с другом для анализа инцидентов и предоставления событий безопасности командам SOC.

Решениям SIEM нужны данные из нескольких источников как часть агрегации данных, перемещая данные в одно место. Системы SIEM либо сами собирают данные, либо используют серверы пересылки для отправки журналов из других систем в систему SIEM. Эти журналы, которые собирает SIEM, представляют собой серию событий, записанных в файлы, предоставляя историю активности.

Когда в системе SIEM есть журналы, она использует процесс для анализа событий в журналах и классификации событий в зависимости от серьезности события. Системы SIEM имеют специализированное программное обеспечение, способное анализировать события, используя информацию об угрозах и исторический анализ, чтобы определить, какие события требуют принятия мер, а какие можно игнорировать, поскольку они представляют небольшую угрозу.

Leave a comment

    Send a Comment

    Ваш адрес email не будет опубликован.