Falcon Eyes – widzieć więcej – rzecz o wyborze i wdrożeniu systemu klasy SIEM

Wstęp 

Wiadomo, że zarządzanie zdarzeniami istotnymi z punktu widzenia bezpieczeństwa (Security Event Management) wychodzi daleko poza wyłącznie pozyskiwanie, przechowywanie i zabezpieczanie logów oraz dzienników zdarzeń aplikacji i systemów. Obejmuje dodatkowo przetwarzanie informacji o zdarzeniach (w tym interpretację, agregację, normalizację), detekcję i sygnalizację nieprawidłowości, śledzenie trendów zmian oraz – co najważniejsze – reagowanie na zdarzenia, a potem także ich dokumentowanie i raportowanie. Wszystko to pozwala finalnie wyjść z chaosu logów i wkroczyć do uporządkowanego świata korelacji zdarzeń.

Skuteczność tego przedsięwzięcia wymaga, by zarządzanie zdarzeniami bezpieczeństwa odbywało się w ramach dobrze wcześniej zaplanowanego procesu i zostało wsparte odpowiednimi narzędziami, wśród których najważniejszą rolę może odegrać system klasy SIEM (Security Information and Event Management). Wspomniany proces i wspierające go narzędzia, pod warunkiem wszakże, że są dobrze od samego początku zaprojektowane i wdrożone, stają się dla organizacji czymś więcej niż tylko sposobem monitorowania bezpieczeństwa systemów i detekcji incydentów. Dodatkowo mogą dostarczyć nieocenionych wartości w takich dziedzinach jak: zarządzanie ryzykiem, podatnościami systemów oraz incydentami bezpieczeństwa, a także przy przeprowadzaniu analiz materiałów dowodowych (forensic analysis) i monitorowaniu systemów, tym razem nie tylko pod kątem bezpieczeństwa, lecz także pod kątem sposobów wykorzystania, detekcji potencjalnych oszustw (e-fraudów), obciążenia oraz dostępności. Czytaj więcej