Jak se zorientovat v záplavě bezpečnostních logů? – Security Information and Event Management (SIEM)

Jak se zorientovat v záplavě bezpečnostních logů? – Security Information and Event Management (SIEM)

04. 02. 2022
Komerční i veřejné instituce se konečně (víceméně poctivě) zabývají bezpečností. A to bezpečností technickou, kybernetickou i procesní. Bezpečnost systémů je komplexní a vícevrstvá problematika a často pro bezpečnostního manažera i uživatele působí jako neprostupná mlha. Z té občas zdánlivě nahodile vykoukne tu incident, tu zranitelnost, tu únik či ztráta dat anebo jiné nepříjemné situace způsobené nedostatkem zabezpečení systémů.

Správné nástroje jsou základ

K orientaci v mnoha rovinách zabezpečení, opatření, zranitelností a bezpečnostních hrozeb slouží nástroje, které IT a bezpečnostním pracovníkům zajistí monitoring a přehled (visibility). Do jisté míry dokážou aktuální bezpečnostní situaci interpretovat a vyhodnotit.

Mezi takové nástroje patří systém managementu bezpečnostních událostí (SIEM). SIEM sbírá informace z technických prostředků, operačních systémů, síťové infrastruktury nebo aplikací (tzv. logsources). K agregaci těchto informací – událostí – se jako mezivrstva obvykle využívá např. běžněji používaná technologie log managementu.

SIEM – co vše pokrývá

Základním úkolem SIEMu je dávat výše uvedené informace a vstupy do širších souvislostí spolu s informacemi o toku v síti, zranitelnostech a míře rizika pro daný segment nebo zařízení. Je to také jeden ze základních prvků, který produkuje bezpečnostní informace (a detekuje bezpečnostní události) pro plnění povinností vyplývajících ze zákona o kybernetické bezpečnosti a příslušných vyhlášek.

Našim klientům doporučujeme SIEM řešení od společnosti IBM – IBM Security QRadar, které poskytuje log management, event management, reporting a analýzy chování na úrovni sítí, aplikací nebo uživatelů. Systém je konfigurován s desítkami scénářů použití (use cases).

SIEM je schopen dodávat informace a výstupy do dalších systémů a služeb, které pomáhají udržovat přehled a interpretovat průběžné výsledky bezpečnostního monitoringu. Jedná se zejména o nadstavbu IBM Security SOAR Platform (dříve Resilient) a 24/7 službu bezpečnostního dohledu TS SOC a reakčního teamu CSIRT. Výsledkem je řešení, které umožňuje bezpečnostním analytikům nejen efektivně reagovat na již proběhlé bezpečnostní incidenty, ale dokonce tyto incidenty předvídat a předcházet jim.

Příkladem rozšířené funkčnosti Qradaru je modul QRadar Incident Forensics. Ten umožnuje analyzovat zachycený bezpečnostní incident na úrovni jednotlivých kroků útočníka a dohledává všechny relevantní související bezpečnostní události a informace. Tím pomáhá analytikům incident rychleji vyšetřit. V mnoha případech se probírání záznamů zkrátí ze dnů na hodiny, nebo dokonce minuty. Díky tomu se minimalizuje čas nutný k obnově bezpečnosti v síti.

Pro všechny, kterým není bezpečnost lhostejná

SIEM technologii ocení organizace státní správy, akademické prostředí a stále více i komerční a průmyslové subjekty, jimž není stav bezpečnosti jejich systémů lhostejný a potřebují reagovat na rostoucí množství vznikajících hrozeb a incidentů.

Chci maximální přehled

Nechte nám na sebe kontakt a společně najdeme ideální řešení pro vaši bezpečnost

Jaromír Žák
Jaromír Žák
Ředitel
Jaromír se podílí na rozvoji a strategii našeho businessu a zodpovídá za kvalitu veškerých služeb.
Rychlý kontakt
Náš konzultant se vám ozve do 24 hodin od poptávky.
Individuální přístup
Poradíme vám s vaším problémem a najdeme pro vás ideální řešení na míru.
Náskok před konkurencí
Kromě toho, co vás zajímá, si vždy odnesete i něco navíc, abyste byli neustále krok před konkurencí.
NEXT GENERATION SECURITY SOLUTIONS s.r.o.
U Uranie 18, 170 00 Praha 7

IČ: 06291031
DIČ: CZ06291031

NGSS má zaveden systém řízení bezpečnosti informací dle normy ČSN ISO/IEC 27001:2014. Politika systému řízení bezpečnosti informací (ISMS) NGSS zde.
Etický kodex
Nevíte si rady?
Ozvěte se nám.