Turinys:
- Apibrėžimas - ką reiškia saugumo incidentų ir įvykių valdymas (SIEM)?
- „Techopedia“ paaiškina saugumo incidentų ir įvykių valdymą (SIEM)
Apibrėžimas - ką reiškia saugumo incidentų ir įvykių valdymas (SIEM)?
Saugumo incidentų ir įvykių valdymas (SIEM) - tai saugumo įvykių ar incidentų atpažinimo, stebėjimo, registravimo ir analizės procesas realiojo laiko IT aplinkoje. Tai pateikia išsamų ir centralizuotą IT infrastruktūros saugumo scenarijaus vaizdą.
Saugumo incidentų ir įvykių valdymas taip pat žinomas kaip saugos informacijos įvykių valdymas.
„Techopedia“ paaiškina saugumo incidentų ir įvykių valdymą (SIEM)
SIEM įgyvendinamas naudojant programinę įrangą, sistemas, prietaisus ar kai kuriuos šių elementų derinius. Paprastai yra šeši pagrindiniai SIEM sistemos požymiai:
- Saugojimas : Duomenų saugojimas ilgą laiką, kad būtų galima priimti sprendimus dėl išsamesnių duomenų rinkinių.
- Informacijos suvestinės : naudojamos duomenims analizuoti (ir vizualizuoti) bandant atpažinti modelius ar tikslinę veiklą ar duomenis, kurie neatitinka įprasto modelio.
- Koreliacija : duomenys rūšiuojami į paketus, kurie yra prasmingi, panašūs ir turi bendrų bruožų. Tikslas yra paversti duomenis naudinga informacija.
- Įspėjimas : kai renkami arba nustatomi duomenys, kurie sukelia tam tikrus atsakymus, pvz., Perspėjimus ar galimas saugumo problemas, SIEM įrankiai gali suaktyvinti tam tikrus protokolus, kad įspėtų vartotojus, pavyzdžiui, pranešimai, siunčiami į prietaisų skydelį, automatinis el. Laiškas ar tekstinis pranešimas.
- Duomenų kaupimas : Įvedus SIEM, duomenis galima rinkti iš bet kokio skaičiaus svetainių, įskaitant serverius, tinklus, duomenų bazes, programinę įrangą ir el. Pašto sistemas. Duomenų kaupiklis taip pat naudojamas kaip konsolidavimo šaltinis prieš siunčiant duomenis, kad jie būtų koreliuojami ar saugomi.
- Atitikimas : SIEM gali būti sudaryti protokolai, kurie automatiškai renka duomenis, reikalingus įmonės, organizacijos ar vyriausybės politikai vykdyti.
