Administración de eventos e información de seguridad
SIEM: Administración de eventos e información de seguridad (SIEM) es un término para los servicios de software y productos combinando Administración de información de seguridad (SIM) y gestión de eventos de seguridad (SEM). SIEM tecnología proporciona análisis en tiempo real de las alertas de seguridad generados por las aplicaciones y hardware de red. SIEM se vende como software, aplicaciones o servicios administrados y también se utilizan para registrar los datos de seguridad y generar informes para propósitos de cumplimiento de normas.[1]
Las siglas SEM, SIM y SIEM se han utilizado a veces indistintamente.[2] El segmento de gestión de la seguridad que se ocupa de monitoreo en tiempo real, correlación de eventos, notificaciones y vistas de consola se conoce comúnmente como gestión de eventos de seguridad (SEM). La segunda área proporciona almacenamiento a largo plazo, análisis y reporting de datos del registro y es conocida como la administración de información de seguridad (SIM).[3] Como con muchos significados y definiciones de las capacidades de necesidades evolucionan continuamente la forma derivados de las categorías de productos SIEM. La necesidad de visibilidad centrada en la voz o vSIEM (gestión de eventos e información de seguridad de voz) es un ejemplo reciente de esta evolución.
El término seguridad información de eventos (SIEM), acuñado por Mark Nicolett y Amrit Williams de Gartner en 2005,[4] describe las capacidades del producto de reunir, analizar y presentar la información de los dispositivos de red y de seguridad; aplicaciones de administración de identidad y acceso; vulnerabilidad herramientas de gestión y política cumplimiento; sistema operativo, registros de base de datos y aplicaciones; y externos amenaza datos. Un enfoque clave es controlar y ayudar a administrar usuarios y privilegios de servicio, servicios de directorio y otros cambios de configuración de sistema; Además de proporcionar el registro de auditoría y revisión de respuesta a incidentes.[3]
A partir de febrero de 2014, mosaico Security Research había identificado 64 SIEM y registro de productos de gestión.[5]
Contenido
- 1 Capacidades
- 2 Productos de proveedores
- 3 Véase también
- 4 Referencias
Capacidades
- Agregación de datos: Administración de registros agregados datos de muchas fuentes, incluyendo red, seguridad, servidores, bases de datos, aplicaciones, proporcionando la capacidad para consolidar los datos monitoreados para ayudar a evitar acontecimientos cruciales que falta.
- Correlación: busca atributos comunes y enlaces eventos juntos en paquetes significativos. Esta tecnología ofrece la posibilidad de realizar una variedad de técnicas de correlación para integrar diferentes fuentes, con el fin de convertir los datos en información útil. La correlación es típicamente una función de la parte de gestión de eventos de seguridad de una completa solución SIEM[6]
- Alertas: el análisis automatizado de eventos correlacionados y producción de avisos, para notificar a los beneficiarios de asuntos más inmediatos. Alertas puede ser una consola, o enviados a través de terceros canales como el correo electrónico.
- Paneles: Herramientas pueden tomar los datos del evento y convertirlo en cartas informativas para ayudar a ver patrones, o actividad de identificación que no se está formando un patrón estándar.[7]
- Cumplimiento de normas: Las aplicaciones pueden emplearse para automatizar la recopilación de datos de cumplimiento, produciendo informes que se adaptan a seguridad existente, la gobernanza y los procesos de auditorías.[8]
- Retención: empleando el almacenamiento a largo plazo de datos históricos para facilitar la correlación de los datos con el tiempo y para proporcionar el mantenimiento necesario para el cumplimiento de requisitos. Retención de datos de registros a largo plazo es importante en las investigaciones forenses como es improbable que el descubrimiento de una brecha de red será en el momento de la infracción que se produzca.[9]
- Análisis forense: La capacidad de búsqueda a través de los registros en diferentes nodos y períodos de tiempo basados en criterios específicos. Esto mitiga tener a la información de registro agregado en la cabeza o tener que buscar a través de miles y miles de registros.[8]
Productos de proveedores
- HP ArcSight
- McAfee
- NetIQ Sentinel
- Cápsula de seguridad Tecnologías innovadoras en los negocios
Véase también
- Riesgo
- Administración de registros y la inteligencia
- Gerente de eventos de seguridad
- Administración de información de seguridad
Referencias
- ^ "SIEM: una instantánea del mercado". Diario de Dr.Dobb. 05 de febrero de 2007.
- ^ SWIFT, David (26 de diciembre de 2006). "Una aplicación práctica de SIM/SEM/SIEM, automatizar la identificación de amenaza" (PDF). SANS Institute. p. 3. 14 de mayo de 2014. ".. .el acrónimo SIEM se utilizarán genéricamente para referirse..."
- ^ a b Jamil, Amir (29 de julio de 2009). "La diferencia entre SEM, SIM y SIEM" (Blog).
- ^ El futuro de SIEM - el mercado comenzará a divergir
- ^ Mosaico Security Research
- ^ Correlación
- ^ Comprensión y seleccionando SIEM/LM: casos de uso
- ^ a b Gestión de conformidad y cumplimiento automatización – cómo y eficiente, parte 1
- ^ https://www.VerizonBusiness.com/about/Events/2012dbir/ Informe de violación de datos