Gerente de eventos de seguridad

Ir a: navegación, búsqueda de

A Gerente de eventos de seguridad (SEM) (las siglas SIEM y SIM) es una herramienta computarizada que se utiliza en las redes de datos empresariales para centralizar el almacenamiento de información e interpretación de los registros, o eventos, generados por otro software que se ejecuta en la red.[1][2][3]

SEM es una idea relativamente nueva, fue pionera en 1999 por una pequeña compañía llamada E-Security y en 2010 siguen evolucionando rápidamente. A menudo se confunde con gestores de información de seguridad (SIMs) y administradores de eventos e información de seguridad (SIEMs). La característica clave de una herramienta de gestión de eventos de seguridad es la capacidad para analizar los registros recogidos para resaltar eventos o conductas de interés, por ejemplo un inicio de sesión de administrador o usuario Super,[4] fuera del horario normal. Un mercado adyacente, pero algo diferente también existe para la administración de registros; Aunque estos dos campos están estrechamente relacionados, administración de registros normalmente se centra en recolección y almacenamiento de datos mientras que SEM se centra en el análisis de datos.[5] Algunos vendedores se especializan en un mercado o el otro y algunos hacer ambas cosas, o tienen productos complementarios.

Muchos sistemas y aplicaciones que se ejecutan en una red informática generan eventos que se conservan en los registros de sucesos. Estos registros son esencialmente las listas de actividades que se produjeron, con registros de nuevos eventos se anexa al final de los registros como ocurren. Protocolos, tales como Syslog y SNMP, puede utilizarse para el transporte de estos eventos, como se dan, el software de registro que no está en el mismo host en el cual se generan los eventos. Los mejores SEMs proporcionan una gama flexible de los protocolos de comunicación soportados para permitir la más amplia gama de la colección del evento.

Es beneficioso enviar todos los eventos a un sistema centralizado de SEM por las siguientes razones:

  • Acceso a todos los registros se puede proporcionar a través de una interfaz consistente central
  • El SEM puede proporcionar almacenamiento intacta y el archivo de registros de sucesos (esto también es una función clásica de la administración de registros)
  • Potentes herramientas de reporting pueden ejecutarse en el SEM para extraer los registros de información útil
  • Eventos pueden ser analizados como pegaron el SEM de significación, y alertas y notificaciones pueden inmediatamente enviadas a las partes interesadas como garantizada
  • Pueden detectarse acontecimientos relacionados que ocurren en varios sistemas que sería imposible detectar si cada sistema tenía un registro separado
  • Eventos que se envían desde un sistema a un SEM permanecen en el SEM incluso si falla el sistema de envío o los registros en se borren accidentalmente o intencionalmente

Además de recoger y almacenar datos, SEMs se distinguen más sencillas herramientas de administración de registro proporcionando un nivel más profundo de análisis del evento. Esto puede incluir información contextual, tales como información de host (valor, propietario, ubicación, etc.), adjuntando la información de identidad (información del usuario referida a las cuentas que se hace referencia en el evento como primero/apellido, mano de obra ID, nombre del Gerente, etc.), y así sucesivamente. Esta información contextual puede aprovecharse para proporcionar mejor correlación y capacidades de reporting y se refiere a menudo como Meta datos.

SEMs también pueden integrarse con herramientas externas de remediación, ticketing y flujo de trabajo para ayudar en el proceso de resolución de incidencias. Los mejores SEMs proporcionará un conjunto de capacidades de integración para asegurar que el SEM funcionará con la mayoría de los entornos cliente flexible y extensible.

Como implementaciones SEM ir más allá de registro de eventos infraestructurales de routers, switches, servidores, firewalls y así sucesivamente, la capacidad de monitorear adecuadamente las aplicaciones del negocio se vuelve crucial. Puesto que la mayoría de las aplicaciones - especialmente aquellos desarrollados internamente o por los desarrolladores de software externo - no incluyen el registro detallado se ha convertido en un desafío de incorporar estos datos críticos en productos SEM. Posibles soluciones a este desafío se basan en red olfateando u otras tecnologías.

SEM se vende a menudo para ayudar a satisfacer los requerimientos regulatorios de Estados Unidos como los de Ley Sarbanes-Oxley, PCI-DSS, GLBA; en general estos productos pueden proporcionar las soluciones abarcar únicamente la mayor monitoreo y análisis de la empresa informática actividad; SEM no es una "bala mágica" para el cumplimiento, pero puede ser útil en la generación de informes para apoyar un conjunto limitado de controles.

Contenido

  • 1 Normalización
  • 2 Véase también
  • 3 Referencias
  • 4 Enlaces externos

Normalización

Uno de los principales problemas en el espacio de SEM es la dificultad de analizar sistemáticamente los datos del evento. Todos los vendedores y hecho en muchos casos diferentes productos de un proveedor, utiliza un método de formato y entrega de datos de evento propietarios diferentes. Incluso en los casos donde se utiliza un "estándar" para una parte de la cadena, como Syslog, los estándares generalmente no contienen suficiente orientación para ayudar a los desarrolladores en cuanto a generar eventos, los administradores en cómo recogerlos correctamente y fiable y los consumidores para analizarlos con eficacia.

Como un intento de combatir este problema, unos esfuerzos de estandarización paralelas están en marcha. En primer lugar, El Open Group está actualizando sus circa 1997 XDAS estándar, que nunca pasé del estatus del proyecto. Este nuevo esfuerzo, apodada XDAS v2, intentará formalizar un formato de evento incluyendo datos que deben incluirse en los eventos y cómo deben expresarse. El XDAS v2 estándar no incluirá eventos entrega normas sino otros estándares en desarrollo por DMTF puede proporcionar una envoltura.

Además MITRE está también en medio de un esfuerzo de estandarización llamado CEE Eso es algo más amplia en alcance - intenta definir un evento de la estructura así como métodos de entrega.

Véase también

  • Gestión de incidentes de seguridad informática
  • Administración de información de seguridad
  • Comparación de sistemas de supervisión de red
  • Información de seguridad y gestión de eventos

Referencias

  1. ^ https://www.securityinformationeventmanagement.com/Security-Event-Management.php SIEM
  2. ^ Preparación para la gestión de eventos de seguridad
  3. ^ Una aplicación práctica de SIM/SEM/SIEM automatizar la identificación de amenazas
  4. ^ Definición de gestión de evento de seguridad
  5. ^ Gestión de la información de registro administración/seguridad

Enlaces externos

  • SC Magazine 2010 revisión y comparación de productos comerciales SIEM
  • Cuadrante mágico de Gartner 2010 revisión y comparación de productos comerciales SIEM
  • Cuadrante mágico de Gartner 2011 revisión y comparación de productos comerciales SIEM
  • Cuadrante mágico de Gartner 2012 revisión y comparación de productos comerciales SIEM
  • SIEM Analytics

Otras Páginas

Obtenido de"https://en.copro.org/w/index.php?title=Security_event_manager&oldid=613204432"