SIEM là gì? Tìm hiểu Security Information and Event Management

Name: SIEM là gì? Tìm hiểu Security Information and Event Management
Brand: SIEM là gì? Tìm hiểu Security Information and Event Management

Thứ sáu, 11:18 Ngày 02/04/2021

SECURITY INFORMATION AND EVENT MANAGEMENT

SECURITY INFORMATION AND EVENT MANAGEMENT LÀ GÌ?

SIEM, viết tắt của Security Information and Event Management, là Thông tin bảo mật và quản lý sự kiện (SIEM) là một tiểu mục trong lĩnh vực bảo mật máy tính, nơi các sản phẩm và dịch vụ phần mềm kết hợp quản lý thông tin bảo mật (SIM) và quản lý sự kiện bảo mật (SEM). Chúng cung cấp phân tích thời gian thực về các cảnh báo bảo mật do các ứng dụng và phần cứng mạng tạo ra.

Nhà cung cấp bán SIEM dưới dạng phần mềm, thiết bị hoặc dịch vụ được quản lý; các sản phẩm này cũng được sử dụng để ghi dữ liệu bảo mật và tạo báo cáo cho các mục đích tuân thủ.

Thuật ngữ SIEM được đặt ra bởi Mark Nicolett và Amrit Williams của Gartner vào năm 2005.

Xem thêm: Hệ thống quản lý tòa nhà Building Management System - BMS là gì?

TỔNG QUAN

Các từ viết tắt SEM, SIM và SIEM đôi khi được sử dụng thay thế cho nhau, nhưng thường đề cập đến trọng tâm chính khác nhau của các sản phẩm:

Quản lý nhật ký: Tập trung vào việc thu thập và lưu trữ đơn giản các thông báo nhật ký và các dấu vết kiểm tra
Quản lý thông tin bảo mật (SIM): Lưu trữ lâu dài cũng như phân tích và báo cáo dữ liệu nhật ký.
Trình quản lý sự kiện bảo mật (SEM): Giám sát thời gian thực, mối tương quan của các sự kiện, thông báo và chế độ xem bảng điều khiển.
Thông tin bảo mật và quản lý sự kiện (SIEM): Kết hợp SIM và SEM và cung cấp phân tích thời gian thực về các cảnh báo bảo mật do phần cứng và ứng dụng mạng tạo ra.
Dịch vụ bảo mật được quản lý: (MSS) hoặc Nhà cung cấp dịch vụ bảo mật được quản lý: (MSSP): Các dịch vụ được quản lý phổ biến nhất dường như phát triển xung quanh kết nối và băng thông, giám sát mạng, bảo mật, ảo hóa và khôi phục thảm họa.
Bảo mật như một dịch vụ (SECaaS): Các dịch vụ bảo mật này thường bao gồm xác thực, chống vi-rút, chống phần mềm độc hại / phần mềm gián điệp, phát hiện xâm nhập, kiểm tra thâm nhập và quản lý sự kiện bảo mật.

Trên thực tế, nhiều sản phẩm trong lĩnh vực này sẽ có sự kết hợp của các chức năng này, do đó thường sẽ có một số chồng chéo - và nhiều nhà cung cấp thương mại cũng quảng bá thuật ngữ của riêng họ.

Thông thường, các nhà cung cấp thương mại cung cấp các phối hợp khác nhau của các chức năng này để có hướng cải thiện SIEM tổng thể.

Quản lý nhật ký không cung cấp thông tin chi tiết theo thời gian thực về bảo mật mạng, riêng SEM sẽ không cung cấp dữ liệu đầy đủ để phân tích sâu về mối đe dọa. Khi SEM và quản lý nhật ký được kết hợp, SIEM sẽ có thêm thông tin để theo dõi.

Trọng tâm chính là giám sát và giúp quản lý các đặc quyền của người dùng và dịch vụ, các dịch vụ thư mục và các thay đổi cấu hình hệ thống khác; cũng như cung cấp kiểm tra và xem xét nhật ký và ứng phó sự cố.

Xem thêm: Hệ thống phát hiện xâm nhập Intrusion Detection System - IDS là hệ thống gì?

KHẢ NĂNG VÀ THÀNH PHẦN

Tổng hợp dữ liệu: Quản lý nhật ký tổng hợp dữ liệu từ nhiều nguồn, bao gồm mạng, bảo mật, máy chủ, cơ sở dữ liệu, ứng dụng, cung cấp khả năng hợp nhất dữ liệu được giám sát để giúp tránh bỏ lỡ các sự kiện quan trọng.
Tương quan: Tìm kiếm các thuộc tính chung và liên kết các sự kiện với nhau thành các nhóm có ý nghĩa. Công nghệ này cung cấp khả năng thực hiện nhiều kỹ thuật tương quan để tích hợp các nguồn khác nhau, nhằm biến dữ liệu thành thông tin hữu ích. Tương quan thường là một chức năng của phần Quản lý sự kiện bảo mật của giải pháp SIEM đầy đủ
Cảnh báo: Phân tích tự động các sự kiện tương quan
Trang tổng quan: Các công cụ có thể lấy dữ liệu sự kiện và biến nó thành biểu đồ thông tin để hỗ trợ xem các mẫu hoặc xác định hoạt động không tạo thành mẫu chuẩn.
Tuân thủ: Các ứng dụng có thể được sử dụng để tự động hóa việc thu thập dữ liệu tuân thủ, tạo ra các báo cáo thích ứng với các quy trình bảo mật, quản trị và kiểm toán hiện có.
Lưu giữ: Sử dụng lưu trữ dữ liệu lịch sử lâu dài để tạo điều kiện tương quan giữa dữ liệu theo thời gian và cung cấp khả năng lưu giữ cần thiết cho các yêu cầu tuân thủ. Việc lưu giữ dữ liệu nhật ký trong thời gian dài là rất quan trọng trong các cuộc điều tra vì khó có khả năng phát hiện ra vi phạm mạng vào thời điểm vi phạm xảy ra.
Phân tích: Khả năng tìm kiếm trên các bản ghi trên các nút và khoảng thời gian khác nhau dựa trên các tiêu chí cụ thể. Điều này giúp giảm thiểu việc phải tổng hợp thông tin nhật ký hoặc phải tìm kiếm qua hàng nghìn hàng nghìn nhật ký.

Xem thêm: Quy trình thuê văn phòng

CÁC TRƯỜNG HỢP SỬ DỤNG

Nhà nghiên cứu bảo mật máy tính Chris Kubecka đã xác định các trường hợp sử dụng SIEM sau đây, được trình bày tại hội nghị 28C3 (Chaos Communication Congress).

Khả năng hiển thị SIEM và phát hiện bất thường có thể giúp phát hiện mã zero-day hoặc mã đa hình. Chủ yếu là do tỷ lệ phát hiện chống vi-rút thấp đối với loại phần mềm độc hại thay đổi nhanh chóng này.
Việc phân tích cú pháp, chuẩn hóa nhật ký và phân loại có thể diễn ra tự động, bất kể loại máy tính hoặc thiết bị mạng, miễn là nó có thể gửi nhật ký.
Trực quan hóa với SIEM sử dụng các sự kiện bảo mật và lỗi nhật ký có thể hỗ trợ phát hiện mẫu.
Các bất thường về giao thức có thể chỉ ra cấu hình sai hoặc vấn đề bảo mật có thể được xác định bằng SIEM bằng cách sử dụng tính năng phát hiện mẫu, cảnh báo, đường cơ sở và trang tổng quan.
SIEMS có thể phát hiện các thông tin liên lạc bí mật, độc hại và các kênh được mã hóa.
Chiến tranh mạng có thể được phát hiện bởi SIEM với độ chính xác, phát hiện cả kẻ tấn công và nạn nhân.

Nguồn: Wikipedia

Saigon Office cho thuê văn phòng tòa nhà TPHCM