SIEM (Security Information and Event Management) решения предназначены для сбора, корреляции и анализа событий информационной безопасности, позволяя на основе полученных данных оценить и принять необходимые меры. Инструмент сбора данных позволяет получать информацию от различных сетевых устройств, сторонних приложений и средств обеспечения безопасности.

На основе механизмов корреляции событий система мгновенно обрабатывает миллионы данных и предоставляет их администратору в нормализованном виде, позволяя среди огромного количества событий выявлять следы подозрительной сетевой активности, которые в совокупности с другими событиями могут представлять серьезную угрозу бизнесу.

SIEM решения имеют достаточно широкий спектр применения. В первую очередь их используют для создания автоматизированного мониторинга и анализа событий, поступающих от сетевых устройств. Во-вторых, SIEM решения используют в качестве доказательной базы, в случае возникновения непредвиденных инцидентов, для внутренних расследований и суда. И третий немаловажный фактор – использование SIEM для проведения аудита и соответствия отраслевым требованиям.

Использование SIEM системы поможет избежать конфликтов между ИТ-отделом и ИБ-отделом благодаря встроенной ролевой политике управления системой. Также стоит отметить, что появляется возможность обеспечить непрерывность ИТ-сервисов и бизнеса в целом, так как встроенная агрегация и корреляция событий и система оповещения предупредит заблаговременно об инциденте, а, следовательно, и уменьшит возможные финансовые потери.

Стандартная схема построения информационной защиты бизнеса начинается с определения возможных источников атак (актуальных угроз), оценки рисков и анализа способов их совершения возможной атаки. На следующем шаге внедряются технические и организационные меры защиты, которые предотвращают возможные внешние и внутренние атаки и нарушения. И только после завершения внедрения средств защиты информации внедряется SIEM система, которая поможет определить какие меры защиты имеют слабые места (некорректно настроены, система не соответствует заявленному функционалу и т.д.) и принять меры.

На рынке информационной безопасности существует множество SIEM систем. Каждая из них имеет свои плюсы и минусы. Для проведения самостоятельного сравнительного анализа систем и выбора решения, полностью соответствующего всем поставленным задачам требуется огромное количество ресурсов и времени. На этапе сравнительного анализа требуется развернуть демонстрационную версию, доработать каждую систему под собственные нужды и сделать обоснованный и взвешенный выбор, сравнив не только техническую часть вопроса, но и коммерческую.

Агенство Gartner ежегодно проводит сравнительный анализ SIEM решений. С результатами проведенного анализа SIEM систем за 2016 год можно ознакомится по ссылке ниже

Gartner Magic Quadrant 2016

Компания Maruad Technologies является официальным партнером ведущих разработчиков SIEM систем. Специалисты компании готовы предложить SIEM решения и выступить в роли внешних консультантов, которые смогут определить актуальные угрозы, предложить исходя из задач соответствующие требованиям SIEM системы, провести демонстрацию каждого решения и в результате помочь определиться с выбором системы. Также стоит отметить, что Maruad Technologies имеет штат сертифицированных технических специалистов с опытом работы и внедрения различных SIEM систем.