SIEM

SIEM (ראשי תיבות באנגלית של: Security Information and Event Management, תרגום: ניהול אבטחת מידע ואירועים) היא התקן או תוכנה לניהול יומן ריכוזי, המנתחת אירועי אבטחת מידע שדווחו על ידי מערכות אבטחה שונות.

המערכת מקבלת נתונים ממערכות ארגוניות שונות, מנתחת אותם ומאפשרת בקרה על תהליכים ואירועים, הפקת דוחו"ת, זיהוי פרצות אבטחה ותגובה למתקפות המתרחשות בזמנים שונים. למערכת הניהול הגבלת נפח אחסון שניתן להרחבה בעזרת יישום מבוזר המעבד כמויות גדולות של נתונים כדוגמת האדופ.

מערכות SIEM כוללות בתוכן הן מערכות SIM (מערכת לניהול אבטחת מידע) והן מערכות SEM (מערכת לניהול אירועים).

מאפיינים

למערכת לניהול אירועי אבטחת מידע יכולות רבות כגון:

• צבירת נתונים: אחסון נתונים ממקורות רבים (תעבורת רשת, שרתים, מסדי נתונים, יישומים ועוד) ושליפתם בעת הצורך בהתאם לבקשות המגיעות ממתאם הנתונים וממנהל הרשת (כשנעשות חקירות דיגיטליות יש צורך בנתונים אלה המוכיחים כי הפעולה נוגדת את מדיוניות החוקים שהוגדרה מראש).
• מתאם נתונים: השוואת נתונים ותכונות משותפות וקשירת קשר אל אירועים מסוימים, שילוב מידע ממקורות שונים והפיכתם למידע שימושי.
• ניתוח ואיתור: מנתחת שינויים במערכות הפעלה ומסדי נתונים מפקחת ומנהלת הרשאות משתמשים, שירותים ותיקיות ומזהה דפוסי פעולה שאינם סטנדרטיים.
• מערכת התרעה: מתריעה מנתחת וחוסמת פעולות חשודות, ניסיונות גישה בלתי מורשים, התקפות על הרשת או כל פעולה אשר מנוגדת לחוקים שהוגדרו מראש. המערכת שולחת דיווח אודות פעולות אלה באמצעות דואר אלקטרוני וגם דרך מערכת ההודעות ביישום עצמו.

מערכות לגילוי חדירות בקוד פתוח

• OSSIM
• ELK Elastic
• LOGalyze
• Security Onion
• AlienVault

ראו גם

• מערכת למניעת דלף מידע
• מערכת לגילוי חדירות
• מערכת למניעת חדירות

קישורים חיצוניים

• תכנון והטמעת SIEM בארגון - אריק יונאי, אתר Digitalwhisper. (בעברית)
• מערכת OSSIM - אתר Alienvault. (באנגלית)
• שימוש ב-SIEM, ניהול סיכונים ואירועים - אתר windowsitpro.com. (באנגלית)
• סקירה של עולם ה-SIEM - אתר searchsecurity.techtarget.com. (באנגלית)
• האתר הרשמי של Security Onion (באנגלית)
• האתר הרשמי של ELK Elastic (באנגלית)