Security information and event management (SIEM)

SIEM (Security information and event management) - мониторинг и управление событиями информационной безопасности, обеспечивает анализ информации, поступающей из различных источников (DLP, IDS,  антивирусы, межсетевые экраны и т.д.), и дальнейшее выявление отклонений от норм по заданным критериям:

• консолидация и хранение журналов событий от различных источников;
• предоставление инструментов для анализа событий и разбора инцидентов;
• корреляция и обработка событий по правилам;
• автоматическое оповещение и инцидент-менеджмент.

Принцип действия: система собирает информацию, анализирует "на лету", записывает в базы данных, анализирует поведение на основании предыдущих наблюдений ии генерирует предупреждающее сообщение. На практике схема реализуется с помощью соответствующих компонентов:

• агенты (сбор данных из различных источников);
• серверы-коллекторы (аккумуляция информации, поступившей от агентов);
• сервер баз данных (хранение информации);
• сервер корреляции (анализ информации).

Для организации мониторинга и управления событиями информационной безопасности на данном этапе работаем с решениями компаний Positive Technologies, Kaspersky.