Satura rādītājs:
- Definīcija - ko nozīmē drošības incidentu un notikumu pārvaldība (SIEM)?
- Techopedia skaidro drošības incidentu un notikumu pārvaldību (SIEM)
Definīcija - ko nozīmē drošības incidentu un notikumu pārvaldība (SIEM)?
Drošības starpgadījumu un notikumu pārvaldība (SIEM) ir drošības notikumu vai starpgadījumu identificēšanas, uzraudzības, reģistrēšanas un analīzes process reālā laika IT vidē. Tas nodrošina visaptverošu un centralizētu IT infrastruktūras drošības scenārija skatu.
Drošības starpgadījumu un notikumu pārvaldība ir pazīstama arī kā drošības informācijas notikumu pārvaldība.
Techopedia skaidro drošības incidentu un notikumu pārvaldību (SIEM)
SIEM tiek ieviests, izmantojot programmatūru, sistēmas, ierīces vai kādu no šīm vienībām. Pastāv seši galvenie SIEM sistēmas atribūti:
- Saglabāšana : datu glabāšana ilgu laiku, lai lēmumus varētu pieņemt, izmantojot pilnīgākas datu kopas.
- Informācijas paneļi : izmanto, lai analizētu (un vizualizētu) datus, mēģinot atpazīt modeļus vai mērķa aktivitātes vai datus, kas neatbilst normālam modelim.
- Korelācija : sakārto datus nozīmīgās, līdzīgās paketēs un tām ir kopīgas iezīmes. Mērķis ir pārvērst datus noderīgā informācijā.
- Brīdināšana : kad tiek savākti vai identificēti dati, kas izsauc noteiktas atbildes, piemēram, brīdinājumus vai iespējamās drošības problēmas, SIEM rīki var aktivizēt noteiktus protokolus, lai brīdinātu lietotājus, piemēram, paziņojumi, kas nosūtīti uz informācijas paneli, automatizēts e-pasts vai īsziņa.
- Datu apkopošana : pēc SIEM ieviešanas datus var apkopot no jebkura skaita vietnēm, ieskaitot serverus, tīklus, datu bāzes, programmatūru un e-pasta sistēmas. Apkopotājs arī kalpo kā konsolidējošs resurss pirms datu nosūtīšanas, lai tos korelētu vai saglabātu.
- Atbilstība : var izveidot SIEM protokolus, kas automātiski vāc datus, kas nepieciešami, lai ievērotu uzņēmuma, organizācijas vai valdības politikas.
