Informació de seguretat i gestió d'esdeveniments (SIEM)
En el camp de la seguretat informàtica, la informació de seguretat i la gestió d'esdeveniments (SIEM) són productes i serveis de programari que combinen la gestió de la informació de seguretat (SIM) amb la gestió d'esdeveniments de seguretat (SEM). Aquests productes i serveis proporcionen anàlisis en temps real de les alertes de seguretat generades per aplicacions i maquinari de xarxa.
Els proveïdors venen els SIEM com a programari, com a dispositius o com a serveis gestionats; aquests productes també s'utilitzen per registrar dades de seguretat i generar informes amb finalitats de compliment.[1]
Visió general
[modifica]Les sigles SEM, SIM i SIEM s'han utilitzat de vegades indistintament.[2] El segment de la gestió de seguretat que s'ocupa de la supervisió en temps real, correlació d'esdeveniments, notificacions i vistes de consola es coneix com a gestió d'esdeveniments de seguretat (SEM). La segona àrea proporciona emmagatzematge a llarg termini, així com anàlisi, manipulació i reporti de dades de registre i registres de seguretat de tipus compilat pel programari SEM, i es coneix com a gestió d'informació de seguretat (SIM).[3] Com ocorre amb molts significats i definicions de capacitats, els requisits en evolució conformen contínuament els derivats de les categories de productes SIEM. Les organitzacions estan recorrent a grans plataformes de dades, com a Apatxe Hadoop, per complementar les capacitats SIEM ampliant la capacitat d'emmagatzematge de dades i la flexibilitat analítica. La necessitat d'una visibilitat centrada en la veu o vSIEM (informació de seguretat de veu i gestió d'esdeveniments) proporciona un exemple recent d'aquesta evolució.
El terme Security Information Event Management (SIEM), va ser creat per Mark i Amrit Williams per a l'empresa Gartner en el 2005,[4] i al·ludeix a:
- La capacitat dels productes per recopilar, analitzar i presentar informació dels dispositius de xarxa i seguretat.
- Les aplicacions de gestió d'identitats i accés.
- Les eines de gestió de vulnerabilitats i compliment de polítiques.
- Els sistemes operatius, bases de dades i registres d'aplicació.
- Les dades d'amenaces externes.
Un enfocament clau és monitorar i ajudar a administrar privilegis d'usuari i servei, serveis de directori i altres canvis en la configuració del sistema; així com proporcionar auditoria de registre i revisió i resposta a incidents.[3]
Referències
[modifica]- ↑ «SIEM: A Market Snapshot» (en anglès). Dr. Dobb's Journal, 05-02-2007. [Consulta: 1r novembre 2017].
- ↑ Swift, David «"A Practical Application of SIM/SEM/SIEM, Automating Threat Identification"». SANS Institute, 23-12-2006.
- ↑ 3,0 3,1 «The difference between SEM, SIM and SIEM» (en anglès). Jamil, Amir, 29-03-2010. [Consulta: 1r novembre 2017].
- ↑ «Improve IT Security With Vulnerability Management» (en anglès). Security information and event management (SIEM), 02-05-2005.