Системы централизованного мониторинга и управления событиями информационной безопасности (SIEM)

Системы централизованного мониторинга и управления событиями информационной безопасности (SIEM)
Категория: Информационная безопасность
Производитель: McAfee
Узнать больше
Характеристики: McAfee Enterprise Security Manager — это решение для управления информацией о безопасности и событиями безопасности (Security Information and Event Management — SIEM), обеспечивающее сбор информации об угрозах и интеграцию средств защиты с целью приоритизации, расследования и устранения угроз.

Управление информационной безопасностью

SIEM - набор средств, необходимых для управления безопасностью данных компании в целом, а также управления событиями из разных источников. SIEM позволяют в прямом режиме получать анализ событий, которые поступают от приложений и сетевых устройств. В перечень функций входит:

  1. Объединение данных. Все, что касается работы серверов, сетевых устройств, приложений, датчиков безопасности, поступает в единые журналы данных. Они управляются SIEM-системами и дают возможность ответственным сотрудникам находить опасные события в инфраструктуре.
  2. Корреляция. Системы ищут общие значения и атрибуты, связывая поступающие события. Они приводят к общему виду данные, поступающие из разных источников. Это облегчает анализ.
  3. Оповещение. После анализа схожих событий SIEM оповещают ответственного сотрудника об обнаруженных в инфраструктуре проблемах. Методы оповещения настраиваемые: от вывода сообщения о тревоге на панель до письма по e-mail.
  4. Информационные панели предоставляют данные в виде графиков и диаграмм. Удобная визуализация помогает быстрее находить отклонения, сравнивая поведение систем с типичным состоянием.
  5. SIEM совместимы с любой существующей инфраструктурой компании. Сбор информации и формирование отчетов происходит в автоматическом режиме. Готовые данные можно применять для управления безопасностью.
  6. В системах предусмотрены хранилища для событий безопасности с сортировкой по времени. Это облегает экспертизу и расследование случаев. Доступен поиск по сохраненным событиям

Источники данных - это системы поиска и предотвращения вторжений, пользовательские устройства, журналы серверов, маршрутизаторы, коммутаторы, файловые серверы, антивирусы, DLP, системы удаленного доступа.

При выборе SIEM рекомендуем учитывать, с какими источниками они могут интегрироваться для обработки данных. Современные системы умеют анализировать поведенческие факторы и сравнивать данные в реальном времени. Стандартные требования для современного продукта - нормализация и фильтрация инцидентов.

© 2019 Brillex. Все права защищены