SIEM (Security Information and Event Management) gir organisasjoner muligheten til å oppdage, analysere og respondere på sikkerhetshendelser. Fra å ha utviklet seg fra loggstyring, integrer SIEM både sikkerhetshendelser (SEM) og sikkerhetsinformasjonsstyring (SIM) for å tilby sanntidsovervåkning, analyse og logging av sikkerhetshendelser.
SIEM-løsninger fungerer som et enhetlig system som gir full oversikt over nettverksaktivitet for rask respons på trusler. Det samler inn data fra ulike kilder, inkludert brukerenheter, servere, nettverksutstyr og sikkerhetsverktøy som brannmurer og antivirusprogramvare. Denne dataen analyseres for å oppdage uvanlig oppførsel og varsler analytikere om interne og eksterne trusler.
SIEM lagrer også loggdata, noe som gir et aktivitetsregister som hjelper organisasjoner med å opprettholde samsvar med bransjereguleringer. Opprinnelig ble SIEM primært brukt for samsvar, men bruken økte med regelverk som PCI DSS og HIPAA. Etter hvert som avanserte vedvarende trusler (APT) ble en bekymring, utvidet SIEM sin bruk til et bredere spekter av organisasjoner og infrastrukturer.
Datainnsamling
- Loggstyring: Samler logger fra ulike kilder som nettverksenheter, servere, applikasjoner og endepunkter.
- Hendelsesinnsamling: Samler og normaliserer sikkerhetshendelser fra forskjellige kilder for å skape et enhetlig datasett for analyse.
Datalagring
- Skalerbarhet: Må håndtere store datamengder på grunn av omfattende logging fra flere kilder.
- Oppbevaring: Sørger for langtidslagring for samsvar og rettsmedisinsk analyse.
Dataanalyse
- Korrelasjon: Identifiserer sammenhenger mellom hendelser for å oppdage mønstre som indikerer sikkerhetstrusler.
- Atferdsanalyse: Etablerer grunnlinjer for normal aktivitet og oppdager avvik.
- Anomalideteksjon: Bruker statistiske modeller, maskinlæring eller heuristikk for å identifisere uvanlig aktivitet.
Hendelsedeteksjon
- Sanntidsovervåkning: Overvåker kontinuerlig sikkerhetshendelser og varsler administratorer om potensielle hendelser.
- Varsling og notifikasjon: Sender varsler gjennom ulike kanaler (f.eks. e-post og SMS) basert på forhåndsdefinerte regler.
Hendelseshåndtering
- Arbeidsflytautomatisering: Automatiserer responshandlinger som isolering av et kompromittert system eller blokkering av en IP-adresse.
- Etterforskning og rettsmedisin: Gir verktøy for grundig analyse av hendelser, inkludert rekonstruksjon av tidslinje og rotårsaksanalyse.
Rapportering og samsvar
- Dashbord og visualisering: Tilbyr visuelle representasjoner av sikkerhetsmålinger og hendelser.
- Samsvarsrapportering: Genererer rapporter for å oppfylle regulatoriske krav (f.eks. GDPR, HIPAA).
Dette dekker de viktigste aspektene av en SIEM-løsning, fra datainnsamling til rapportering og samsvar.
ManageEngine tilbyr flere verktøy som kan definerer som SIEM-løsninger, hvor Log360 er den mest fremtredende SIEM-løsningen. Her er en oversikt over de viktigste verktøyene fra ManageEngine som kan fungere som SIEM-verktøy og hvorfor de passer til dette formålet:
1. Log360
Funksjon: Log360 er ManageEngines hoved SIEM-løsning. Den kombinerer logganalyse, hendelsesovervåkning og trusselintelligens i ett verktøy.
Hvorfor SIEM? Log360 samler inn og analyserer logger fra ulike kilder, inkludert nettverksenheter, servere, applikasjoner og sluttpunkter. Verktøyet gir sanntidsovervåkning, anomalideteksjon, korrelasjonsanalyser og varsler sikkerhetsanalytikere om mistenkelige aktiviteter, noe som gjøre det egnet for både trusseldeteksjon og hendelseshåndtering.
Samsvarsrapportering: Log360 gir rapporter for samsvar med ulike regulatoriske krav som GDPR, HIPAA og PCI DSS, som er en viktig del av SIEM-funksjonalitet.
2. EventLog Analyzer
Funksjoner: EventLog Analyzer er et loggstyringsverktøy som også kan brukes for grunnleggende SIEM-funksjonalitet, spesielt for logganalyse og hendelsesovervåkning.
Hvorfor SIEM? EventLog Analyzer samler inn og analyserer loggdata fra ulike enheter og systemer, og gir sanntidsvarsler om potensielle trusler. Selv om det primært er fokusert på logganalyse, kan det identifisere uvanlige aktiviteter og bistå i oppdagelsen av sikkerhetshendelser.
Samsvarsstøtte: EventLog Analyzer genererer også rapporter som hjelper organisasjoner med å møte samsvarskrav.
3. ADAudit Plus
Funksjon: ADAudit Plus er spesialisert på Active Directory-revisjonen og sporing av brukeraktivteter i AD-miljøet.
Hvorfor SIEM? ADAudit Plus gir innsikt i endringer og påloggingsaktivteter i AD, noe som er nyttig for å oppdage mistenkelig aktivitet og uautoriserte endringer. Selv om det ikke er en komplett SIEM-løsning, bidrar det med verdifull overvåkning og rapportering som er relevant for sikkerhetsstyring.
Samsvarsstøtte: ADAudit Plus støtter samsvar ved å tilby rapporter om AD-aktivitet, som er viktig for revisjonen og sikkerhetskontroll i mange bransjer.
4. DataSecurity Plus (FileAudit Plus)
Funksjon: FileAudit Plus overvåker filservere og gir revisjonslogger over tilgang og endringer i filer og mapper.
Hvorfor SIEM? Selv om DataSecurity Plus er spesialisert for filserverovervåking, kan det bidra til SIEM-funksjonalitet ved å overvåke og rapportere om mistenkelig filtilgangsmønstre. Dette kan indikere potensielle sikkerhetshendelser eller datalekkasjer.
Oppsummering:
- Log360 er ManageEngines mest komplette SIEM-løsning og gir omfattende overvåkning, analyse og hendelseshåndtering for hele IT-miljøet.
- EventLog Analyzer og ADAudit Plus kan også brukes som støtteverktøy i en SIEM-strategi, spesielt i miljøer der AD-overvåkning og logganalyse er kritisk.
- DataSecurity Plus (FileAudit Plus) kan bidra til overvåkning av filtilgang og sikkerhetshendelser knyttet til sensitiv data.
Til sammen utgjør disse verktøyene helhetlig SIEM-portefølje som dekker flere nivåer av organisasjonens sikkerhetsbehov, fra logganalyse og hendelsesvarsling til samsvar og trusseldeteksjon.
Ta gjerne en titt på disse lenkene også:
- Unified SIEM tool & SOAR solution | ManageEngine Log360
- Log management solution | IT compliance tool - ManageEngine EventLog Analyzer
- ManageEngine ADAudit Plus | A UBA-driven change auditor
-
ManageEngine FileAudit Plus