Informació de seguretat i gestió d'esdeveniments (SIEM)

En el camp de la seguretat informàtica, la informació de seguretat i la gestió d'esdeveniments (SIEM) són productes i serveis de programari que combinen la gestió de la informació de seguretat (SIM) amb la gestió d'esdeveniments de seguretat (SEM). Aquests productes i serveis proporcionen anàlisis en temps real de les alertes de seguretat generades per aplicacions i maquinari de xarxa.

Els proveïdors venen els SIEM com a programari, com a dispositius o com a serveis gestionats; aquests productes també s'utilitzen per registrar dades de seguretat i generar informes amb finalitats de compliment.^[1]

Visió general[modifica]

Les sigles SEM, SIM i SIEM s'han utilitzat de vegades indistintament.^[2] El segment de la gestió de seguretat que s'ocupa de la supervisió en temps real, correlació d'esdeveniments, notificacions i vistes de consola es coneix com a gestió d'esdeveniments de seguretat (SEM). La segona àrea proporciona emmagatzematge a llarg termini, així com anàlisi, manipulació i reporti de dades de registre i registres de seguretat de tipus compilat pel programari SEM, i es coneix com a gestió d'informació de seguretat (SIM).^[3] Com ocorre amb molts significats i definicions de capacitats, els requisits en evolució conformen contínuament els derivats de les categories de productes SIEM. Les organitzacions estan recorrent a grans plataformes de dades, com a Apatxe Hadoop, per complementar les capacitats SIEM ampliant la capacitat d'emmagatzematge de dades i la flexibilitat analítica. La necessitat d'una visibilitat centrada en la veu o vSIEM (informació de seguretat de veu i gestió d'esdeveniments) proporciona un exemple recent d'aquesta evolució.

El terme Security Information Event Management (SIEM), va ser creat per Mark i Amrit Williams per a l'empresa Gartner en el 2005,^[4] i al·ludeix a:

La capacitat dels productes per recopilar, analitzar i presentar informació dels dispositius de xarxa i seguretat.
Les aplicacions de gestió d'identitats i accés.
Les eines de gestió de vulnerabilitats i compliment de polítiques.
Els sistemes operatius, bases de dades i registres d'aplicació.
Les dades d'amenaces externes.

Un enfocament clau és monitorar i ajudar a administrar privilegis d'usuari i servei, serveis de directori i altres canvis en la configuració del sistema; així com proporcionar auditoria de registre i revisió i resposta a incidents.^[3]

Referències[modifica]

↑ «SIEM: A Market Snapshot» (en anglès). Dr. Dobb's Journal, 05-02-2007. [Consulta: 1r novembre 2017].
↑ Swift, David «"A Practical Application of SIM/SEM/SIEM, Automating Threat Identification"». SANS Institute, 23-12-2006.
↑ ^3,0 ^3,1 «The difference between SEM, SIM and SIEM» (en anglès). Jamil, Amir, 29-03-2010. [Consulta: 1r novembre 2017].
↑ «Improve IT Security With Vulnerability Management» (en anglès). Security information and event management (SIEM), 02-05-2005.

[1] «SIEM: A Market Snapshot» (en anglès). Dr. Dobb's Journal, 05-02-2007. [Consulta: 1r novembre 2017].

[2] Swift, David «"A Practical Application of SIM/SEM/SIEM, Automating Threat Identification"». SANS Institute, 23-12-2006.

[:0-3] 3,0 ^3,1 «The difference between SEM, SIM and SIEM» (en anglès). Jamil, Amir, 29-03-2010. [Consulta: 1r novembre 2017].

[4] «Improve IT Security With Vulnerability Management» (en anglès). Security information and event management (SIEM), 02-05-2005.

[1]

[2]

[3]

[4]