SIEM – kicsiben

Egy korábbi – a forgalomelemzésről szóló – cikkemben említettem, hogy az IDS által generált riasztásokat érdemes lehet egy ezek kezelésére kitalált rendszernek átadni, ahol aztán majd a többi rendszerünkből érkező egyéb logokkal együtt értelmezhetjük azokat. Végül pedig megtehetjük a szükséges lépéseket a feltárt probléma és/vagy biztonsági incidens megoldása érdekében. Az ilyen rendszert hívjuk SIEM-nek. Ennek azonban szinte kizárólag csak nagyvállalati (enterprise) környezetben van értelme. Legfőképp azért mert a logok és riasztások értelmezése és feldolgozása komoly szakmai tapasztalatokat, 7×24-es felügyeletet, és nem utolsó sorban hatalmas hardver erőforrásokat is igényel.

Keep reading →