SIEM
Hvad er en SIEM løsning?
SIEM står for Security Information and Event Management. Det er en kombination af to tidligere sikkerhedsovervågningsteknikker: SIM og SEM.
Formålet med SIEM er at fange ubudne gæster, der har formået at snige sig gennem netværkets perimeterforsvar.
SIM er sikkerhedsinformationsstyring, som undersøger logfil-optegnelser. Dette er et værtsbaseret indtrængnings-detekteringssystem (HIDS).
Værtsbaserede sikkerhedssystemer er i stand til at forene forskellige logmeddelelsesformater for at indsamle data fra mange punkter i systemet og se efter tegn på angreb. Problemet med SIM er, at det ikke er øjeblikkeligt. Det tager tid at samle nok information til at indgå i analysen.
SEM står for Security Event Management og beskæftiger sig med realtidsdata. Dette er et netværksbaseret intrusion detection system (NIDS).
Netværksbaserede sikkerhedsovervågningssystemer har fordelen ved hastighed, fordi de fungerer i realtid. Denne strategi har dog svagheder, fordi hackere kan snige sig ind i systemet uden afsløring ved at kombinere en række handlinger for at få ondsindet aktivitet til at virke som legitime individuelle transaktioner.
SIM plus SEM giver SIEM
Ved at kombinere SIM og SEM (=SIEM) kan man dirigere netværkstrafik undersøgelser til specifikke brugere og slutpunkter, der er identificeret af SIM. Således giver SIEM langt mere nøjagtige advarsler end en standard netværkssikkerhedsmonitor.
Elastic SIEM
CapMon er MSSP teknologipartner hos Elastic. Således baserer vores SIEM – Log Management løsninger sig på Elastic moduler, som benyttes verden over af tusindvis af organisationer.
Herunder Cisco, eBay, Goldman Sachs, NASA, Microsoft Wikipedia og Verizon.
Exabeam UEBA
CapMon er MSSP partner hos Exabeam. Deres løsning benytter UEBA, (brugeradfærdsanalyse) og kan implementeres på toppen af både eksisterende og nye SIEM løsninger. Avanceret datalogi, giver mulighed for at opdage kompromitterede og ondsindede brugere, der tidligere var næsten umulige at finde.