Hvad er en SIEM løsning?

SIEM står for Security Information and Event Management. Det er en kombination af to tidligere sikkerhedsovervågningsteknikker: SIM og SEM. Formålet med SIEM er at fange ubudne gæster, der har formået at snige sig gennem netværkets perimeterforsvar.

SIM er sikkerhedsinformationsstyring, som undersøger logfil-optegnelser. Dette er et værtsbaseret indtrængnings-detekteringssystem (HIDS).

Værtsbaserede sikkerhedssystemer er i stand til at forene forskellige logmeddelelsesformater for at indsamle data fra mange punkter i systemet og se efter tegn på angreb. Problemet med SIM er, at det ikke er øjeblikkeligt. Det tager tid at samle nok information til at indgå i analysen.

SEM står for Security Event Management og beskæftiger sig med realtidsdata. Dette er et netværksbaseret intrusion detection system (NIDS).Netværksbaserede sikkerhedsovervågningssystemer har fordelen ved hastighed, fordi de fungerer i realtid. Denne strategi har dog svagheder, fordi hackere kan snige sig ind i systemet uden afsløring ved at kombinere en række handlinger for at få ondsindet aktivitet til at virke som legitime individuelle transaktioner.

SIM plus SEM giver SIEM

Ved at kombinere SIM og SEM (=SIEM) kan man dirigere netværkstrafik undersøgelser til specifikke brugere og slutpunkter, der er identificeret af SIM. Således giver SIEM langt mere nøjagtige advarsler end en standard netværkssikkerhedsmonitor.