Opdag Insider trusler med UEBA
08/06/2022

SIEM hvad er det?

SIEM

SIEM

Hvad er en SIEM løsning?

SIEM står for Security Information and Event Management. Det er en kombination af to tidligere sikkerhedsovervågningsteknikker: SIM og SEM. Formålet med SIEM er at fange ubudne gæster, der har formået at snige sig gennem netværkets perimeterforsvar.

SIM er sikkerhedsinformationsstyring, som undersøger logfiloptegnelser. Dette er et værtsbaseret indtrængningsdetekteringssystem (HIDS).

Værtsbaserede sikkerhedssystemer er i stand til at forene forskellige logmeddelelsesformater for at indsamle data fra mange punkter i systemet og se efter tegn på angreb. Problemet med SIM er, at det ikke er øjeblikkeligt. Det tager tid at samle nok information til at indgå i analysen.

SEM står for Security Event Management og beskæftiger sig med realtidsdata. Dette er et netværksbaseret intrusion detection system (NIDS).

Netværksbaserede sikkerhedsovervågningssystemer har fordelen ved hastighed, fordi de fungerer i realtid. Denne strategi har dog svagheder, fordi hackere kan snige sig ind i systemet uden afsløring ved at kombinere en række handlinger for at få ondsindet aktivitet til at virke som legitime individuelle transaktioner.

SIM plus SEM giver SIEM

Ved at kombinere SIM og SEM (=SIEM) kan man dirigere netværkstrafik undersøgelser til specifikke brugere og slutpunkter, der er identificeret af SIM. Således giver SIEM langt mere nøjagtige advarsler end en standard netværkssikkerhedsmonitor. Formålet med SIEM er at fange ubudne gæster, der har formået at snige sig gennem netværkets perimeterforsvar.

Elastic SIEM

CapMon er MSSP teknologipartner hos Elastic. Således baserer vores  SIEM – Log Management løsninger sig på Elastic moduler, som benyttes af tusindvis af organisationer (herunder Cisco, eBay, Goldman Sachs, NASA, Microsoft Wikipedia og Verizon).

Elastic SIEM indeholder udover de faser, som er beskrevet under SIEM-Log management også Elastic Security dvs. security funktionaliteter som:

  • ELASTIC SIEM App
  • Machine learning
  • Mitre Attack
  • Incident Response Soar
  • Rules/usecases
  • SIEM reporting.

Du har mulighed for tilvalg af Elastic End Point Security løsningen, som er en Anti-malware, der er bygget ind i Elastic stacken. (Agenter installeres på klienten for at stoppe malware på klienten). Elastic End Point er et vigtigt beskyttelseslag til dataindsamling af end points.

Exabeam UEBA

CapMon er MSSP partner hos Exabeam.  Deres løsning benytter UEBA, (brugeradfærdsanalyse) og kan implementeres på toppen af både eksisterende og nye SIEM løsninger.

Det er en kraftfuld administrationsplatform som ved hjælp af avanceret datalogi, giver dit sikkerhedsteam mulighed for at opdage kompromitterede og ondsindede brugere, der tidligere var vanskelige eller umulige at finde.

Exabeam UEBA