SIEM

מתוך המכלול, האנציקלופדיה היהודית
קפיצה לניווט קפיצה לחיפוש

SIEM (ראשי תיבות באנגלית של: Security Information and Event Management, תרגום: ניהול אבטחת מידע ואירועים) היא התקן או תוכנה לניהול יומן ריכוזי, המנתחת אירועי אבטחת מידע שדווחו על ידי מערכות אבטחה שונות.

המערכת מקבלת נתונים ממערכות ארגוניות שונות, מנתחת אותם ומאפשרת בקרה על תהליכים ואירועים, הפקת דוחו"ת, זיהוי פרצות אבטחה ותגובה למתקפות המתרחשות בזמנים שונים. למערכת הניהול הגבלת נפח אחסון שניתן להרחבה בעזרת יישום מבוזר המעבד כמויות גדולות של נתונים כדוגמת האדופ.

מערכות SIEM כוללות בתוכן הן מערכות SIM (מערכת לניהול אבטחת מידע) והן מערכות SEM (מערכת לניהול אירועים).

מאפיינים

למערכת לניהול אירועי אבטחת מידע יכולות רבות כגון:

  • צבירת נתונים: אחסון נתונים ממקורות רבים (תעבורת רשת, שרתים, מסדי נתונים, יישומים ועוד) ושליפתם בעת הצורך בהתאם לבקשות המגיעות ממתאם הנתונים וממנהל הרשת (כשנעשות חקירות דיגיטליות יש צורך בנתונים אלה המוכיחים כי הפעולה נוגדת את מדיוניות החוקים שהוגדרה מראש).
  • מתאם נתונים: השוואת נתונים ותכונות משותפות וקשירת קשר אל אירועים מסוימים, שילוב מידע ממקורות שונים והפיכתם למידע שימושי.
  • ניתוח ואיתור: מנתחת שינויים במערכות הפעלה ומסדי נתונים מפקחת ומנהלת הרשאות משתמשים, שירותים ותיקיות ומזהה דפוסי פעולה שאינם סטנדרטיים.
  • מערכת התרעה: מתריעה מנתחת וחוסמת פעולות חשודות, ניסיונות גישה בלתי מורשים, התקפות על הרשת או כל פעולה אשר מנוגדת לחוקים שהוגדרו מראש. המערכת שולחת דיווח אודות פעולות אלה באמצעות דואר אלקטרוני וגם דרך מערכת ההודעות ביישום עצמו.

מערכות לגילוי חדירות בקוד פתוח

  • OSSIM
  • ELK Elastic
  • LOGalyze
  • Security Onion
  • AlienVault

ראו גם

קישורים חיצוניים

הערך באדיבות ויקיפדיה העברית, קרדיט,
רשימת התורמים
רישיון cc-by-sa 3.0