SIEM

מתוך ויקיפדיה, האנציקלופדיה החופשית

SIEM (ראשי תיבות באנגלית של: Security Information and Event Management לפעמים מכונה בקיצור גם:SIM, SEM, תרגום: ניהול אבטחת מידע ואירועים) היא התקן או תוכנה המנתחת לוגים המגיעים מרכיבי תקשורת ותוכנות שונות.

המערכת מקבלת נתונים ממערכות ארגוניות שונות, מנתחת אותם ומאפשרת בקרה על תהליכים ואירועים, הפקת דוחו"ת, זיהוי פרצות אבטחה ותגובה למתקפות המתרחשות בזמנים שונים. למערכת הניהול הגבלת נפח אחסון שניתן להרחבה בעזרת יישום מבוזר המעבד כמויות גדולות של נתונים כדוגמת האדופ.

מערכות SIEM כוללות בתוכן גם מערכות SIM (מערכת לניהול אבטחת מידע) וגם מערכות SEM (מערכת לניהול אירועים).

מאפיינים[עריכת קוד מקור | עריכה]

למערכת לניהול אירועי אבטחת מידע יכולות רבות כגון:

  • צבירת נתונים: אחסון נתונים ממקורות רבים (תעבורת רשת, שרתים, מסדי נתונים, יישומים ועוד) ושליפתם בעת הצורך בהתאם לבקשות המגיעות ממתאם הנתונים וממנהל הרשת (כשנעשות חקירות דיגיטליות יש צורך בנתונים אלה המוכיחים כי הפעולה נוגדת את מדיניות החוקים שהוגדרה מראש).
  • מתאם נתונים: השוואת נתונים ותכונות משותפות וקשירת קשר אל אירועים מסוימים, שילוב מידע ממקורות שונים והפיכתם למידע שימושי.
  • ניתוח ואיתור: מנתחת שינויים במערכות הפעלה ומסדי נתונים מפקחת ומנהלת הרשאות משתמשים, שירותים ותיקיות ומזהה דפוסי פעולה שאינם סטנדרטיים.
  • מערכת התרעה: מתריעה מנתחת וחוסמת פעולות חשודות, ניסיונות גישה בלתי מורשים, התקפות על הרשת או כל פעולה אשר מנוגדת לחוקים שהוגדרו מראש. המערכת שולחת דיווח אודות פעולות אלה באמצעות דואר אלקטרוני וגם דרך מערכת ההודעות ביישום עצמו.

מערכות לניהול אירועים[עריכת קוד מקור | עריכה]

מערכות לגילוי חדירות בקוד פתוח[עריכת קוד מקור | עריכה]

  • OSSIM
  • ELK Elastic
  • LOGalyze
  • Security Onion

ראו גם[עריכת קוד מקור | עריכה]

קישורים חיצוניים[עריכת קוד מקור | עריכה]