LOgi - zapis zdarzeń które zachodzą w wystemach i sieciach organizacji.

• Logi Zapory sieciowej - zapis prób lub ustawnowionych połączeń ruchu przychodzącego z Internetu. Można tutaj również znaleźć żądania wychodzące do Internetu z poziomu sieci.
• Logi sieciowe - Zapis wszystkich komputerów i urządzeń które wchodzą do sieci i ją opuszcają. Rejestrowane są również połączenia między urządzeniami i usługami w sieci.
• Logi serwera - zawiera zdarzenia związane z usługami takimi jak strony internetowe, maile, udziały plików. Logowanie, żadania hasła i nazwy użytkownka

Monitorując logi możńa zidentyfikować luubi w zabezpieczeniach i potencjalne naruszenia bezpieczeństwa danych. Zrozumienie logów jest ważne ponieważ narzędzia SIEM polegają na nich w celu monitoraowania systemów wykrywania zagrożeń bezpieczeństwa.

SIEM - narzędzie do zarządzania informacjami i zdarzeniami dotyczącymi bezpieczństwa to aplikacja która zbiera i analizuje dane logów aby monitorować krytyczne działania organizacji. Zapewnia podgląd w czasie rzeczywisteym, monitororwanie i analizę zdarzeń oraz automatyczne alerty. PRzechowuje wszystkie dane dziennika w scentralizowanej lokalizacji.

Ponieważ narzędzia SIEM indeksują i minimalizują liczbę logów, specjalista musi ręcznie przeglądać i analizować- ma zwiększoną efektywność i oszczędza czas. Narzędzia te muszą być prawidłowo skonfigurowane i dostosowane do potrzeb aby spełniały unikalne potrzeby bezpieczeństwa. W miarę pojawiania się nowych zagrożeń i słabych punktów, organizacje muszą stale dostosowywać narzędzia SIEM do swoich potrzeb aby być pewnym że zagrozenia są wykrywane i szybko eliminowane.

Zastosowanie SIEM

• Dashboard - PRezentacja informacji w telefonie lub na innym urządzeniu, w sposób łatwy do zrozumienia. Aplikacja pogodowa wyświetla dane takie jak temperatura, opady, prędkość wiatru czy prognozę za pomocą wykresów i innych elementów wizualnych. Dzięki temu formatowi możńa szybko zweryfikować trendy pogodowe i przygotować się na pokazaną pogodę. Na podobnej zasadzie pulpity nawigacyjne SIEM (jako wykresy czy tabele) które pomagają analitykom podejmować szybkie i świadome decyzje dotyczące bezpieczeństwa ich organizacji (Alert o podejrzanej próbie logowania - korzystając z dashboardu widać że było 500 prób logowania w czasie 5 minut i to z odległej lokalizacji

Oprócz powyższego zestawienia zapewnia kompleksowe zestawieine danych związanych z bezpieczeństwen. NA panelach można znaleźć rónze wskazniki. Kluczowymi atrybutami technicznymi które służą do oceny wydajności apliakcji są takie mtryki jak:

• czas reakcji,
• dostępność,
• awaryjność

Przyszłość narzędzi SIEM

Wcześniej zapoznałeś się z narzędziami do zarządzania informacjami i zdarzeniami dotyczącymi bezpieczeństwa (SIEM) wraz z kilkoma przykładami narzędzi SIEM. W tej lekturze dowiesz się więcej o tym, jak narzędzia SIEM są wykorzystywane do ochrony operacji organizacyjnych. Zyskasz także wgląd w to, jak i dlaczego narzędzia SIEM zmieniają się, aby pomóc chronić organizacje i osoby, którym służą, przed ewoluującymi taktykami i technikami ugrupowań zagrażających.

Aktualne rozwiązania SIEM

Narzędzie SIEM to aplikacja, która zbiera i analizuje dane z dzienników w celu monitorowania krytycznych działań w organizacji. Narzędzia SIEM oferują monitorowanie i śledzenie dzienników zdarzeń bezpieczeństwa w czasie rzeczywistym. Dane są następnie wykorzystywane do przeprowadzenia dokładnej analizy wszelkich zidentyfikowanych potencjalnych zagrożeń bezpieczeństwa, ryzyka lub podatności. Narzędzia SIEM mają wiele opcji pulpitu nawigacyjnego. Każda opcja pulpitu nawigacyjnego pomaga członkom zespołu ds. cyberbezpieczeństwa zarządzać danymi organizacyjnymi i monitorować je. Jednak obecnie narzędzia SIEM wymagają interakcji człowieka w celu analizy zdarzeń związanych z bezpieczeństwem.

Przyszłość narzędzi SIEM

Wraz z ewolucją cyberbezpieczeństwa wzrosło zapotrzebowanie na funkcjonalność chmury. Narzędzia SIEM są i nadal ewoluują, aby działać w środowiskach hostowanych i natywnych w chmurze. Narzędzia SIEM hostowane w chmurze są obsługiwane przez dostawców odpowiedzialnych za utrzymanie infrastruktury wymaganej do korzystania z narzędzi i zarządzanie nią. Narzędzia hostowane w chmurze są po prostu dostępne przez Internet i są idealnym rozwiązaniem dla organizacji, które nie chcą inwestować w tworzenie i utrzymanie własnej infrastruktury.

Podobnie jak narzędzia SIEM hostowane w chmurze, narzędzia SIEM natywne w chmurze są również w pełni utrzymywane i zarządzane przez dostawców, a dostęp do nich odbywa się przez Internet. Jednak narzędzia natywne w chmurze zostały zaprojektowane tak, aby w pełni wykorzystywać możliwości przetwarzania w chmurze, takie jak dostępność, elastyczność i skalowalność.

Oczekuje się jednak, że ewolucja narzędzi SIEM będzie kontynuowana, aby dostosować się do zmieniającego się charakteru technologii, a także nowych taktyk i technik ugrupowań zagrażających. Weźmy na przykład pod uwagę obecny rozwój wzajemnie połączonych urządzeń z dostępem do Internetu, znanych jako Internet rzeczy (IoT). Im więcej jest wzajemnie połączonych urządzeń, tym większa jest powierzchnia ataku cybernetycznego i ilość danych, które mogą wykorzystać cyberprzestępcy. Oczekuje się, że różnorodność ataków i danych wymagających szczególnej uwagi znacznie wzrośnie. Ponadto w miarę ciągłego rozwoju technologii sztucznej inteligencji (AI) i uczenia maszynowego (ML) możliwości SIEM zostaną udoskonalone, aby lepiej identyfikować terminologię związaną z zagrożeniami, wizualizację pulpitu nawigacyjnego i funkcjonalność przechowywania danych.

Wdrożenie automatyzacji pomoże także zespołom ds. bezpieczeństwa szybciej reagować na ewentualne incydenty, wykonując wiele czynności bez czekania na reakcję człowieka. Koordynacja, automatyzacja i reagowanie na zabezpieczenia (SOAR) to zbiór aplikacji, narzędzi i przepływów pracy, które wykorzystują automatyzację do reagowania na zdarzenia związane z bezpieczeństwem. Zasadniczo oznacza to, że oczekuje się, że obsługa typowych incydentów związanych z bezpieczeństwem przy użyciu narzędzi SIEM stanie się bardziej usprawnionym procesem, wymagającym mniejszej liczby interwencji ręcznych. Dzięki temu analitycy bezpieczeństwa mogą zająć się bardziej złożonymi i nietypowymi incydentami, których w konsekwencji nie można zautomatyzować za pomocą SOAR. Niemniej jednak oczekuje się, że platformy związane z cyberbezpieczeństwem będą się ze sobą komunikować i wchodzić w interakcje. Chociaż istnieje technologia umożliwiająca komunikację między połączonymi systemami i urządzeniami, wciąż trwają prace nad nią.

Kluczowe wnioski

Narzędzia SIEM odgrywają główną rolę w monitorowaniu danych organizacji. Jako początkujący analityk bezpieczeństwa możesz monitorować pulpity nawigacyjne SIEM w ramach codziennych zadań. Regularne badanie nowych osiągnięć w technologii SIEM pomoże Ci się rozwijać i dostosowywać do zmian w dziedzinie cyberbezpieczeństwa. Przetwarzanie w chmurze, integracja aplikacji SIEM i automatyzacja to tylko niektóre z osiągnięć, jakich specjaliści ds. bezpieczeństwa mogą się spodziewać w przyszłej ewolucji narzędzi SIEM.

Popularne narzędzia SIEM

** Własne lokalne narzędzie SIEM wymaga od organizacji: **

• instalacji
• obsługi
• utrzymania
• odpowiedniej wydajności serwera ( w przypadku własnej infrastruktury fizycznej)
• Zarządzanie
• Utrzymywanie przez dział IT organizacji

Własne narzędzia SIEm są idealne do utrzymania fizycznej kontroli nad poufnymi danymi.

** SIEM w chmurze **

• hostowane w chmurze
• zarządzane przez dostawców SIEM (remote online)
• idealne gdy nie ma budżetu na tworzenie własnej infrastruktury

** HYBRYDA SIEM **

• hostowanie w chmurze i lokalnie
• można wykorzystać zalety chmury, zachowując fizyczną kontrolę nad poufnymi danymi

Przykładowe popularne narzędzia SIEM

• Splunk - platforma do analizy danych -
• Splunk Enterprise - narzędzie hostowane samodzielnie, Służy do przechowywania, analizowania i wyszukiwania plików z logami w celu dostarczenia informacji o bezpieczeńśtwie w czasie rzeczywistym.
• Splunk Cloud - Hostowane w chmurze i służy do gromadzenia, wyszukiwania i monitorowania danych dziennikó. JEst pomocny dla organizacji korzystakąc ze środowis wyłącznie chmurowych,
• Google Cronicle - Narzędzie działające w chmurze, zaprojektowane do przechowywania, alalizowania i wyszukiwania danych. Chronicle zapewnia monitowowanie logów, analizę i gromadzenie danych. JEst wymuszone aby był w pełni dostępny(Available) elastyczny (Flexibility)i skalowalny! (Scalability)