SIEM
Что такое SIEM?
SIEMПлатформа, которая агрегирует, нормализует и коррелирует данные безопасности со всей организации для обнаружения угроз, расследований, соответствия требованиям и отчётности.
Security Information and Event Management (SIEM) — это центральная платформа аналитики журналов SOC. Она собирает логи и телеметрию с межсетевых экранов, конечных точек, систем идентификации, облачных API, приложений и сетевых датчиков, нормализует и хранит их, чтобы правила корреляции, статистические базовые линии и модели машинного обучения формировали приоритизированные оповещения. Современные SIEM (Splunk, Microsoft Sentinel, Elastic, Chronicle, QRadar) поддерживают подход detection-as-code, UEBA, обогащение данными threat intelligence и интеграцию с SOAR для автоматического реагирования. SIEM выступает источником правды при расследованиях инцидентов, отчётности по комплаенсу и долгосрочном хранении криминалистических данных.
● Примеры
- 01
Microsoft Sentinel сопоставляет неудачные входы в Azure AD с оповещениями EDR для выявления password spraying.
- 02
Корреляционный поиск в Splunk срабатывает, когда сервисная учётная запись входит из необычной страны.
● Частые вопросы
Что такое SIEM?
Платформа, которая агрегирует, нормализует и коррелирует данные безопасности со всей организации для обнаружения угроз, расследований, соответствия требованиям и отчётности. Относится к категории Защита и операции в кибербезопасности.
Что означает SIEM?
Платформа, которая агрегирует, нормализует и коррелирует данные безопасности со всей организации для обнаружения угроз, расследований, соответствия требованиям и отчётности.
Как защититься от SIEM?
Защита от SIEM обычно сочетает технические меры и операционные практики, как описано в определении выше.