SIEM
SIEM staat voor Security Incident & Event Monitoring, al heeft het door de jaren heen diverse andere uitleg gekregen. Bijvoorbeeld:
- Security Information & Event Mangement
- Security Information & Event Monitoring
De veelheid aan verklaringen, komt vooral doordat het een marketingconcept is geworden, een buzzword, zonder dat iedereen precies weet waar het voor staat en wat de toegevoegde waarde daarvan is voor de organisatie.
In de meest breed geaccepteerde vorm staat SIEM voor een combinatie van werkprocessen, software en hardware die geautomatiseerd IT-gerelateerde beveiligingsinformatie verzamelt, combineert, correleert en analyseert. Het Security Event Management heeft tot doel om tijdig gealarmeerd te worden wanneer een kwaadwillende computervredebreuk probeert te plegen. SIEM bewaakt de integriteit, de vertrouwelijkheid en de beschikbaarheid van informatie.
Wat is het verschil tussen een Security Event en een Security Incident ?
Een Security Event is een gebeurtenis in de IT-systemen die als relevant is gevlagd voor het onderzoeken van de cybersecurity (IT-beveiliging). Er is iets gebeurd dat de interesse van het SIEM beveiligingssysteem heeft. Geen paniek.
Een Security Incident is een gebeurtenis die ofwel als risicovol is benoemd, ofwel tot dataverlies of ander onheil heeft geleid. Een Security Incident geeft altijd aanleiding tot alarmering en actie. Gaat iemand onderzoek doen naar een Security Incident dan zijn de Security Events daarbij een bron van informatie.
Logging voor SIEM
SIEM gebruikt over het algemeen reeds bestaande loggingsystemen.
De SIEM applicatie tapt in op de logging-database en gaat met de beschikbare data aan de slag. Het combineert en correleert de logging en komt op basis van voorgeprogrammeerde voorwaarden (condities) tot een signalering.
Daarnaast produceert SIEM ook relevante rapportage, om de belangrijkste inzichten duidelijk te presenteren. Die kan bijvoorbeeld betrekking hebben op de beveiligingsstatus, maar ook op bredere activiteiten rondom (IT-) beveiliging.
Security Events
Welke Security Events kan SIEM dan in de gaten houden? In principe kan SIEM naar alles kijken wat door de klant als relevant ten aanzien van security wordt gezien. Grotere insititutionele partijen hebben vaak een eigen set van security events gedefinieerd, die in gaten moeten worden door SIEM. Voorbeelden van Security Events zijn: