Halaman

    Social Items

SIEM là gì?

Trong nhiều bài báo, chương trình nói về an ninh mạng ta thường nghe tới thuật ngữ SIEM. Hôm nay hãy cùng Sơ Lược tìm hiểu một số thông tin về SIEM nhé!

SIEM là gì?

SIEM(viết tắt của security information and event management - tạm dịch: quản lý thông tin và sự kiện bảo mật) là một hệ thống nâng cao có nhiệm vụ tiếp cận, giám sát, phân tích và quản lý các vấn đề liên quan đến bảo mật. SIEM có hai thành phần gồm quản lý thông tin bảo mật(SIM) và quản lý sự kiện bảo mật(SEM).

Thông tin bảo mật SIEM thu thập được lấy ra từ nhiều nguồn khác nhau, bao gồm cả hệ thống phần mềm chống virus, phát hiện xâm nhập(IDS), hệ thống chống xâm nhập(IPS), hệ thống tập tin, tường lửa, bộ định tuyến(router), máy chủ(sever) và bộ chuyển mạch(switch).

Chức năng thường có của một hệ thống SIEM

  • Giám sát các sự kiện bảo mật trong thời gian thực.
  • Hiển thị chế độ xem trong thời gian thực.
  • Phiên dịch dữ liệu sự kiện từ nhiều nguồn khác nhau sang một định dạng phổ biến, điển hình là XML.
  • Tổng hợp và phân tích dữ liệu.
  • So sánh dữ liệu từ nhiều nguồn.
  • So sánh chéo để giúp quản trị viên phân biệt giữa các mối đe dọa thực sự.
  • Tự động ứng phó trước những sự cố bảo mật.
  • Gửi thông báo và tạo báo cáo đầy đủ, chi tiết.

Các sản phẩm SIEM nổi tiếng như ArcSight ESM, SIM One của nFX, enVision của Network Intelligence, EventTracker của Prism microsystems, Trigeo, Security Information Manager của Symantec, Cisco Security MARS và Snare. Các sản phẩm SIEM nguồn mở bao gồm OSSIM, một sản phẩm của sáng kiến ​​Open Source Security Information Management và Prelude, từ PreludeIDS.

Mặc dù các sản phẩm SIEM có thể tự động hóa nhiều tác vụ xung quanh việc thu thập và xử lý thông tin bảo mật nhưng chúng không thể hoạt động hiệu quả nếu không có sự đầu tư từ những tổ chức vận hành nó.

SIEM là gì? Chức năng của SIEM trong an ninh mạng

SIEM là gì?

Trong nhiều bài báo, chương trình nói về an ninh mạng ta thường nghe tới thuật ngữ SIEM. Hôm nay hãy cùng Sơ Lược tìm hiểu một số thông tin về SIEM nhé!

SIEM là gì?

SIEM(viết tắt của security information and event management - tạm dịch: quản lý thông tin và sự kiện bảo mật) là một hệ thống nâng cao có nhiệm vụ tiếp cận, giám sát, phân tích và quản lý các vấn đề liên quan đến bảo mật. SIEM có hai thành phần gồm quản lý thông tin bảo mật(SIM) và quản lý sự kiện bảo mật(SEM).

Thông tin bảo mật SIEM thu thập được lấy ra từ nhiều nguồn khác nhau, bao gồm cả hệ thống phần mềm chống virus, phát hiện xâm nhập(IDS), hệ thống chống xâm nhập(IPS), hệ thống tập tin, tường lửa, bộ định tuyến(router), máy chủ(sever) và bộ chuyển mạch(switch).

Chức năng thường có của một hệ thống SIEM

  • Giám sát các sự kiện bảo mật trong thời gian thực.
  • Hiển thị chế độ xem trong thời gian thực.
  • Phiên dịch dữ liệu sự kiện từ nhiều nguồn khác nhau sang một định dạng phổ biến, điển hình là XML.
  • Tổng hợp và phân tích dữ liệu.
  • So sánh dữ liệu từ nhiều nguồn.
  • So sánh chéo để giúp quản trị viên phân biệt giữa các mối đe dọa thực sự.
  • Tự động ứng phó trước những sự cố bảo mật.
  • Gửi thông báo và tạo báo cáo đầy đủ, chi tiết.

Các sản phẩm SIEM nổi tiếng như ArcSight ESM, SIM One của nFX, enVision của Network Intelligence, EventTracker của Prism microsystems, Trigeo, Security Information Manager của Symantec, Cisco Security MARS và Snare. Các sản phẩm SIEM nguồn mở bao gồm OSSIM, một sản phẩm của sáng kiến ​​Open Source Security Information Management và Prelude, từ PreludeIDS.

Mặc dù các sản phẩm SIEM có thể tự động hóa nhiều tác vụ xung quanh việc thu thập và xử lý thông tin bảo mật nhưng chúng không thể hoạt động hiệu quả nếu không có sự đầu tư từ những tổ chức vận hành nó.