SIEM FOR BEGINNERS
Det här är grunderna Security Information and Event Management (SIEM) kan ge organisationer en överblick av aktiviteten i deras ITsystem och nätverk genom insamling, lagring, analys och rapportering av loggdata. Med rätt konfigurering är det till exempel möjligt att upptäcka fel och oönskad aktivitet i system och nätverk i realtid. Idag är datavolymerna så stora att det är omöjligt att genomföra bevakning och felsökning manuellt. Inom ett företags IT-miljö kan åtskilliga miljoner logghändelser genereras dagligen och att sålla bland dessa manuellt är i praktiken omöjligt. I takt med att datamängderna ständigt ökar blir det också viktigt att skapa spårbarhet i ITmiljön. Utmaningen med att hantera de ständigt ökande datamängderna och de enorma mängderna säkerhetsloggdata har lett till utvecklandet av SIEM, Security Information and Event Management. Vad står SIEM för? Begreppet är ett samlingsnamn för teknologierna SIM Security Information Management och SEM Security Event Management. Där man kan säga att SEM möjliggör insamling och sammanställning av olika händelser medan SIM används för att korrelera och rapportera den insamlade informationen. SIEM möjliggör automatiserad bevakning och felsökning av säkerhetsrelaterad data. I den automatiserade processen korreleras, analyseras, presenteras och lagras loggar på en central plats. Centraliserad logghantering kan även användas för andra ändamål som rör IT-drift, applikationsutveckling och Business Intelligence. Hur fungerar SIEM? SIEM-lösningens uppgift är att samla in och analysera loggdata från systemen i den aktuella miljön. Lösningen samlar in logghändelser från de olika enheterna i nätverket på en central plats. Logghändelser kan till exempel hämtas från applikationer, servrar, nätverksutrustning, lagringsenheter, routrar, nätverksenheter, antivirusprogram och databaser. Genom att centralisera loggarna möjliggörs felsökning och monitorering så att användaren enkelt till exempel kan korrelera olika events för att åtgärda fel eller identifiera intrång. Med SIEM får man en värdefull överblick i realtid gällande avvikande aktiviteter samtidigt som man kan identifiera eventuella hot och attacker samt analysera dessa. Sammanställd händelseinformation kan sättas upp vilket underlättar arbetet för användaren då denne inte behöver gå igenom samtliga säkerhetsvarningar som utlöses av systemet dagligen. SIEM kan till exempel varna om ett misstänkt mönster detekteras och genera viktig information om händelserna till användaren. Att inhämta och korrelera data hjälper användare att upptäcka eventuella svagheter i systemet. Det går även att upprätta ett varningssystem för kända sekvenser vilka skapas utifrån korrelationsregler. SIEM kan även minska antalet händelser som behöver utredas. Användarna kan tillämpa regler som sållar bort de varningar som inte är relevanta. Till exempel så kan en regelbaserad korreleringsmotor sammanbinda olika händelser och på så sätt minska antalet falska alarm.
Användningsområden för SIEM-system? Regelefterlevnad / Compliance Loggarna innehåller data som exempelvis kan visa hur organisationen efterlever olika regelverk och lagar. Vilka krav är självklart beroende av organisationen i fråga, men några kända regelverk som företag har att rätta sig efter är: PCI DSS regelverk för de som hanterar kreditkortsinformation GDPR dataskyddsregelverk för de som verkar inom EU HIIPA regelverk kring sekretess gällande hälsoinformation i USA ISO 27000 internationellt erkänd säkerhetsstandard SOX regelverk för de som är listade på amerikanska börsen SIEM kan hjälpa organisationer att efterfölja de olika regler och lagar som är gällande. Det går att bygga dashboards och rapporter som är viktiga för att säkerställa efterlevnad hos reglerande tillsynsmyndigheter. Med SIEM kan ni även övervaka access till system där exempelvis kreditkortsinformation och persondata lagras, och sätta upp varningar för när användare ger sig själva tillgång till dessa uppgifter. IT-utredningar / Forensics Med SIEM har man möjlighet att se vem som gjort vad och när det skedde i en IT-miljö. SIEM kan reducera skador av säkerhetsincidenter och konsekvenserna av dessa, eftersom SIEM möjliggör spårbarhet i systemet. SIEM gör det möjligt svara på frågor som: Vad hände? När hände det? Var hände det? Varför hände det? Vem gjorde det? Vid intrång i IT-miljön kan det finnas viktig information i loggarna om hur attacken är uppbyggd, hur den är utformad och hur den går till. Systemet ger information som gör det lättare att se mönster i IT-miljön vilket kan vara viktigt för att ta med sig inför kommande incidenter och för att reducera risken för intrång i nätverken. Användaraktivitet och behörighetskontroll Många organisationer har behov av att vid behov kunna gå tillbaka för att se vilken användare som har gjort vad vid ett specifikt tillfälle. Men ofta finns det också regler kring vad en användare får göra. En läkare på ett sjukhus får exempelvis inte söka i vilka journaler som helst t.ex. för att ta fram information om sin bråkiga granne. Man kan också t.ex. vilja upptäcka ifall en uppsagd anställd exporterar stora mängder data ur ens system.
Med ett SIEM-system går det att skapa rapporter kring användaraktivitet och regelefterlevnad. Det gör det möjligt att avvärja interna hot, behörighetsöverträdelser samt möjlighet att övervaka filintegriteten. Alla ändringar loggas och blir synliga och information sparas på ett säkert sätt vilket förhindrar att obehöriga ändringar sker. Genom en realtidsnotifikation av säkerhetsincidenter kan en potentiell skada eller ett informationsläckage minimeras. SIEM som tjänst 24/7 SIEM ställer stora krav på IT-säkerhetskunskaper och erfarenhet för att fungera tillfredställande. Sentor har därför utvecklat en metodik för att kunna leverera en högteknologisk tjänst där vi tar ansvar från kravställning till löpande drift och 24/7-bevakning av loggar och larm. Tjänsten skräddarsys efter kundens behov och krav för att säkerställa en leverans av högsta kvalitet. Vill du veta mer? Besök eller ring.
Huvudkontoret Regionkontor Syd Sentor MSS AB Björn Trädgårdsgränd 1 116 21 Stockholm +46 (0)8 545 333 00 Sentor MSS AB Adelgatan 21 211 22 Malmö +46 (0)8 545 333 00