SIEM (Security information and event management) — объединение двух терминов, обозначающих область применения ПО: SIM (Security information management) - управление информацией о безопасности, и SEM (Security event management) — управление событиями безопасности.
Технология SIEM обеспечивает анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений, и позволяет реагировать на них до наступления существенного ущерба.
Одной из главных целей использования SIEM-систем является повышение уровня информационной безопасности в имеющейся архитектуре за счет обеспечения возможности манипулировать информацией о безопасности и осуществлять упреждающее управление инцидентами и событиями безопасности в близком к реальному времени режиме.
Упреждающее управление инцидентами и событиями безопасности заключается в принятии решений еще до того, как ситуация станет критической. Такое управление может осуществляться с использованием автоматических механизмов, которые прогнозируют будущие события на основе исторических данных, а также автоматической подстройки параметров мониторинга событий к конкретному состоянию системы.
SIEM представлено приложениями, приборами или услугами, и используется также для журналирования данных и генерации отчетов в целях совместимости с прочими бизнес-данными.
Перечень основных задач SIEM:
- Оперативное обнаружение, реагирование и контроль обработки инцидентов.
- Оперативный контроль состояния инфраструктуры компании.
- Создание единого центра мониторинга.
- Определение прав, обязанностей и разграничение зон ответственности персонала компании (ИТ- и ИБ-служб).
- Соответствие требованиям регуляторов (Федеральные законы № 152-ФЗ, 161-ФЗ, 187-ФЗ, приказы ФСТЭК России № 21, 17 и 31, СТО БР ИББС и РС БР ИББС-2.5-2014, международного стандарта PCI DSS, ISO 27001).