Очень часто, когда заходит речь об обеспечении прозрачности сети и безопасности на базе анализа сетевых потоков с помощью StealthWatch, люди говорят: "Да у нас уже установлена SIEM!", или "наш SIEM уже собирает NetFlow". Давайте попытаемся понять, чем StealthWatch отличается от SIEM, какие проблемы связаны с использованием SIEM и т.п.

Что такое SIEM (для непосвященных)?

SIEM (Security Information and Event Management) - это программная или аппаратная технология, которая выполняет функцию сопоставления информации, полученной из разных источников (log-файлы, SNMP, даже в некоторых случаях NetFlow) с целью идентификации структуры (pattern) в данных, которая может свидетельствовать о аномальном событии. Существует несколько очень качественных SIEM: ArcSight компании HP, Q1 Labs Qradar компании IBM, RSA enVision, LogRhythm и др.
Например, корреляция пиков утилизации интерфейса с данными Syslog, указывающая, что пользователь вошел на хост с ранее неизве ... Читать дальше »