سامانه SIEM چیست و چگونه کار میکند؟
سامانه- Security Information and Event Management SIEM ترکیبی از دو عملکرد اصلیه:
- SIM (مدیریت اطلاعات امنیتی): جمعآوری و ذخیرهسازی لاگها و دادههای امنیتی
- SEM (مدیریت رویدادهای امنیتی): تحلیل و بررسی رویدادهای ثبتشده برای شناسایی تهدیدها
این سامانهها دادههای امنیتی رو از منابع مختلف مثل فایروالها، آنتیویروسها، سرورها و سیستمهای کاربری جمعآوری میکنن، سپس با تحلیل همزمان و خودکار، تهدیدهای احتمالی رو شناسایی و هشدار صادر میکنند
کاربردهای اصلی SIEM:
شناسایی حملات سایبری در لحظه
تجمیع و تحلیل لاگهای امنیتی از منابع مختلف
ایجاد گزارشهای تطبیقپذیری برای ممیزیها
افزایش سرعت واکنش به حوادث امنیتی
کاهش پیچیدگی ابزارهای امنیتی با یک داشبورد مرکزی
به عبارت دیگر سامانههای SIEM مثل چشم و گوش واحد امنیت اطلاعات است با دیدی جامع و لحظهای از وضعیت امنیتی کل سازمان
