SIEM

I sistemi SIEM (Security information and event management) permettono un monitoraggio in tempo reale di accessi ed eventi, al fine di individuare eventi anomali o segnali critici e generare di conseguenza allarmi che consentono di intervenire tempestivamente, riducendo i tempi di risposta e l’individuazione delle minacce.

Garantire la sicurezza attraverso il SIEM

Strutturare un sistema SIEM può essere una procedura complessa, THE I può aiutarti a impostare SIEM per reagire alle minacce in modo rapido e preciso.

Le principali attività consistono nel raccogliere i log e gli eventi a livello di sistemi, network e applicazioni ed analizzarli in modo automatizzato, questo permetterà di evidenziare eventuali anomalie, aiuterà a diminuire i tempi di risposta e ad avere più informazioni per eventuali indagini.

La forza dei sistemi SIEM consiste nell’analizzare e centralizzare i dati provenienti da diverse fonti:

Strumenti di sicurezza

1. IPS/IDS
2. Antivirus
3. Firewall

Dispositivi di rete

1. Router
2. Switch
3. Wireless access point

Infrastrutture

1. Cloud
2. WAN
3. Intranet
4. Servizi server
5. Database
6. Dispositivi degli utenti
7. Applicazioni web
8. SaaS

Garantire la sicurezza attraverso il UEBA

Un’estensione evoluta dei SIEM è il sistema UEBA, User and Entity Behavior Analytics, che esegue anomaly detection in base al traffico standard. I sistemi UEBA raccolgono e memorizzano costantemente informazioni sull’utilizzo di applicazioni, host, framework di archiviazione dati e traffico di rete. Il sistema impara a riconoscere il comportamento degli utenti a livello di traffico e quando nota un comportamento anomalo lancia l’allarme, questo consente di avere una precisione migliore in fase di remediation perché si conosce già l’utente compromesso.