Locked History Actions

Security Event Management

SEM

Security Event Management

Saugumo Įvykių Valdymas.


Apibrėžimas

SEM yra kompiuterizuotas instrumentas, naudojamas įmonių duomenų tinkluose centralizuotam įvykių sąrašui (angl. log) sudarymui, saugojimui ir interpretavimui.


Paaiškinimai

SEM yra santykinai nauja idėja (1999 m.) patekta maža e-Security kompanija, tačiau ir šiuo metu vis dar vystosi sparčiai. Taip pat su SEM kartu egzistuoja tokia šaka, kaip Log Management (sąrašų valdymas). Nors šitie dalykai yra glaudžiai susiję, tačiau tarp jų yra vienas esminis skirtumas: Log Management pagrindinai užsiima duomenų surinkimu ir saugojimu, kai SEM fokusuojasi į duomenų analizę.

Daug sistemų ir programų naudojamu kompiuterių tinkluose fiksuoja įvykius, kurie saugomi įvykių sąrašuose (event log). Yra protokolai, tokie kaip Syslog ir SNMP, kurie gali būti naudojami įvykių persiuntimui sąrašu sudarimo ar apdorojimo programoms (logging software), esantiems kituose tinklo kompiuteriuose. Geriausios SEM sistemos pateikia daugybė naudojamų protokolų įvairiausių įvykių fiksavimui.

Centralizuotų SEM sistemų privalumai:

  • Prieigą prie log‘ų gali būti realizuota per centralizuotą sąsają.
  • Itin patikimas saugojimas ir archivavimas.
  • Ataskaitų sudarymo priemonės gali analizuoti log‘us ir pateikti tik naudingiausią informaciją.
  • Įvykių svarbumas gali būti tikrinamas iškart, kai tik ateiną pranešimas, ir pagal svarbumą informacija gali būti išsiunčiama suinteresuotiems vartotojams.
  • Susiję įvykiai gali būti aptikti skirtinguose sistemuose, kas neįmanoma atskirtų sistemų atvėju.

SEM sistemos leidžia giliai analizuoti informaciją, pavyzdžiui, naudojant kontekstinę informaciją, tokia kaip informacija apie vartotoją (host), identifikavimo informacija ir t.t.. Kontekstinė informacija gali padėti tiksliau sudaryti ataskaitas.

Kadangi SEM išeina už maršrutizatorių, komutatorių, serverių, ugniasienių įvykių ribų, galimybė kontroliuoti darbo programas tampa kritiška. Kadangi daug programų vis dar savyje neturi detalaus sąrašo sudarymo priemonių, SEM bando kompensuoti ir aptikti daugiau kritinės informacijos. Potencialus šios problemos sprendimas – tinklo stebėjimo (sniffing) ir kitų technologijų panaudojimas.

SEM technologijuose egzistuoja pagrindinė problema – duomenų standartizavimas. Kuomet egzistuoja daug programų kurėjų, o kurėjų kompanijos gamina daug įvairių programų įvairiems tikslams, duomenų formatas nebūna pastovus. Netgi kada tam tikroje sistemos grandyje naudojamas koks nors standartinis protokolas, pavyzdžiui, Syslog, tai problėmos neišsprendžia, nes standartas nėra griežtai aprašytas ir neturi tvirtų reikalavimų įvykių aptikimui, patikimam išrinkimui, analizei. Jau buvo bandymu ir šiuo metu yra bandoma sukurti tam tikrus standartusm tačiau kol kas patikimo sprendimo nėra.


Taip pat žiurėkite: