SIEM (Security information and event management) – объединение двух терминов, обозначающих область применения ПО: SIM - Security information management - управление информационной безопасностью и SEM - Security event management - управление событиями безопасности. Технология SIEM обеспечивает анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений. SIEM представлено приложениями, приборами или услугами, и используется также для журналирования данных и генерации отчетов в целях совместимости (с прочими бизнес-данными).
Акронимы SEM, SIM и SIEM иногда используются в контексте взаимозаменяемости. Сегмент систем управления безопасностью имеющий дело с мониторингом в реальном времени, корреляцией событий, извещениями и отображением на конечных устройствах обычно называют управлением событиями (SEM). Вторая область обеспечивает долговременное хранение, анализ и отчетность по накопленным данных известна как управление ИБ (SIM). По мере роста потребностей в дополнительных возможностях непрерывно расширяется и дополняется функциональность данной категории продуктов. Например, потребность в безопасности голосовых данных (vSIEM).
Понятие управление событиями информационной безопасности (SIEM), введенное Марком Николеттом и Амритом Вильямсом из компании Gartner в 2005 г., описывает функциональность сбора, анализа и представления информации от сетевых устройств и устройств безопасности, приложений идентификации (управления учетными данными) и управления доступом, инструментов поддержания политики безопасности и отслеживания уязвимостей, операционных систем, баз данных и журналов приложений, а также сведений о внешних угрозах. Основное внимание уделяется управлению привилегиями пользователей и служб, сервисам директорий и другим изменениям конфигурации, а также обеспечению аудита и обзора журналов, реакциям на инциденты.
Скачать "SIEM для начинающих" (на английском)
SIEM FOR BEGINNERS
EVERYTHING YOU WANTED TO KNOW ABOUT LOG MANAGEMENT BUT WERE AFRAID TO ASK