Utilizza una soluzione SIEM come Elastic che includa l'inoltro dei log

SIEM: che cos’è e cosa significa per un’organizzazione

Il SIEM è una soluzione in cui convergono Security Information Management e Security Event Management. Più in dettaglio:

• Il SIM è un sistema di gestione delle informazioni che automatizza il processo di raccolta e orchestrazione dei log (ma non in tempo reale). I dati vengono raccolti e spediti ad un server centralizzato tramite l’utilizzo di software agent installati sui vari dispositivi del sistema monitorato. La possibilità di usufruire di spazi di archiviazione a lungo termine unita all’analisi dei dati consente la generazione di report personalizzati.
• Il SEM è una soluzione software che, in tempo reale, provvede al monitoraggio e alla gestione degli eventi che accadono all’interno della rete e sui vari sistemi di sicurezza, fornendo una correlazione e aggregazione tra essi. L’interfaccia è una console centralizzata, preposta ad attività di monitoraggio, segnalazione e risposta automatica a determinati eventi.

Agganciando al SIM il SEM, il SIEM analizza i registri raccolti per evidenziare eventi o comportamenti di interesse consentendo, ad esempio, di rilevare un accesso amministrativo al di fuori del normale orario di lavoro, quindi informazioni sull’host, sull’Id e altro ancora. Le informazioni contestuali raccolte rendono i report estremamente più dettagliati e permettono di ottimizzare i flussi di lavoro finalizzati alla risoluzione degli incidenti.

Come funziona una soluzione di Security Information and Event Management

La tecnologia dei sistemi SIEM ha come obiettivo la raccolta centralizzata dei log e degli eventi generati da applicazioni e sistemi in rete, per consentire agli analisti di sicurezza di ridurre i tempi necessari alla risoluzione e alle indagini su allarmi e incidenti di sicurezza.

Le principali attività di un SIEM sono raccogliere, analizzare, correlare e monitorare un elevato numero di dati diversificati, provenienti da:

• Strumenti di sicurezza: Intrusion Detection Systems, Intrusion Prevention Systems, sistemi antivirus e antimalware, VPN concentrators, Web filters, honeypots, firewalls, adservers
• Dispositivi di rete: router, switch, DNS server, wireless access point, WAN, Data transfer, Private Cloud Network
• Apparati: dispositivi degli utenti, server di autenticazione, database, cloud-hosted server
• Applicazioni: applicazioni intranet, applicazioni web, applicazioni Saas

Il principio chiave del SIEM è un monitoraggio evoluto, basato sulla capacità di aggregare dati significativi, provenienti da molteplici fonti, stabilendo in tempo reale analisi e correlazioni finalizzate a individuare comportamenti anomali, segnali critici e a generare allarmi, rispondendo alle esigenze di incident response, compliance e analisi forensi. La natura stessa della tecnologia comporta un continuo adeguamento in base alle continue valutazioni sulla sicurezza effettuate dai CSO, unitamente a tutti gli adeguamenti normativi del caso.

Il principio di funzionamento? A livello elementare una soluzione SIEM è fondata su una serie di regole (definite dal vendor e/o dai responsabili della sicurezza) e sull’utilizzo di un motore di correlazione statistica che stabilisce le relazioni tra le varie voci del registro eventi.

Esistono soluzioni SIEM disponibili online come Elastic. Implementare una soluzione SIEM può essere un processo complesso, ma estremamente importante per la tua sicurezza: se non sei in grado di effettuare questa operazione in autonomia rivolgiti al tuo consulente IT o contatta il nostro supporto.