Руслан Рахметов, Security Vision
До того, как понятие SIEM было «узаконено» аналитиком Gartner, оно существовало в виде двух терминов и, соответственно, двух разных решений. SEM (Security Event Management) и SIM (Security Information Management) системы по отдельности предназначались для анализа событий ИБ «на лету» и для исторического анализа
Руслан Рахметов, Security Vision
До того, как понятие SIEM было «узаконено» аналитиком Gartner, оно существовало в виде двух терминов и, соответственно, двух разных решений. SEM (Security Event Management) и SIM (Security Information Management) системы по отдельности предназначались для анализа событий ИБ «на лету» и для исторического анализа и поиска аномалий «в базе». В 2005 году одновременно с аналитическим обзором Гартнера объединённый термин SIEM упоминался на различных конференциях, например, NEbraskaCERT Conference, после чего класс решений стал широко востребован как единое окно для сбора и анализа данных, получаемых с сетевых устройств, контроллеров домена, операционных систем, баз данных и других прикладных систем ИБ и ИТ.
Сейчас зарождается SIEM второго поколения, который по факту является объединением со смежными решениями вроде Threat Intelligence и Behavior Analysis, дополняющими поиск инцидентов анализом индикаторов компрометации и алгоритмами машинного обучения. Вендоры ИБ развиваются, покупают смежные решения и поставляют больший функционал каждый год. Но поскольку TI, UBA/UEBA и другие решения существуют отдельно, мы будем рассматривать SIEM в изолированном исполнении. Такая классическая система предназначена для мониторинга событий, поиска инцидентов и аномалий как в режиме реального времени, так и в ретроспективе.
Стоит также отметить, что «сам по себе» рассматриваемый сегодня класс решений не может что-то защищать или остановить: события и инциденты продолжат происходить, но с высокой вероятностью будут обнаружены достаточно быстро, если SIEM настроена.