Bezpieczeństwo z SIEM, SOAR i XDR

SIEM (Security Information and Event Management) odpowiedzialny jest za zbieranie, analizowanie oraz korelowanie zdarzeń i logów z różnych elementów infrastruktury i aplikacji. Zwykle systemy SIEM umożliwiają długoterminowe składowanie danych.

Dodatkowym atutem SIEM jest możliwość tworzenia własnych sygnatur lub wykorzystanie dostarczanych przez producenta tego rozwiązania sygnatur, wykrywających różne nieprawidłowości, w tym często również incydenty bezpieczeństwa. Wykryte zdarzenia zwykle da się wizualizować na różne sposoby i generować w oparciu o nie stosowne powiadomienia.

Natomiast SOAR (Security Orchestration, Automation and Response) służy do generowania zautomatyzowanych odpowiedzi, na wykryte przez SIEM zdarzenia czy incydenty bezpieczeństwa. Przykładem takich odpowiedzi może być wygenerowanie wzbogaconego o dodatkowe informacje powiadomienia czy uruchomienie wskazanego zestawu zadań.

Niestety, nie wszystkie informacje znajdują się w logach. Stąd rozwiązania SIEM nie biorą pod uwagę tego, jaki ruch generuje dany węzeł w trakcie uruchamiania pliku, czy jakie biblioteki i inne pliki zostały dodatkowo przez niego uruchomione. Nie bierze też pod uwagę tego, jak zmieniło się to zachowanie względem danych historycznych. Dodatkowo, w logach znajduje się często duża ilość innych informacji, nie powiązanych w ogóle z incydentami bezpieczeństwa i zagrożeniami, co utrudnia analizę i korelację.

Dlatego obecnie w obszarze wykrywania cyberzagrożeń stosuje się systemy XDR (Extended Detection and Response), które potrafią brać pod uwagę także m.in. te dodatkowe informacje. Należy jednak pamiętać o tym, że systemy XDR stosowane są w obszarze wykrywania, wizualizowania i podejmowania zautomatyzowanych reakcji na incydenty bezpieczeństwa. Nie służą one do długoterminowego gromadzenia logów. Zatem wypełniają one tylko pewną lukę. Nie zastępują one całkiem systemów SIEM. Systemy XDR często integruje się z systemami SIEM i SOAR. W naszej ofercie znajdziesz rozwiązania SIEM, SOAR, jak i XDR.

My do tego obszaru polecamy Cisco XDR, Elastic Stack i Cisco Splunk.

Odpowiedzialność

Wszelkie prezentowane na naszej stronie treści i grafiki mają wyłącznie charakter poglądowy i nie stanowią oferty handlowej w rozumieniu art. 66 § 1 Kodeksu cywilnego oraz innych właściwych przepisów prawa. Zastrzegamy sobie prawo do wprowadzania zmian w dowolnym momencie i bez uprzedzenia lub następczego informowania o takich zmianach. Dokładamy starań, aby informacje publikowane na naszej stronie były zgodne ze stanem faktycznym i aktualne, nie gwarantuje jednak, że nie zawierają braków lub błędów. Nie ponosimy też żadnej odpowiedzialności za skutki powiązane z dostępnem do publikowanych przez nas informacji, w szczególności za wszelkie decyzje podejmowane na podstawie tych informacji.

Wykorzystane materiały

Grafiki wykorzystane na naszej stronie pochodzą z różnych źródeł. Część z nich została wykonana przez nas, a część pochodzi z zasobów dla Partnerów producentów z którymi współpracujemy oraz sklepów internetowych z gotowymi grafikami i zdjęciami.

Zapraszamy do kontaktu drogą mailową Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. lub telefonicznie +48 797 004 932 lub +48 797 004 938.

Rozwiązania do infrastruktury IT
Zarządzanie podatnościami
Bezpieczeństwo naszych aplikacji oraz danych często zależy od tego, którymi podatnościami zajmiemy się w pierwszej kolejności.
Każdego dnia pojawia się średnio kilkadziesiąt nowych podatności, z czego niekoniecznie te najbardziej wysokiego ryzyka, są dla nas najbardziej groźne. Informacja o m.in. gotowym exploit-cie czy choćby wzmianka o nim na którymś z portali jest często lepszym wyznacznikiem. Dlatego polecamy korzystanie z profesjonalnych systemów, które patrzą szerzej i potrafią odnieść tą wiedzę do lokalnej infrastruktury IT oraz działających w niej aplikacji.
Zainteresowanych systemami do zarządzania podatnościami prosimy o kontakt drogą mailową.