SIEM

SIEM står i detta sammanhang för ”Security Information and Event Management”. Det är egentligen en hopslagning av akronymerna SEM – ”Security Event Management” – och SIM – ”Security Information/Incident Management” och kan enklast förklaras som dels tillförlitlig lagring av loggar, samt korrelation av loggrelaterade händelser. Detta innebär frigörande av manuell arbetskraft som bör utföra detta arbete och därmed lediga resurser för andra viktiga uppgifter inom organisationen.

En av effekterna som uppnås är att förhindra incidenter, ett annat fall där korrelation av olika loggar underlättar mycket är i den reaktiva – forensiska – kontrollen. Rätt information insamlad från olika system ger möjligheten att följa en kedja av händelser och ofta en mycket bra plattform att bedriva en utredning kring.

Vad är då den bakomliggande orsaken till att så få utför denna typ av korrelation av händelser mellan olika system? Svaret är enkelt. Det skulle kosta allt för mycket tid att utföra detta arbete manuellt och mängden arbete skulle med lätthet kunna sysselsätta hela driftavdelningen med jobb under lång tid. Detta är även ett av huvudskälen till varför det blir intressant att titta på vad ett SIEM-system kan tillföra. 

• Logghantering
• SIEM
• DLP
• Utökad kontroll
• Drift