SIEM-системы (Security Information and Event Management — системы управления событиями и информацией безопасности корпоративных IT инфраструктур) с каждым годом получают все большее распространение на рынке информационной безопасности (ИБ) в силу необходимости обрабатывать все больший объем информации из различных источников для принятия оперативных решений в области управления ИБ, операционных процессов и IT технологий.
Сбор и анализ «логов» в различных системах — задача достаточно трудоемкая, а без автоматизации и вовсе невозможная с ресурсной точки зрения. Слишком много людей понадобилось бы, чтобы проанализировать все, что пишется в протоколы. Конечно, можно сокращать количество регистрируемых событий, но это не всегда возможно, поскольку многие операционные системы, например, MS Windows, «неохотно» идут на уменьшение количества информации, попадающей в логи, особенно если необходимо протоколировать доступ к файлам и каталогам. И риск пропустить что-то важное также при этом возрастает.
Можно уйти от проверки всех событий и выполнять так называемые выборочные проверки (spot check). Так часто поступают IТ-аудиторы. Эффективность этого метода, при его кажущейся простоте и ненадежности, статистически весьма высока. События имеют тенденцию повторяться, и, велика вероятность, что, если что-то не в порядке, хотя бы одно из них попадет в поле зрения аудитора и вызовет более внимательную проверку и анализ уже всех доступных для анализа событий. Но для оперативной проверки...