SIEM (Security Information & Event Management)
SIEM — це рішення безпеки, яке агрегує та аналізує дані безпеки з різних джерел для забезпечення виявлення загроз у реальному часі, реагування на інциденти та звітності про відповідність вимогам.
Security Information and Event Management (SIEM) is a solution that aggregates and analyzes security data from various sources across an organization's IT infrastructure in real-time. Its core function is to collect log data and security alerts from endpoints, servers, network devices, applications, and security tools (like firewalls and intrusion detection systems). This data is then normalized, correlated, and analyzed to detect potential security threats, anomalies, and policy violations. SIEM systems provide capabilities for centralized logging, threat detection through rule-based correlation and behavioral analysis (UEBA - User and Entity Behavior Analytics), incident response orchestration, and compliance reporting. By consolidating security-relevant information into a single platform, SIEM enables security teams to gain better visibility into their environment, identify threats more quickly, investigate incidents efficiently, and meet regulatory compliance requirements (e.g., HIPAA, PCI DSS, GDPR) through comprehensive audit trails. Key architectural components include data collectors/agents, a central log management system, a correlation engine, a security analytics engine, and a user interface for dashboards and reporting.
graph LR
Center["SIEM (Security Information & Event Management)"]:::main
Pre_cybersecurity["cybersecurity"]:::pre --> Center
click Pre_cybersecurity "/terms/cybersecurity"
Pre_network_security["network-security"]:::pre --> Center
click Pre_network_security "/terms/network-security"
Pre_data_governance["data-governance"]:::pre --> Center
click Pre_data_governance "/terms/data-governance"
Center --> Child_event_correlation["event-correlation"]:::child
click Child_event_correlation "/terms/event-correlation"
Rel_security_operations_center_soc["security-operations-center-soc"]:::related -.-> Center
click Rel_security_operations_center_soc "/terms/security-operations-center-soc"
Rel_incident_response["incident-response"]:::related -.-> Center
click Rel_incident_response "/terms/incident-response"
Rel_vulnerability_scanning["vulnerability-scanning"]:::related -.-> Center
click Rel_vulnerability_scanning "/terms/vulnerability-scanning"
classDef main fill:#7c3aed,stroke:#8b5cf6,stroke-width:2px,color:white,font-weight:bold,rx:5,ry:5;
classDef pre fill:#0f172a,stroke:#3b82f6,color:#94a3b8,rx:5,ry:5;
classDef child fill:#0f172a,stroke:#10b981,color:#94a3b8,rx:5,ry:5;
classDef related fill:#0f172a,stroke:#8b5cf6,stroke-dasharray: 5 5,color:#94a3b8,rx:5,ry:5;
linkStyle default stroke:#4b5563,stroke-width:2px;
🧒 Простими словами
📟 SIEM — це як супер-розумний детектив, який збирає тисячі дрібних доказів (логів) з усіх комп’ютерів компанії щосекунди. Самі по собі ці докази нічого не значать, але SIEM миттєво складає їх докупи, щоб побачити повну картину злочину. Якщо він бачить щось підозріле — він одразу вмикає тривогу.
🤓 Expert Deep Dive
Сучасні SIEM використовують UEBA (аналіз поведінки користувачів) та штучний інтелект для пошуку аномалій. Критичним елементом є SOAR — система, яка дозволяє SIEM не просто виявляти загрозу, а й автоматично її нейтралізувати (наприклад, заблокувати зламаний акаунт в Active Directory) без залучення людини.