SIEM (Security information and event management) - это класс программных продуктов, предназначенных для сбора и анализа информации о событиях безопасности.
СУСИБ (SIEM) - система управления событиями информационной безопасности
SIEM системы появились в результате обледенения двух классов продуктов SEM и SIM.
- SEM (Security Event Management) - управление событиями безопасности
- SIM (Security Information Management) - правление информацией о безопасности
В задачи SIEM-систем входит:
- Сбор событий с антивирусных программ, систем авторизации и аунтентификации, IPS, IDS, DLP, межсетевых экранов, сетевого оборудования, контроллеров домена и т.д.
- Отслеживать инциденты в реальном времени (сигналы тревоги)
- Выявлять отклонения
- Обнаруживать обращения к индикаторам компрометации (IOC)
- Обеспечивать работу с событиями (LM)
- Оповещать оператора о возникновении инцидентов