🔒 SIEM: Программно-аппаратный комплекс для управления безопасностью

SIEM (Security Information and Event Management) выполняет следующие функции.

1️⃣ Сбор логов Из всех источников: ОС, сетевого оборудования, приложений, СКУД, антивирусов, СЗИ и других систем.

2️⃣ Нормализация Каждое событие приводится к единому формату с полями: time, src_ip, user, event_type, severity.

3️⃣ Корреляция Связывает события по времени и контексту, выявляя цепочки, указывающие на инцидент.

4️⃣ Хранение Масштабируемое хранилище на базе Elasticsearch, ClickHouse или проприетарных движков, таких как в Splunk.

5️⃣ Оповещения Генерирует alerts и incidents по встроенным или пользовательским правилам.

6️⃣ Анализ и интеграция Интерфейс для поиска, формирования отчётов и передачи данных в SOAR, тикетинг-системы, Telegram, email.

SIEM используется в SOC для обработки логов и выявления угроз.

#SIEM #кибербезопасность #информационнаябезопасность #SOC #логи #корреляция #инциденты #защитаданных #киберзащита #инфобез