Systemy Zarządzania Incydentami Bezpieczeństwa i Zgodnością (ang. Security Information and Event Management – SIEM) umożliwiają efektywne zmniejszenie ryzyka wystąpienia incydentów bezpieczeństwa oraz niezgodności z wymaganiami do poziomów akceptowalnych przez biznes.
Głównymi funkcjami systemów SIEM są:
- konsolidacja logów i zdarzeń – scentralizowana w jednym rozwiązaniu; zebrane informacje podlegają znormalizowaniu, koordynacji w czasie, filtrowaniu, skorelacji i agregacji,
- wykrywanie zagrożeń – użycie zaawansowanych algorytmów, heurystyk i mechanizmów sztucznej inteligencji do przeglądania zebranych informacji w celu identyfikacji niezgodności, zagrożeń i podatności, identyfikacji atakowanych obiektów / zasobów oraz atakujących,
- zarządzanie incydentami – są to schematy przepływu zadań i informacji w wyniku wykrycia zdarzenia podejrzanego (incydentu), podatności lub niezgodności (zdefiniowanie workflow: reakcji na wystąpienie ww. zdarzenia lub niezgodności). Do tego są wykorzystywane systemy typu Business Process Management (BPM) oraz takie mechanizmy, jak: notyfikacja - wysłanie e-mail, SMSy, Trouble Tickets, etc.; działania automatyczne - rekonfiguracja, blokada dostępu, restart systemu, wpis obiektu na listy specjalne, zmiana ról i reguł biznesowych, zmiana priorytetów, zmiana trybu działania np. na stan podwyższonej gotowości, etc.; rejestracja reakcji systemu oraz personelu, rejestrowanie podjętych decyzji i działań usprawniających,
- raportowanie – operacyjne (sprawności, wydajności i skuteczności działań); zgodności (np. SOX, HIPPA, FISMA, …); ad hoc – na żądanie; forensic (działania wyjaśniające i zbieranie dowodów).
Odpowiedzią POSTINFO na zapotrzebowanie w obszarze SIEM jest grupa produktów opartych o system ABDUL, wchodzących w skład Platformy Nadzoru Bezpieczeństwa.
