Wat is SIEM?
De kop van het artikel verteld het al, SIEM is een afkorting van “Security Information & Event Monitoring”. Maar weet je dan al precies wat het is? Waarschijnlijk niet!
Dit korte artikel is bedoeld om een simpele uitleg te geven over wat een SIEM nu eigenlijk is, en waarom je dit in de moderne ICT landschappen telkens vaker tegenkomt.
Data Lake
Een SIEM is een gecentraliseerde opslagplaats van alle security event data uit je hele bedrijf; een soort Data Lake dus. Data Lake is een term uit de Big-Data wereld, waarmee een opslagruimte van extreem veel min-of-meer gestructureerde data wordt bedoeld (een soort meer vol met data).
Security Event Data
Elke keer dat iemand inlogt in zijn computer zal de computer hiervan een melding maken als een security event, of het inloggen nu lukt of niet. Nadat een gebruiker ingelogd is, en hij aan het werk gaat, zal hij door het systeem telkens beoordeeld worden of hij wel of geen toegang tot bijvoorbeeld een bestand of directory heeft. Of als je gaat printen moet je wel toegang hebben tot de printserver. Hetzelfde geldt als de gebruiker een intranet applicatie start.
Al deze acties worden vastgelegd in Security Events, die in je locale computer of een specifieke server worden opgeslagen.
Het doel van een SIEM is om al deze security Events te centraliseren vanuit alle locale computers en servers van het bedrijf. Want zodra je deze centraliseert, en verrijkt met informatie uit bijvoorbeeld VPN servers en firewalls, kun je een compleet beeld van de gedragingen van een gebruiker of een geautomatiseerd systeem bepalen.
Deze security data wordt voornamelijk door een speciale security afdeling binnen een bedrijf gebruikt om beveiligingsincidenten te onderzoeken, maar soms wordt deze analyse ook uitbesteed aan andere gespecialiseerde bedrijven.
Exabeam SIEM 2.0
Exabeam heeft een heel compleet SIEM, met een supersnel data-lake met alle benodigde opvraag en dashboard mogelijkheden. Ook heeft Exabeam standaard een flink aantal rapporten gedefinieerd voor bekende certificeringen en standaarden (bv HIPAA / PCI / GDPR / NIST etc). Het Exabeam SIEM heeft een hele sterke data-parser die ervoor zorgt dat alle binnenkomende data keurig voorzien wordt van voldoende metadata om goed te kunnen zoeken en correleren.
Waar je bij concurrerende SIEM producten vaak een afrekenmodel hebt dat gebaseerd is op het aantal bytes/megabytes dat je in je SIEM vastlegt, heeft Exabeam er expliciet voor gekozen om de licentie “user based” te maken. Je betaald dus niet voor de hoeveelheid data, maar voor het aantal users dat je monitored. Dit heeft een enorm voordeel; want vaak ben je geneigd om bepaalde informatie niet te loggen omdat het te duur is, en daarmee mis je een heleboel waardevolle inzichten. Bij Exabeam is dat niet nodig.
Deployment modellen
Zoals bij alle Exabeam software, kun je kiezen uit een On-Premise oplossing, waarbij je zelf voor de hardware moet zorgen (binnen de gegeven specificaties) of gespecialiseerde hardware van Exabeam kunt kopen. De andere optie is om voor de SaaS oplossing te kiezen. Deze laatste optie wordt telkens populairder, omdat daarmee alle hostingsactiviteiten, lifecycle management, etc. worden afgehandeld door Exabeam. Om in een SaaS oplossing te werken hoeft er alleen een Site-collector te worden geinstalleerd in het eigen datacenter, die de events doorstuurt naar de SaaS instantie (natuurlijk te kiezen in welk land deze moet zijn).
Track42 heeft veel ervaring met opzet en inrichting van SIEM omgevingen, en we helpen je graag verder!