Security Information and Event Management: differenze tra le versioni

Naviga nella cronologia in modo interattivo

← Differenza precedente

Contenuto cancellato Contenuto aggiunto

VisualeWikitesto

Versione delle 15:20, 12 feb 2018 modifica Gemelli Matteo (discussione \| contributi) 8 modifiche m correzione errori di battitura ← Differenza precedente		Versione attuale delle 02:41, 16 set 2023 modifica annulla InternetArchiveBot (discussione \| contributi) Bot 1 829 354 modifiche Recupero di 3 fonte/i e segnalazione di 0 link interrotto/i.) #IABot (v2.0.9.5
(27 versioni intermedie di 18 utenti non mostrate)
Riga 1: {{S\|sicurezza informatica}} Nel campo della [[sicurezza informatica]] con ~~l’acronimo~~l’[[acronimo]] '''SIEM''' ('''''security information and event management)''''') ci si riferisce ad una serie di prodotti [[software]] e servizi che combinano/integrano le funzionalità offerte dai SIM ('' security information management '') a quelle dei SEM ('' security event management '').<ref>{{cita web\|url=http://www.drdobbs.com/siem-a-market-snapshot/197002909\|titolo=SIEM: A Market Snapshot ~~\|sito=www.drdobbs.com~~\|data=5 febbraio 2007\|lingua=EN\|accesso=5 febbraio 2018}}</ref> Il termine ''security information and event management'' è stato coniato da Mark Nicolett e Amrit Williams dell'azienda americana [[Gartner]] nel 2005.<ref>{{cita web\|url=https://www.sans.org/reading-room/whitepapers/logging/practical-application-sim-sem-siem-automating-threat-identification-1781\|titolo=Improve IT Security With Vulnerability Management\|sito=~~www.~~gartner.com\|data=2 maggio 2005\|lingua=EN\|accesso=5 febbraio 2018}}</ref> == ~~SEM e SIM~~Descrizione == === SEM e SIM === Pur fornendo funzionalità differenti gli acronimi SIM, SEM e SIEM vengono spesso utilizzati come intercambiabili.<ref>{{cita pubblicazione \| cognome=Swift \| nome=David \| titolo=A Practical Application of SIM/SEM/SIEM Automating Threat Identification \| curatore= SANS Institute \| data=23 dicembre 2006 \| p=3 \| url= https://www.sans.org/reading-room/whitepapers/logging/practical-application-sim-sem-siem-automating-threat-identification-1781 \|formato = pdf\| lingua = EN \| accesso=5 febbraio 2018 }}</ref> Il SEM provvede al monitoraggio e alla gestione [[sistema real-time]] degli eventi che accadono all'interno della rete e sui vari sistemi di sicurezza, fornendo una correlazione, e aggregazione tra essi ~~e un sistema di notifica~~. Presenta una console centralizzata adibita al monitoraggio e, alla segnalazione ~~degli~~e risposta automatica a determinati eventi. Il SIM è un software utilizzato per automatizzare il processo di raccolta e gestione dei [[log]] non in tempo reale. I dati vengono raccolti e spediti ad un [[server]] centralizzato tramite l’utilizzo di software [[agent]] installati sui vari dispositivi del sistema monitorato. ~~Tra~~La lepossibilità ~~funzionalità~~di ~~offerte~~usufruire èdi ~~presente~~spazi ladi ~~possibilità~~archiviazione dia ~~riprodurre~~lungo itermine ~~dati~~unita ~~sotto~~all'analisi ~~forma~~dei didati ~~grafici,~~consente ~~diagrammi~~la egenerazione ~~generare nuovi~~di report personalizzati.<ref>{{cita web\|url= https://www.gmdit.com/NewsView.aspx?ID=9IfB2Axzeew= \|titolo=The difference between SEM, SIM and SIEM~~\|sito=www.gmdit.com~~\|data=29 marzo 2010\|lingua=EN\|accesso=5 febbraio 2018}}</ref><ref>{{cita web\|url=https://www.techopedia.com/definition/4098/security-information-management\|titolo=Security Information Management (SIM)~~\|sito=www.techopedia.com~~\|lingua=EN\|accesso=5 febbraio 2018}}</ref>▼ ~~I dati vengono raccolti e spediti ad un server centralizzato tramite l’utilizzo di software agent installati sui vari dispositivi del sistema monitorato.~~ ▲Tra le funzionalità offerte è presente la possibilità di riprodurre i dati sotto forma di grafici, diagrammi e generare nuovi report.<ref>{{cita web\|url= https://www.gmdit.com/NewsView.aspx?ID=9IfB2Axzeew= \|titolo=The difference between SEM, SIM and SIEM\|sito=www.gmdit.com\|data=29 marzo 2010\|lingua=EN\|accesso=5 febbraio 2018}}</ref><ref>{{cita web\|url=https://www.techopedia.com/definition/4098/security-information-management\|titolo=Security Information Management (SIM)\|sito=www.techopedia.com\|lingua=EN\|accesso=5 febbraio 2018}}</ref> === Funzionalità ~~del SIEM~~ === I SIEM integrano le funzionalità offerte dai SEM e SIM al fine di poter combinare all’analisi svolta in tempo reale degli eventi, la possibilità di fornire report inerenti ai dati raccolti, rispondendo alle esigenze di incident response, [[Compliance normativa\|compliance]] e di [[Informatica forense\|analisi forense]].<ref>{{cita web\|url= http://www.techeconomy.it/2015/10/27/abc-sicurezza-siem-security-information-and-event-management/ \|titolo=ABC della sicurezza: SIEM, Security Information and Event Management\|sito=~~www.~~techeconomy.com\|data=27 febbraio 2015\|lingua=IT\|accesso=6 febbraio 2018\|dataarchivio=2 luglio 2017\|urlarchivio=https://web.archive.org/web/20170702231824/http://www.techeconomy.it/2015/10/27/abc-sicurezza-siem-security-information-and-event-management/\|urlmorto=sì}}</ref> I software SIEM sono installati tipicamente all’interno di un server centralizzato affiancati ad un database dove vengono memorizzati i dati raccolti. Di seguito sono riportate le principali funzionalità offerte:<ref>{{cita web\|url= https://www.uhcl.edu/computing/information-security/tips-best-practices/siem \|titolo=Security Information and Event Monitoring (SIEM) ~~\|sito=www.uhcl.edu~~\|lingua=EN\|accesso=6 febbraio 2018\|dataarchivio=12 febbraio 2018\|urlarchivio=https://web.archive.org/web/20180212201858/https://www.uhcl.edu/computing/information-security/tips-best-practices/siem\|urlmorto=sì}}</ref><ref>{{cita pubblicazione \| cognome=Chuvakin \| nome=Anton \| titolo=La guida completa alla gestione di log ed eventi \| curatore= NetIQ \| pp=2-3 \| url= https://www.microfocus.com/media/white-paper/the_complete_guide_to_log_and_event_management_wp_it.pdf \|formato = pdf\| lingua = EN \| accesso=6 febbraio 2018 }}</ref> ' ''Raccolta dati''': I log sono la fonte principale di dati analizzati da un SIEM. Ogni apparato di sicurezza, software, database, presente nel sistema invia i dati contenuti all’interno dei file di log al server principale sul quale risiede il SIEM. L’invio dei dati può essere gestito tramite software agent oppure consentendo al SIEM di accedere direttamente al dispositivo. La scelta su quale metodo utilizzare è correlata ai dispositivi che utilizziamo. ' ''Parsing e normalizzazione''': Ogni dispositivo gestisce e conserva i dati a modo suo, il SIEM provvede ad uniformare i dati raccolti, catalogandoli per tipo di dispositivo e tipo di dato, agevolandone l’interpretazione.▼ ' ''Correlazione''': La correlazione tra eventi diversi è una delle funzionalità principali, consente di integrare ed analizzare gli eventi provenienti da ~~diversi~~diverse fonti. Sebbene il SIEM disponga di una serie di regole di correlazione già predefinite, mette a disposizione la possibilità di creare delle regole personalizzate al fine di soddisfare le esigenze degli amministratori. Basandoci sulla correlazione tra gli eventi di sicurezza e i dati sulle vulnerabilità presenti nel sistema è possibile attribuire una priorità ad un evento.▼ ' ''Reporting''': L’archiviazione dei dati a lungo termine unita alla possibilità di sfruttare [[query]] personalizzate per l’estrazione dei dati, consentono la creazione di report. I report possono essere utilizzati a scopo di [[audit]], compliance o di analisi forense.▼ ' ''Dashboard''': Le dashboard forniscono un quadro generale dell’ambiente di lavoro in tempo reale. Tramite questi strumenti è possibile fornire una rappresentazione dei dati sotto forma di diagrammi o altri modelli, consentendo agli analisti di individuare rapidamente attività anomale.▼ ' ''Notifiche''': I segnali di notifica e avviso vengono generati al presentarsi di determinati eventi, informando gli utenti di una possibile minaccia. Le segnalazioni ~~posso~~possono avvenire tramite dashboard o utilizzando servizi di terze parti come la [[posta elettronica]] o gli SMS.▼ === Casi d'uso ===▼ ▲'''Parsing e normalizzazione''': Ogni dispositivo gestisce e conserva i dati a modo suo, il SIEM provvede ad uniformare i dati raccolti, catalogandoli per tipo di dispositivo e tipo di dato, agevolandone l’interpretazione. L’esperto di sicurezza informatica [[Anton Chuvakin]], indicò tramite un articolo ~~presente~~pubblicato sul [[blog]] dell' azienda Americana Gartner, i principali casi d’uso di un software SIEM:<ref>{{cita web\|url= https://blogs.gartner.com/anton-chuvakin/2014/05/14/popular-siem-starter-use-cases/ \|titolo=Popular SIEM Starter Use Cases\|sito=blogs.gartner.com\|data=14 maggio 2014\|lingua=EN\|accesso=8 febbraio 2018}}</ref>▼ Tracciare le [[autenticazione\|autenticazioni]] attraverso i sistemi, individuando, se presenti, gli accessi non autorizzati.▼ ▲'''Correlazione''': La correlazione tra eventi diversi è una delle funzionalità principali, consente di integrare ed analizzare gli eventi provenienti da diversi fonti. Sebbene il SIEM disponga di una serie di regole di correlazione già predefinite, mette a disposizione la possibilità di creare delle regole personalizzate al fine di soddisfare le esigenze degli amministratori. Basandoci sulla correlazione tra gli eventi di sicurezza e i dati sulle vulnerabilità presenti nel sistema è possibile attribuire una priorità ad un evento. Rilevamento di [[malware]], parti infette del sistema.▼ * Monitoraggio delle [[connessione (informatica)\|connessioni]] sospese e trasferimento dei dati. Rilevamento di connessioni sospette verso l’esterno.▼ * Segnalazione nel caso di [[intrusion prevention system]] (IPS) o [[intrusion detection system]] (IDS) basandosi sui dati inerenti alle vulnerabilità e altri dati contestuali raccolti dal SIEM.▼ * Violazione delle politiche interne del sistema.▼ * Tentativi di attacco e compromissione al corretto funzionamento delle [[applicazione web\|applicazioni web]].▼ === Integrazione con i big data ===▼ ▲'''Reporting''': L’archiviazione dei dati a lungo termine unita alla possibilità di sfruttare query personalizzate per l’estrazione dei dati, consentono la creazione di report. I report possono essere utilizzati a scopo di [[audit]], compliance o di analisi forense. Come in diversi significati e definizioni di capacità, l'evoluzione dei requisiti continua a modificare le derivazioni dei prodotti della categoria SIEM. Le organizzazioni stanno passando a piattaforme di [[big data]], come [[Apache Hadoop]], per completare le capacità di SIEM estendendo la capacità di ''[[Memoria (elettronica)\|data storage]]'' e di flessibilità analitica.<ref>{{Cita web\|url=http://www.cloudera.com/solutions/cybersecurity.html\|titolo=Cybersecurity at petabyte scale\|cognome=\|nome=\|data=\|lingua=EN\|accesso=}}</ref><ref>{{Cita web\|url=http://vision.cloudera.com/cybersecurity-and-the-big-yellow-elephant/?_ga=1.226365786.1594023217.1456770249\|titolo=Cybersecurity and the Big Yellow Elephant\|cognome=Hayes\|nome=Justin\|data=6 maggio 2015\|sito=Cloudera Vision Blog\|lingua=EN\|accesso=13 luglio 2016\|dataarchivio=28 agosto 2016\|urlarchivio=https://web.archive.org/web/20160828190041/http://vision.cloudera.com/cybersecurity-and-the-big-yellow-elephant/?_ga=1.226365786.1594023217.1456770249\|urlmorto=sì}}</ref> Il bisogno di visibilità voce-centrica o vSIEM (voice security information and event management) fornisce un recente esempio di questa evoluzione. ▼ ▲'''Dashboard''': Le dashboard forniscono un quadro generale dell’ambiente di lavoro in tempo reale. Tramite questi strumenti è possibile fornire una rappresentazione dei dati sotto forma di diagrammi o altri modelli, consentendo agli analisti di individuare rapidamente attività anomale. ▲'''Notifiche''': I segnali di notifica e avviso vengono generati al presentarsi di determinati eventi, informando gli utenti di una possibile minaccia. Le segnalazioni posso avvenire tramite dashboard o utilizzando servizi di terze parti come la posta elettronica o gli SMS. ▲==Casi d'uso== ▲L’esperto di sicurezza informatica [[Anton Chuvakin]], indicò tramite un articolo presente sul blog dell' azienda Americana Gartner, i principali casi d’uso di un software SIEM:<ref>{{cita web\|url= https://blogs.gartner.com/anton-chuvakin/2014/05/14/popular-siem-starter-use-cases/ \|titolo=Popular SIEM Starter Use Cases\|sito=blogs.gartner.com\|data=14 maggio 2014\|lingua=EN\|accesso=8 febbraio 2018}}</ref> ▲Tracciare le autenticazioni attraverso i sistemi, individuando, se presenti, gli accessi non autorizzati. ▲Rilevamento di malware, parti infette del sistema. ▲Monitoraggio delle connessioni sospese e trasferimento dei dati. Rilevamento di connessioni sospette verso l’esterno. ▲Segnalazione nel caso di [[intrusion prevention system]] (IPS) o [[intrusion detection system]] (IDS) basandosi sui dati inerenti alle vulnerabilità e altri dati contestuali raccolti dal SIEM. ▲Violazione delle politiche interne del sistema. ▲*Tentativi di attacco e compromissione al corretto funzionamento delle applicazioni web. ▲==Integrazione con i big data== ▲Come in diversi significati e definizioni di capacità, l'evoluzione dei requisiti continua a modificare le derivazioni dei prodotti della categoria SIEM. Le organizzazioni stanno passando a piattaforme di [[big data]], come [[Apache Hadoop]], per completare le capacità di SIEM estendendo la capacità di ''[[Memoria (elettronica)\|data storage]]'' e di flessibilità analitica.<ref>{{Cita web\|url=http://www.cloudera.com/solutions/cybersecurity.html\|titolo=Cybersecurity at petabyte scale\|cognome=\|nome=\|data=\|lingua=EN\|accesso=}}</ref><ref>{{Cita web\|url=http://vision.cloudera.com/cybersecurity-and-the-big-yellow-elephant/?_ga=1.226365786.1594023217.1456770249\|titolo=Cybersecurity and the Big Yellow Elephant\|cognome=Hayes\|nome=Justin\|data=6 maggio 2015\|sito=Cloudera Vision Blog\|lingua=EN\|accesso=13 luglio 2016}}</ref> Il bisogno di visibilità voce-centrica o vSIEM (voice security information and event management) fornisce un recente esempio di questa evoluzione. == Note == <references/> {{portale\|sicurezza informatica}} [[Categoria:Sicurezza informatica]]