Wikipedia

Security Information and Event Management: differenze tra le versioni

Naviga nella cronologia in modo interattivo
← Differenza precedenteDifferenza successiva →
Contenuto cancellato Contenuto aggiunto
VisualeWikitesto
FrescoBot (discussione | contributi)
Bot
3 578 440 modifiche
m Bot: niente spazi dopo l'apostrofo e modifiche minori
m grassetti fuori standard
Riga 1:
{{S|informatica}}
Nel campo della sicurezza informatica con l’acronimo '''SIEM''' ('''''security information and event management)''''') ci si riferisce ad una serie di prodotti software e servizi che combinano/integrano le funzionalità offerte dai SIM ('' security information management '') a quelle dei SEM ('' security event management '').<ref>{{cita web|url=http://www.drdobbs.com/siem-a-market-snapshot/197002909|titolo=SIEM: A Market Snapshot |sito=www.drdobbs.com|data=5 febbraio 2007|lingua=EN|accesso=5 febbraio 2018}}</ref>
 
Il termine ''security information and event management'' è stato coniato da Mark Nicolett e Amrit Williams dell'azienda americana [[Gartner]] nel 2005.<ref>{{cita web|url=https://www.sans.org/reading-room/whitepapers/logging/practical-application-sim-sem-siem-automating-threat-identification-1781|titolo=Improve IT Security With Vulnerability Management|sito=www.gartner.com|data=2 maggio 2005|lingua=EN|accesso=5 febbraio 2018}}</ref>
Riga 19:
Di seguito sono riportate le principali funzionalità offerte:<ref>{{cita web|url= https://www.uhcl.edu/computing/information-security/tips-best-practices/siem |titolo=Security Information and Event Monitoring (SIEM) |sito=www.uhcl.edu|lingua=EN|accesso=6 febbraio 2018}}</ref><ref>{{cita pubblicazione | cognome=Chuvakin | nome=Anton | titolo=La guida completa alla gestione di log ed eventi | curatore= NetIQ | pp=2-3 | url= https://www.microfocus.com/media/white-paper/the_complete_guide_to_log_and_event_management_wp_it.pdf |formato = pdf| lingua = EN | accesso=6 febbraio 2018 }}</ref>
 
*'''Raccolta dati''': I log sono la fonte principale di dati analizzati da un SIEM. Ogni apparato di sicurezza, software, database, presente nel sistema invia i dati contenuti all’interno dei file di log al server principale sul quale risiede il SIEM. L’invio dei dati può essere gestito tramite software agent oppure consentendo al SIEM di accedere direttamente al dispositivo. La scelta su quale metodo utilizzare è correlata ai dispositivi che utilizziamo.
 
*'''Parsing e normalizzazione''': Ogni dispositivo gestisce e conserva i dati a modo suo, il SIEM provvede ad uniformare i dati raccolti, catalogandoli per tipo di dispositivo e tipo di dato, agevolandone l’interpretazione.
 
*'''Correlazione''': La correlazione tra eventi diversi è una delle funzionalità principali, consente di integrare ed analizzare gli eventi provenienti da diversi fonti. Sebbene il SIEM disponga di una serie di regole di correlazione già predefinite, mette a disposizione la possibilità di creare delle regole personalizzate al fine di soddisfare le esigenze degli amministratori. Basandoci sulla correlazione tra gli eventi di sicurezza e i dati sulle vulnerabilità presenti nel sistema è possibile attribuire una priorità ad un evento.
 
*'''Reporting''': L’archiviazione dei dati a lungo termine unita alla possibilità di sfruttare query personalizzate per l’estrazione dei dati, consentono la creazione di report. I report possono essere utilizzati a scopo di [[audit]], compliance o di analisi forense.
 
*'''Dashboard''': Le dashboard forniscono un quadro generale dell’ambiente di lavoro in tempo reale. Tramite questi strumenti è possibile fornire una rappresentazione dei dati sotto forma di diagrammi o altri modelli, consentendo agli analisti di individuare rapidamente attività anomale.
 
*'''Notifiche''': I segnali di notifica e avviso vengono generati al presentarsi di determinati eventi, informando gli utenti di una possibile minaccia. Le segnalazioni posso avvenire tramite dashboard o utilizzando servizi di terze parti come la posta elettronica o gli SMS.
 
==Casi d'uso==
Riga 42:
 
==Integrazione con i big data==
 
Come in diversi significati e definizioni di capacità, l'evoluzione dei requisiti continua a modificare le derivazioni dei prodotti della categoria SIEM. Le organizzazioni stanno passando a piattaforme di [[big data]], come [[Apache Hadoop]], per completare le capacità di SIEM estendendo la capacità di ''[[Memoria (elettronica)|data storage]]'' e di flessibilità analitica.<ref>{{Cita web|url=http://www.cloudera.com/solutions/cybersecurity.html|titolo=Cybersecurity at petabyte scale|cognome=|nome=|data=|lingua=EN|accesso=}}</ref><ref>{{Cita web|url=http://vision.cloudera.com/cybersecurity-and-the-big-yellow-elephant/?_ga=1.226365786.1594023217.1456770249|titolo=Cybersecurity and the Big Yellow Elephant|cognome=Hayes|nome=Justin|data=6 maggio 2015|sito=Cloudera Vision Blog|lingua=EN|accesso=13 luglio 2016}}</ref> Il bisogno di visibilità voce-centrica o vSIEM (voice security information and event management) fornisce un recente esempio di questa evoluzione.
 
Line 48 ⟶ 47:
<references/>
 
{{portale|sicurezza informatica}}
 
[[Categoria:Sicurezza informatica]]
Estratto da "https://it.wikipedia.org/wiki/Security_Information_and_Event_Management"