# SIEM vs log management: Co dává pro SMB větší smysl?

Menší a střední podniky (SMB) čelí podobným bezpečnostním hrozbám jako velké firmy. Často ale nemají prostředky na komplexní nástroje typu SIEM kvůli jejich složitosti a vysokým nákladům. V tomto blogu se zaměříme na možnosti log management nástrojů jako praktické a nákladově efektivní alternativy SIEM nástrojů.

## Co je to SIEM

SIEM (Security Information and Event Management) je bezpečnostní nástroj, který shromažďuje, analyzuje a vyhodnocuje data o bezpečnostních událostech z různých zdrojů IT infrastruktury. SIEM slouží k detekci, monitorování a okamžité reakci na kybernetické hrozby, přičemž k tomu kombinuje funkce pro sběr a normalizaci logů, korelaci událostí, automatizaci varování a reportování. Díky tomu organizacím umožňuje chránit jejich systémy před kybernetickými útoky, minimalizovat rizika a plnit regulatorní požadavky (tzv. IT compliance)

Řešení SIEM jsou známá svou komplexním přístupem ke kyberbezpečnosti, která zahrnuje:

- Agregaci a normalizaci dat z různých zdrojů.
- Identifikaci a vyšetřování bezpečnostních událostí.
- Podporu manuálních a automatizovaných reakcí.
- Reporting pro účely prokazování souladu s předpisy a auditu.

Tyto vlastnosti činí SIEM neocenitelným nástrojem pro velké podniky s komplexním IT prostředím. Tam je centrální nástroj pro správu IT bezpečnosti nezbytností, protože správa a reakce na bezpečnostní hrozby pomocí izolovaných nástrojů zásadně ovlivňuje efektivitu. Typickým zástupcem SIEM systémů jsou IBM Qradar, Splunk nebo Sentinel One.

## Bariéry implementace SIEM systému

SIEM systémy jsou bezesporu cenným pomocníkem v dnešním světě neustále se vyvíjejících a četnějších hrozeb. A není výjimkou, že tyto “enterprise” nástroje implementují i menší firmy s cílem vyztužit svoji bezpečnost. Nicméně, využití jejich potenciálu naplno obvykle vyžaduje překonání bariér typu:

**Vysoké náklady** – SIEM systémy často vyžadují vysoké investice do licencí, hardwaru a údržby, což může být pro SMB finančně náročné.

**Náročná implementace** – Implementace SIEM vyžaduje zkušenosti napříč IT obory. Mnoho menších a středních firem nemá dostatečné technické nebo znalostní kapacity, aby SIEM správně nasadily, integrovaly do stávající infrastruktury, a spravovaly.

**Náročná údržba a správa** – SIEM systémy vyžadují pravidelnou údržbu, aktualizace a neustálý monitoring. To může přetížit menší IT týmy, které jsou již často zavaleny běžnou každodenní agendou.

**Nedostatek odborných znalostí** – Malé a střední firmy často nemají interní odborníky na kybernetickou bezpečnost. Implementace SIEM přitom vyžaduje pokročilé znalosti v oblasti bezpečnostních incidentů a jejich analýzy.

**Potřeba rozsáhlého školení** – Pro správné používání SIEM řešení je nutné vyškolit IT personál, což s sebou nese časové a finanční náklady.

## Srovnání SIEM vs log management

Pro SMB tak může být nasazení a údržba “velkého” SIEM velkou zátěží. Alternativu představuje implementace pokročilého nástroje pro správu logů, který poskytuje i důležité SIEM funkce. Ten může přinést požadované výhody bez přetížení IT oddělení organizace a rizika utopení nákladů v řešení, které není plně využito.

Pojďme se tedy podívat na klíčové oblasti, kde pokročilý log management přináší pro menší a střední firmy benefity srovnatelné se SIEM systémy.

### 1. Implementace a údržba

Většina SIEM řešení je náročná na nasazení a údržbu. Často také přicházejí s vysokými licenčními poplatky a vyžadují rozsáhlé školení uživatelů. Oproti tomu moderní log management nástroje typu [Logmanager](https://logmanager.com/cs/reseni/log-management/) lze nasadit velmi rychle. Konfigurace sběru dat z infrastruktury je zajištěna předpřipravenými parsery, a díky knihovně okamžitě použitelných dashboardů, alertů a reportů přinášejí hodnotu velmi rychle.

Konkrétně Logmanager nabízí 140 nativních integrací s často používanými IT nástroji, díky čemuž je integrace se stávající infrastrukturou a nastavení sběru dat velmi rychlé. Platforma je navíc vyvíjena jako tzv. appliance a uživatel se tedy po nasazení nemusí starat o administraci samotného operačního systému, monitoring jednotlivých komponent, a updaty jsou záležitostí několika kliknutí.

### 2. Zpracování dat v reálném čase pro reakce na incidenty

Logmanager umožňuje IT operátorům rychle procházet obrovské množství dat, které infrastruktura generuje. Tato schopnost zpracování dat v reálném čase umožňuje nejen včasnou identifikaci provozního problému či bezpečnostní hrozby, ale i rychlou analýzu. To je základem rychlé reakce na incidenty a zmírňování či eliminaci jejich dopadů.

### 3. Uživatelské rozhraní s rychlou křivkou učení

SIEM systémy se ze své podstaty vyznačují komplexním uživatelským prostředím. Vyhledávání, analýza a interpretace dat pomocí SIEM vyžaduje specifické znalosti, stejně jako správná konfigurace korelací, alertů a dashboardů.

Některé log management nástroje oproti tomu představují odlehčenou alternativu. Například Logmanager generuje hodnotu již velmi krátce po nasazení díky předpřipraveným dashboardům, alertům a reportům. Řešení je navíc velmi intuitivní a flexibilní v případě přizpůsobení, a to díky komponentě Blockly.

Blockly je vizuální programovací editor, kde mohou uživatelé jednoduše spravovat logy a události, vytvářet proprietární parsery atp. Křivka učení je minimální, díky čemuž je nástroj plně použitelný už během krátké doby.

### 4. Bezpečnostní notifikace a reportování

Velkou hodnotou SIEM systémů je možnost korelovat data a události z celé infrastruktury. Tradičně se v tomto log management a SIEM zásadně lišily, oba nástroje vznikly pro různé účely.

Log management nástroje historicky pouze sbíraly, normalizovaly a ukládaly data z infrastruktury. SIEM pak fungovaly jako další vrstva nad log managementem umožňující analýzu, korelaci, alertování a další funkce důležité pro rozhodování a reakci na incidenty.

Tato hranice se dnes stírá. Logmanager obohacuje log management o funkce tradičně vyhrazené SIEM nástrojům, jako například korelace dat z různých bezpečnostních zařízení a aplikací, nastavení upozornění a přijímání oznámení o incidentech v reálném čase. A to vše z jednoho místa, stejně jako SIEM. Dovoluje komplexně monitorovat bezpečnost v menších a středních firmách, a zároveň si uchovává jednoduchost nastavení, přizpůsobení a užívání.

### 5. Investigace incidentů

V případě provozního nebo bezpečnostního incidentu zrychluje Logmanager řešení problému díky obohacování dat o kontext, jejich filtrování na základě tagů, korelaci událostí, monitorování prahových hodnot, alertům a statistické analýze dat. Tyto schopnosti z něj činí cenově dostupnou alternativu SIEM systémů, zejména pro malé a střední firmy (SMB).

### 6. Řízení shody s předpisy a auditování (IT compliance) 

Legislativa a standardy týkající se kyberbezpečnosti (například NIS2, resp. Nový ZoKB, nebo ISO 27001) často vyžadují od subjektů vybudování různé úrovně kompetencí v oblastech:

- Centrální monitoring infrastruktury pro komplexní přehled o stavu kyberbezpečnosti.
- Detekce a reakce na incidenty pro minimalizaci rizika a dopadů událostí.
- Uchovávání záznamů o událostech v nezměněné podobě pro auditní účely.
- Vytváření reportů pro snadnější prokazování souladu s předpisy.

Pro organizace s velmi rozsáhlým IT prostředím jsou v tomto SIEM systémy důležitým pomocníkem. Menší organizace však řídící [IT compliance](https://logmanager.com/cs/reseni/it-compliance/) obvykle “velké” SIEM nepotřebují. Typicky z důvodu, že na ně legislativa neklade tak striktní požadavky (viz například náš blog věnující se roli log managementu při [naplnění požadavků NIS2 / ZoKB](https://logmanager.com/cs/blog/nis2-zokb-compliance-log-management-siem/)).

Potřebné úrovně uvedených kompetencí mohou pohodlně dosáhnout vhodným log management řešením, jako je Logmanager, které jim zároveň poskytuje i klíčové SIEM funkce. Ten takto pomáhá řadě firem, které díky němu řídí shodu s předpisy. Jeho schopnosti v oblasti ukládání logů, auditování a forenzní analýzy zajišťují, že organizace může s jistotou reagovat na incidenty a zároveň má podklady potřebné pro audity a reporting.

## Závěrem

Efektivní správa bezpečnosti vyvažuje vyvážit funkčnost s jednoduchostí. Zatímco SIEM systémy nabízejí širokou škálu funkcí pro velké podniky, často jsou spojeny s vysokou složitostí a náklady. Logmanager jako log management nástroj rozšířený o SIEM funkce představuje praktickou alternativu.

Díky Logmanageru mohou SMB zlepšit svou bezpečnostní úroveň, zajistit soulad s předpisy a rychle reagovat na incidenty.

Pokud se chcete o možnostech Logmanageru jako odlehčené alternativě SIEM dozvědět více, vyzkoušejte naše [demo](https://logmanager.com/cs/demo/) nebo nás kontaktujte na adrese sales@logmanager.com.

 ##### V porovnání s jinými nástroji se nám především líbí jednoduchost ovládání, jednoduché grafické rozhraní a no-licence politika.

 **René Pisinger** Vedoucí systémové podpory – Česká televize
