Interaktivní demo
Prozkoumejte uživatelské rozhraní, funkce a možnosti Logmanageru.
Quick Start Guide
Zjistěte, jak nasadit virtuální Logmanager v několika krocích.
Kariéra
Podívejte se na naše otevřené pozice, benefity a hodnoty.
Porozumět tomu, co je SIEM, je dnes klíčové pro každého, kdo se kybernetické bezpečnosti věnuje. V tomto článku vysvětlujeme, jak SIEM systémy fungují, porovnáváme jejich funkce s dalšími bezpečnostními nástroji a ukazujeme, proč patří do základní výbavy firem čelících kybernetickým útokům, regulatornímu tlaku a přetíženým IT týmům.
Firmy dnes čelí vlně hrozeb ze strany útočníků využívajících umělé inteligence k automatizaci malwaru, ransomwaru, phishingu a útoků zevnitř organizace.
Výmluvně to ilustruje zkušenost britského telekomunikačního giganta BT. Počet útoků s využitím AI, které mířily na jeho sítě, vzrostl během jediného roku o neuvěřitelných 1200 %. Jen v roce 2024 zaznamenala BT 2000 potenciálních kybernetických hrozeb za sekundu. Tedy objem dat, který už lidský analytik nemůže zvládnout.
Takové množství bezpečnostních dat lze efektivně zvládat a analyzovat jen s pomocí moderních nástrojů jako SIEM (Security Information and Event Management).
Nástroje kategorie SIEM shromažďují bezpečnostní logy a události z celého IT prostředí, a to včetně firewallů, serverů, koncových zařízení, sítí a cloudových platforem.
Tím, že tato data centralizují na jednom místě, poskytují SIEMy lepší přehled a kontrolu nad děním v síti, a to v kontextu. Pomáhají bezpečnostním týmům reagovat rychleji, odhalovat a analyzovat složité hrozby a v konečném důsledku snižovat riziko nákladných incidentů či výpadků.
Zvýšení přehlednosti a posílení kybernetické bezpečnosti ale nejsou jedinými důvody, proč firmy do SIEMů investují. Menší i větší organizace je využívají také jako nástroj pro plnění IT compliance požadavků, protože mimo jiné umožňují dlouhodobé uchovávání záznamů o událostech, reporting, forenzní analýzu nebo usnadňují přípravu na audity.
Jiné firmy zavádějí SIEM pro centralizaci logování a bezpečnostního dohledu, protože pomáhají udržet kontrolu nad provozem v rozsáhlých prostředích, mezi více organizačními jednotkami nebo v rámci geograficky rozptýlených poboček.
Ačkoliv se jednotlivé SIEM platformy liší v řadě parametrů od možností nasazení, přes rozsah funkcí až po přizpůsobitelnost, většina z nich nabízí následující základní funkce.
SIEM systémy shromažďují, normalizují a ukládají logy ze všech částí IT prostředí, od firewallů, serverů a koncových zařízení až po cloudové služby. Tím vytvářejí archiv záznamů o běžných aktivitách zřízení, ale i bezpečnostních událostech, který je podkladem pro detekci a analýzu incidentů napříč celou sítí.
SIEM nástroje umožňují propojit jednotlivé bezpečnostní události a odhalovat tím podezřelé aktivity. Využívají k tomu také analýzu chování uživatelů a entit (UEBA – User and Entity Behavior Analytics). Například:
Obr. 1: Červený sloupec označuje neúspěšný pokus o přihlášení doménového administrátora, tedy možný signál bezpečnostní události. (Logmanager)
Tradiční SIEM systémy k odhalování podezřelé aktivity využívají předdefinovaná i vlastní pravidla, behaviorální analýzy a threat intelligence feedy. Pokročilejší platformy navíc nasazují strojové učení, které dokáže identifikovat podezřelé vzory chování, jež by klasickým pravidlům unikly.
SIEM nástroje nepřetržitě monitorují infrastrukturu a v případě podezřelé aktivity generují upozornění. Ty se automaticky řadí podle závažnosti, což pomáhá týmům zaměřit se na nejkritičtější hrozby.
Některé SIEM platformy se integrují s nástroji SOAR (Security Orchestration, Automation and Response), díky čemuž mohou provádět automatizované akce, například zablokování IP adresy nebo izolaci kompromitovaného zařízení.
SIEM rovněž poskytuje data pro rekonstrukci časové osy útoku, identifikaci postižených systémů a další kroky pro zmírnění dopadů bezpečnostního incidentu.
SIEM systémy nečerpají informace jen z interních logů a událostí, ale také z externích zdrojů, typicky z databází známých hrozeb (threat intelligence feeds). Tyto zdroje poskytují aktuální informace o škodlivých IP adresách, doménách, vzorcích útoků a taktikách útočníků.
Řada odvětví, jako jsou například finance nebo zdravotnictví, podléhá silnější regulaci ze strany legislativy nebo oborových standardů (IT compliance). V důsledku pak regulované instituce musí například sledovat, uchovávavat a reportovat bezpečnostní incidenty.
SIEM nástroje v tomto ohledu:
SIEM platformy poskytují centralizovaný pohled na bezpečnostní dění v organizaci. Díky real-time dashboardům mohou bezpečnostní týmy sledovat logy, vzorce hrozeb a alerty v jednom rozhraní. Dashboardy obvykle nabízejí:
Díky konsolidaci dat z více zdrojů eliminují SIEM nástroje slepá místa a zajišťují úplný přehled o dění v síti, koncových zařízeních i cloudových prostředích.
Obr. 2: Anomálie, vysoký objem síťového provozu. V tomto případě se jedná o port scan. (Logmanager)
SIEM pomáhá bezpečnostním týmům efektivněji využívat kapacity tím, že automatizuje rutinní úkoly, poskytuje informace v kontextu a automaticky prioritizuje incidenty na základě důležitosti.
Místo manuálního prohledávání stovek logů dostávají analytici upozornění na skutečné hrozby, mohou se tedy soustředit na to podstatné.
Díky integraci s nástroji SOAR dokáže SIEM ještě více zefektivnit reakci na bezpečnostní incidenty, protože umožňuje plně automatizované nebo polo-automatizované zásahy.To snižuje potřebu velkých bezpečnostních týmů, přináší úsporu nákladů i rychlejší reakce na potenciální útoky. Více se SOAR systémům věnujeme v následující části článku.
zdroj
SIEM přináší organizacím řadu výhod v oblasti bezpečnosti a IT compliance. Nicméně, zavedení takového nástroje, jeho konfigurace, správa a ladění s sebou nese určité výzvy.
Organizace by si měly být vědomy především následujících úskalí.
Implementace SIEM není triviální záležitost. Vyžaduje pečlivou integraci se zdroji dat, konfiguraci nastavení, aby se logy správně sbíraly, normalizovaly a následně korelovaly.
Jedním z nejčastějších problémů při používání SIEM je zahlcení bezpečnostních týmů velkým množstvím neprioritizovaných alertů. Bez správného vyladění systému též mohou vznikat falešně pozitivní alerty.
Benefity, které SIEM přináší, mohou být spojeny s významnými investicemi. Celkové náklady se liší v závislosti na zvoleném řešení, rozsahu infrastruktury a specifických požadavcích. Níže uvádíme několik hlavních nákladových položek spojených s implementací SIEM.
1. Licenční modely a náklady na software
SIEM systémy nabízejí různé licenční modely. Typicky bývají licencovány podle objemu přenášených dat (GB/den), podle počtu zpracovaných události (EPS), podle počtu zařízení nebo uživatelů. Každý model má svá pro a proti z pohledu škálování.
2. Náklady na implementaci, konfiguraci a údržbu
Náklady na instalaci, konfiguraci a integraci SIEM systému se liší v závislosti na složitosti prostředí a požadovaných funkcích. Takovéto systémy také vyžadují vyžaduje pravidelnou údržbu, aktualizaci pravidel, ladění systému i přizpůsobování novým typům hrozeb.
3. Hardwarové a infrastrukturní náklady
U nákladů na SIEM je třeba počítat s náklady na servery a úložiště, případně úpravy a rozšíření síťové infrastruktury.
4. Personální náklady
Pro 24/7 provoz SIEM je často potřeba tým bezpečnostních analytiků. Kromě personálních nákladů je třeba počítat také s náklady na zaškolení obsluhy i jiných expertů, kteří s výstupy systému budou pracovat.
Přestože byl SIEM typicky “velké řešení” pro enterprise zákazníky, dnes již existují nástroje tohoto typu i střední i menší firmy. Ty jsou dostupnější, poskytují potřebné funkce a zároveň vynikají jednodušší obsluhou. Například Logmanager nabízí svůj odlehčený SIEM.
Řada firem má problém s efektivní správou SIEM řešení kvůli nedostatku zkušených odborníků.
SIEM nástroje sbírají a uchovávají citlivé bezpečnostní logy, což vyžaduje opatření z hlediska bezpečnosti IT i vyhovění legislativním nárokům.
SIEM je velmi užitečný nástroj, který zastřešuje bezpečnostní monitoring v organizaci. Jeho schopnosti lze ale rozšířit integrací s dalšími bezpečnostními nástroji.
Řešení jako SOAR (Security Orchestration, Automation and Response), XDR (Extended Detection and Response) nebo IDS/IPS (Intrusion Detection System / Intrusion Prevention System) se sice částečně funkčně překrývají, na druhou stranu ale mohou také zjednodušit obranu proti hrozbám, například pokročilou automatizací reakce na incidenty.
Mnoho organizací proto kombinuje SIEM s těmito nástroji a vytváří tak vícevrstvou ochranu, která umožňuje efektivní detekci, analýzu a reakci na hrozby.
Následující tabulka shrnuje jednotlivé systémy, jejich účel, odlišnosti a funkce.
SOAR jsme v tomto článku již zběžně zmínili. Jedná se o nástroj na automatizaci reakcí na bezpečnostní incidenty, a to na základě alertů ze SIEMu. Takové řešení pak může například zablokovat IP adresu, izolovat zařízení nebo spustit nejrůznější workflow bez nutnosti manuálního zásahu.
SIEM je naopak navržen k sběru a analýze bezpečnostních logů, díky čemuž poskytuje bezpečnostním specialistům přehled o kybernetických hrozbách a rizicích z hlediska souladu s předpisy. Pomáhá identifikovat potenciální bezpečnostní incidenty pomocí korelace dat z různých zdrojů a spouští alerty na základě předdefinovaných pravidel.
Některé SIEM platformy však dnes již nabízejí i automatizační funkce. Typicky se jedná o přeposílání alertů, zasílání notifikací, vytváření tiketů v systémech pro řízení incidentů. Umí i spustit předem nastavené automatizované reakce, jako například blokace přístupu uživatele nebo izolace kompromitovaného zařízení.
Kdy si které řešení vybrat?SOAR může doplnit SIEM a snížit manuální zátěž. Je užitečný zejména tehdy, pokud je váš bezpečnostní tým přetížen alerty a nestíhá na ně reagovat včas.
Větší firmy často kombinují SIEM se SOAR pro efektivnější reakci na incidenty. SOAR lze ale používat i samostatně, například v menších organizacích, které nepotřebují log management.
XDR se zaměřuje na detekci hrozeb v reálném čase, a to na úrovni koncových zařízení a sítí. Má přitom integrované reakční schopnosti a je tedy více automatizovaný. Zároveň je ale takové řešení méně přizpůsobitelné než SIEM.
SIEM nástroje monitorují širší spektrum zdrojů, včetně firewallů, koncových bodů, cloudových prostředí a aplikací. Na rozdíl od XDR obvykle umožňují také analýzu historických dat a tvorbu reportů pro potřeby compliance.
Kdy si které řešení vybrat?Menší bezpečnostní týmy často upřednostňují XDR, protože nevyžaduje složité nastavování a nabízí automatizované reakce v podstatě ihned po nasazení.
Silněji regulované obory (např. finance, zdravotnictví) zase těží ze SIEM díky jeho silné podpoře pro reportování a compliance.
Stejně jako u SOAR, velké podniky často kombinují obě řešení. Používají SIEM pro forenzní analýzu a reportování, XDR pak pro rychlou detekci hrozeb na koncových bodech.
IDS/IPS nástroje aktivně sledují síťový provoz v reálném čase a dokážou okamžitě zablokovat známé (signaturní) hrozby při jejich výskytu. Neuchovávají však historická data ani nejsou nástrojem pro analýzu bezpečnostních událostí.
SIEM nástroje naopak pracují s již existujícími bezpečnostními událostmi, identifikují vzorce útoků a korelují hrozby napříč různými systémy.
Kdy si které řešení vybrat?
Pokud potřebujete detekci a blokování hrozeb v reálném čase, tedy schopnost blokovat známé útoky dříve, než způsobí škodu, je vhodné IDS/IPS řešení.
Použijte SIEM, pokud požadujete komplexní přehled o bezpečnosti, reporting pro účely souladu s předpisy a pokročilou korelaci hrozeb.
Ve většině případů však dává smysl kombinace obou řešení. IDS/IPS zajistí okamžitou reakci a blokaci, zatímco SIEM nabídne hlubší forenzní analýzu a dlouhodobý přehled o bezpečnostní situaci. Například, pokud společnost pomocí IDS/IPS odhalí brute-force útok a zablokuje IP adresu útočníka, SIEM systém následně propojí tuto aktivitu s nedávnými pokusy o přihlášení na jiném serveru, čímž odhalí širší koordinovaný útok, který by jinak zůstal nepovšimnut.
Nástroje pro log management se zaměřují na sběr, ukládání a organizaci logů. Primárně slouží ke vyhledávání a archivaci záznamů za účelem detekce hrozeb a provozních problémů, dodržování předpisů (compliance) a forenzní analýzy. Obvykle však postrádají vestavěné pokročilé bezpečnostní funkce, například pro korelaci událostí.
SIEM systémy jdou dále, sbírají a analyzují logy v reálném čase, korelují události a využívají threat intelligence a behaviorální analýzu, aby odhalily a pomohly vyřešit kybernetické hrozby.
Které řešení si vybrat?
Log management platforma je vhodná tehdy, pokud hledáte jednoduché a cenově dostupné řešení pro ukládání, vyhledávání a základní analýzu logů v rámci detekce hrozeb, vyšetřování incidentů, ladění systémů a plnění požadavků IT compliance.
SIEM je vhodnější, pokud potřebujete pokročilou korelaci dat a událostí z více zdrojů, detekci hrozeb v reálném čase a okamžité alerty, které umožní bezpečnostním týmům rychleji a efektivněji reagovat na incidenty.
Alternativně lze zvolit odlehčené SIEM řešení, jako je Logmanager, která kombinují dostupnost a jednoduchost nástrojů pro správu logů s klíčovými SIEM funkcemi. Jsou tak ideální volbou pro menší a středně velké organizace.
Kybernetické hrozby se neustále mění, a s tím se musí přizpůsobovat i SIEM systémy. V praxi dnes bezpečnostní týmy dnes čelí útokům generovaným pomocí umělé inteligence, složitějším IT infrastrukturám a rostoucím objemům dat, které tyto infrastruktury generují. Trendy v SIEM systémech se proto snaží na tyto výzvy najít odpověď.
Tradiční SIEM systémy se spoléhají na předem definovaná pravidla pro detekci hrozeb. Moderní kyberútoky však neustále mění svoji podobu i taktiky (vektory útoku). SIEMy jsou tak sice efektivní v boji proti většině hrozeb, roste ale i segment těch hrozeb, na které se musí adaptovat.
Pomoci s tím může právě strojové učení a umělá inteligence. Aplikace AI v SIEM systémech je slibná především v následujících oblastech:
Moderní SIEM řešení čím dál více zahrnují automatizaci, aby snížila manuální zásahy a zrychlila reakci na hrozby. Automatizace pomáhá bezpečnostním týmům jednat bez zpoždění, zvyšuje efektivitu a snižuje rizika.
Současné SIEM systémy nabízejí vestavěné automatizační funkce nebo se integrují s externími nástroji jako je SOAR.
Díky tomu mohou:
SIEM byl dříve považován za příliš složitý a drahý pro menší firmy, ale moderní řešení jeho funkce nyní zpřístupňují širšímu spektru organizací díky následující výhodám:
Vzhledem k tomu, že kybernetické hrozby dnes cílí na firmy všech velikostí, i malé a střední podniky začínají nasazovat SIEM řešení. Více se tomuto tématu věnujeme v našem blogu na téma SIEM vs log management v menších a středních firmách.
Výběr správného SIEM řešení může být náročný, protože firmy musí najít rovnováhu mezi bezpečnostními požadavky, požadavky na compliance a provozními náklady.
Obecně platí, že volba vhodného SIEMu závisí na velikosti organizace, dostupných IT zdrojích a bezpečnostních prioritách:
Při tak široké nabídce na trhu však mnoho organizací tápá, které SIEM řešení nejlépe odpovídá jejich infrastruktuře a možnostem. Některé firmy také chybně vybírají nástroj pouze na základě funkcí, aniž by zohlednily škálovatelnost, uživatelskou přívětivost a dlouhodobé náklady.
Podívejme se na stručný přehled toho, co při výběru SIEM systému zvážit.
SIEM platformy zpracovávají obrovské objemy dat, takže schopnost škálování je klíčová.
Zaměřte se proto na:
SIEM by měl bezproblémově spolupracovat s vaší stávající bezpečnostní infrastrukturou a měl by tedy mít:
SIEM má smysl jen tehdy, když ho bezpečnostní tým dokáže efektivně využívat. Zvažte tedy:
Cena SIEM řešení se liší podle objemu logů, typu nasazení a dostupných funkcí. Zaměřte se na:
Pokud vaše odvětví podléhá přísné regulaci, vyberte SIEM, který:
SIEM je výkonný nástroj, ale najít to správné řešení pro konkrétní organizaci vyžaduje pečlivé plánování. Ať už chcete zlepšit detekci hrozeb, splnit požadavky compliance nebo odlehčit bezpečnostnímu týmu, dobře implementovaný SIEM v tom může zásadně pomoci.
V Logmanageru pomáháme firmám získat přehled o IT bezpečnosti pomocí uživatelsky přívětivého SIEM řešení, které je dostupné jako virtuální appliance, nabízí všechny potřebné funkce, snadnou správu a škálovatelnost. A to bez zbytečné složitosti. Vyzkoušejte si náš
Související články
IT compliance: Klíčové regulace a požadavky
Zjistěte, co vše IT compliance obnáší a jaké jsou klíčové regulace.
Role log management při plnění požadavků nařízení DORA
DORA představuje komplexní regulaci digitální odolnosti ve finančním sektoru.
Prioritizace alertů (alert triage) v kybernetické bezpečnosti
Triáž, nebo-li prioritizace, pomáhá analytikům zvládnout nápor alertů.
SIEM vs. SOAR: Jaký je mezi nimi rozdíl a kdy který použít?
Zjistěte, jaký je rozdíl mezi nástroji SIEM a SOAR.
