В эпоху глобальной цифровизации информационная составляющая бизнеса расширяется очень быстро. Вместе с тем серверы, сети, операционные системы, базы данных и прочие её элементы требуют не только грамотной организации, но и эффективной защиты.
И точно так же, как раньше, документация на бумаге требовала физической защиты от повреждений и от посторонних глаз, так и сегодня любая значимая информация в обязательном порядке сохраняется в виде резервных копий, плюс активно совершенствуются и внедряются новые методы доступа и аутентификации к цифровым данным.
При этом объемы таких данных растут непрерывно, хранятся они в разных форматах и в разных системах хранения. Такие системы могут существенно различаться по типам и функционалу, размещаться в разных локациях и доступ к ним осуществляется различными способами.
Не пропустите: РЕМАНУАЛИЗАЦИЯ VS RPA В БИЗНЕСЕ: ПОЧЕМУ АЛГОРИТМЫ СПРАВЛЯЮТСЯ НЕ ВСЕГДА
Какое ним имеет отношение SIEM? Самое непосредственное.
Что такое SIEM?
Если очень вкратце, то SIEM (сокращенно от Security Information and Event Management) — это современная технология защиты информации, которая на основе анализа данных о событиях, генерируемых системами безопасности, сетевой инфраструктурой и приложениями, позволяет отслеживать и предупреждать определенные события в режиме реального времени.
Другими словами, современные SIEM-системы — это возможность не только отслеживать или обнаруживать угрозы в режиме реального времени, но и предпринимать превентивные действия.
А системы с расширенным функционалом — см. централизованная система мониторинга SIEM стоимость и преимущества — позволяют также эффективно выявлять уязвимости в системах защиты IT-среды компании (vulnerability management), контролировать соблюдение действующих политик безопасности (compliance management), своевременно получать информации о новых типах угроз в киберпространстве (threat Intelligence) и реагировать на угрозы в автоматическом режиме (SOAR).
Нужна ли своя SIEM? Ответ очевиден. Централизованное решение для защиты аппаратной, сетевой и системной инфраструктуры и корреляции исходящих от них событий экономит время, ресурсы и бюджет.
Высокоэффективная SIEM-система может быть недешевой, а её внедрение — задачей нетривиальной. Однако одним из безусловных преимуществ SIEM такого уровня является их быстрая окупаемость и реальная выгода по сравнению с затратами на традиционное, т.е. распределенное управление IT-инфраструктурой.
Не пропустите: CRM-ПРИЛОЖЕНИЯ ДЛЯ МАЛОГО БИЗНЕСА: КАК ОПТИМИЗИРОВАТЬ РАБОТУ С КЛИЕНТАМИ
Как SIEM соотносится с SAP?
Наверное, правильнее будет сформулировать вопрос так: как восполнить пробел в данных, которые поступают с прикладного уровня SAP?
Понятно, что логи операционных систем, баз данных, маршрутизаторов легко (сравнительно) перенаправляются в SIEM-систему, которая, по сути, для этого и создана. Но как с SAP?
На самом деле, с SAP еще проще (впрочем, тоже сравнительно). Для работы с SAP применяется SAST Security Radar (сокращенно SSR). Это специальный программный инструмент, который централизовано собираем события, возникающие в системе SAP, притом сразу на двух уровнях:
- SSR накапливает данные из различных источников в системе SAP и функционирует, как централизованное хранилище разных экземпляров данных из нескольких системах SAP;
- SSR собирает заданные данные и предварительно их фильтрует, следовательно, в SIEM передаются более точные данные, что повышает скорость и эффективность работы всей SIEM-системы.
Процесс интеграции SSR с SIEM прост, не требует много времени (зачастую не более одного рабочего дня) и фактически заключается в открытия сетевого трафика и настройки программного обеспечения, на котором находится система SAP. Это если коротко. А более подробно…