Wiedza o zdarzeniach i procesach zachodzących w systemach informacyjnych jest podstawą ich skutecznej ochrony. Podstawowym źródłem tej wiedzy są logi generowane przez systemy, urządzenia i aplikacje. Ich zbieranie i analiza stają się również coraz częściej wymogiem licznych standardów i regulacji związanych z bezpieczeństwem takich jak PCI DSS lub SOX.

By sprostać tym wymogom powstały produkty klasy SIEM. Umożliwiają one zbieranie i zabezpieczanie logów, raportowanie na podstawie zebranych danych oraz alarmowanie o zdarzeniach niosących potencjalne zagrożenie. Ich rolę można streścić w jednym zdaniu: nadanie znaczenia informacji.

Systemy SIEM, pomimo niekwestionowanych zalet, nie są w stanie dostarczyć kompletnej informacji o zdarzeniach i stanie bezpieczeństwa organizacji. Niezwykle istotne jest zatem zaprojektowanie i wdrożenie odpowiedniego procesu zarządzania bezpieczeństwem, w którym SIEM odgrywa kluczową rolę.

Wartość informacji zebranej przez SIEM można znacząco zwiększyć poprzez zapewnienie zaawansowanej integracji pomiędzy nim, a innymi rozwiązaniami służącymi do zarządzania bezpieczeństwa, takimi jak:

• IDM/PIM – systemy służące do zarządzania tożsamością/kontami uprzywilejowanymi, mogą wzbogacić czytelność raportów i alarmów oraz przed wszystkim poprawić możliwości korelacji zdarzeń z uwzględnieniem kontekstu tożsamości,
• DAM – specjalistyczne systemy monitorowania baz danych dostarczają informacji o dużej wyższej jakości niż standardowe logi z DBMS,
• VA/VM – narzędzia oceny podatności (zarządzania podatnościami) pozwalają na wyeliminowanie wielu fałszywych alarmów, równocześnie umożliwiają ocenę wpływu incydentu na bezpieczeństwo sieci i komputerów,
• NBA/UBA – rozszerzają pole obserwacji o zdarzenia sieciowe oraz zdarzenia związane z szeroko pojętą aktywnością użytkowników, nieodzwierciedlone w logach i stanowią niezwykle skuteczne narzędzie wykrywania działalności złośliwego oprogramowania,
• DLP – pozwalają na uwzględnienie w analizie informacji związanej ze zdarzeniem, co ma ogromne znaczenie do oceny znaczenia danego incydentu.

• Proces zarządzania bezpieczeństwem pozwala na stałe monitorowanie poziomu bezpieczeństwa organizacji z punktu widzenia aktualnych zagrożeń i podejmowanie środków adekwatnych do ryzyk.
• Proces ten powinien mieć charakter stały i iteracyjny, dzięki czemu możliwe będzie doskonalenie posiadanych mechanizmów zabezpieczeń, na bazie dotychczasowych doświadczeń.
• Posiadanie odpowiednich narzędzi jest niezbędne, aby taki proces mógł być realizowany w sposób skuteczny i niewymagający nadmiernych nakładów personalnych.
• Potrzeba zarządzania bezpieczeństwem wynika także z przepisów prawa, np.: wchodząca w 2018 roku dyrektywa GDPR/RODO nakłada liczne obowiązki w zakresie związanym z zarządzaniem bezpieczeństwem, których realizacja może być utrudniona (o ile w ogóle możliwa) bez dedykowanych narzędzi, na przykład – obowiązek raportowania wszelkich zaistniałych incydentów z rygorem czasowym 72h.