Monitorowanie bezpieczeństwa teleinformatycznego polega na gromadzeniu i analizie danych wytwarzanych głównie w logach technicznych i systemowych, w dziennikach zdarzeń oraz logach urządzeń i aplikacji. W dużych organizacjach problemem pojawiającym się przy analizie danych są duże ilości źródeł, z których pochodzą dane oraz brak wystarczającej ilości analityków, którzy w czasie rzeczywistym powinni przetwarzać zebrane dane. W współczesnych organizacjach infrastruktura teleinformatyczna jest zazwyczaj mocno rozbudowana i składa się z setek serwerów, urządzeń sieciowych, systemów operacyjnych i aplikacji, które razem tworzą bardzo duży obszar technologiczny, podatny na różnego rodzaju ataki. Problematykę automatyzacji zbierania danych i analizy danych pod kątem incydentów bezpieczeństwa i nadużyć, adresują Systemy klasy SIEM (z ang. Security Information and Event Management).

Systemy do zarządzania informacją i zdarzeniami bezpieczeństwa (SIEM) to rozwiązania dedykowane dla organizacji chcących zwiększyć bezpieczeństwo informacji oraz infrastruktury poprzez wczesne wykrywanie nadużyć i incydentów bezpieczeństwa. Narzędzia tego typu umożliwiają scentralizowanie zarządzanie, gromadzenie i analizę informacji pochodzących z różnych źródeł , m.in. logów, wpisów w dziennikach systemowych czy  wszelkich innych aplikacji funkcjonujących w organizacji. Narzędzia klasy SIEM na podstawie zebranych danych korelują i odpowiednio prezentują wszystkie informacje dotyczące przepływu w sieci oraz zdarzeń jakie w niej występują. Cały proces odbywa się w czasie rzeczywistym co w znacznym stopniu odciąża role z działów IT odpowiedzialne za analizę i obsługę zdarzeń bezpieczeństwa. Zastosowanie narzędzi tej klasy optymalizuje koszty IT związane z monitorowaniem i kontrolą sieci firmowej oraz podwyższa bardzo znacznie bezpieczeństwo zasobów.

Rozwiązania klasy SIEM dostarczane przez DECSOFT S.A. zapewniają:

• Wykrywanie zagrożeń, incydentów i nadużyć dzięki zastosowaniu wielu zaawansowanych technik.
• Dynamiczne wzorce, które pozwalają na wykrywanie anomalii w sieci oraz w działaniach użytkowników, aplikacji i wszystkiego co jest monitorowane.
• Zaawansowane reguły korelacji wykorzystywane do szukania wzorców zdarzeń charakterystycznych dla ataku, monitorowania przepływów sieciowych, aktywności użytkowników, aplikacji itp.
• Korelację zdarzeń w czasie rzeczywistym.
• Obsługę niestandardowych źródeł i tworzenie odrębnych parserów i reguł korelacji dla tych źródeł.
• Skalowalną i możliwą do łatwej rozbudowy architekturę.
• Łatwa integracja z innymi systemami.
• Przetwarzanie dużych wolumenów danych.

Systemy klasy SIEM dostarczane przez DECSOFT. S.A. bardzo łatwo integrują się z innymi rozwiązaniami do zarządzania bezpieczeństwem informacji przez co wartość zebranej informacji mocno się zwiększa. Wśród narzędzi, z którymi zachodzi integracja znajdują się m.in. narzędzia IDM (zarządzanie tożsamością), DLP (zabezpieczenie przed wyciekiem danych).

Bardzo dużą zaletą systemu SIEM jest usprawnienie pracy działu IT / bezpieczeństwa. Mechanizm służący analizie gromadzonych informacji pozwala utrzymać optymalny poziom bezpieczeństwa i umożliwia proaktywną obsługę incydentów.

Zakres usług oferowanych przez DECSOFT S.A.:

• Analiza potrzeb klienta, dobór i wdrożenie systemów klasy SIEM

Technologie wykorzystywane przez DECSOFT S.A.:

• NetIQ Sentinel
  https://www.netiq.com/products/sentinel/
• IBM Security QRadar SIEM
  http://www-03.ibm.com/software/products/pl/qradar-siem/