İnformasiya təhlükəsizliyi və hadisə idarəetməsi

Vikipediya, açıq ensiklopediya
Jump to navigation Jump to search

Kompüter təhlükəsizliyində, təhlükəsizlik informasiyası və hadisə idarə edilməsi (SİEM) tətbiqi proqram olub təhlükəsiz informasiya idarə edilməsini (SİM) və təhülkəsiz hadisə idarə edilməsini özündə cəmləyir(SEM). Onlar şəbəkə avadanlıqlarında və proqramlarında baş verən hər cür xəbərdarlıqları analiz etmə qabiliyyətinə malikdirlər. Satıcılar SİEM-I bir tətbiqi proqram kimi satır və onun vasitəsilə loq təhlükəsizliyində habelə hesabatların hazırlanmasında istifadə edilir.[1] SEM, SİM, and Siem abreviaturalara bəzən bir birini əvəz edərək istifadə olunur.[2] Təhlükəsiz hadisə idarəetməsinin ümumi konsepsiyaları sırasında cari monitorinq prosesləri, hadisələr arası əlaqələr, bildirişlər əsas yer tutur. Təhlükəsiz informasiya idarəedilməsində isə uzun müddətli loqların analizi və saxlanılması yer tutur. Texnologiyalardakı inkişaf nəticəsində SİEMlər bir neçə katiqoriyalara bölünür. Bu inkişafa ən bariz nümunə səs informasiya təhlükəsizliyini və hadisə idarə etməsini göstərə bilərik.

Təhlükəsiz informasiya və sistem idarə edilməsi ilk dəfə 2005 ci ildə Mark Nicolett və Amrit Üilliams tərəfindən işlədilmişdir.[3] Bu proqramın əsasında şəbəkə və təhlükəsizlik cihazlarından informasiyanın toplanılması, analizi:

  1. Giriş proqramlarının aşkarlanması
  2. Əməliyyat sistemlərinin, verilənlər bazasının, və tətbiqetmə proqramlarının loqlarını idarə edilməsi
  3. Xarici təhlükəli dataların aşkarlanması

Əsas xüsusiyyətləri içərisində user və system icazələrini monitorinq etmək, sistemlərdə, fayllarda olan hər cür dəyişikliyi aşkarlamaq, loqların auditini və baxışını aparmaq

İmkanları[redaktə | əsas redaktə]

  • Verilənlərin aqreqasiyası: Loq idarə etməsi bir çox mənbədən məlumatı aqreqasiya edir. Bunlar şəbəkə, təhlükəsizlik, serverlər, verilənlər bazası, tətbiqlər, gözdən qaça biləcək olan ən əsas hadisələri daha yaxşı izləməni təmin edir.
  • Əlaqə: ümumi atributlara baxmaq üçün, və hadisələr arasında əlaqə yaradır. Bu texnologiya məlumatı yararlı informasiyaya çevirmək üçün, müxtəlik mənbələri inteqrasiya etmək üçün bir çox müxtəlik əlaqə texnikalarını istifadə etməsini təmin edir. Əlaqə, tam SUİM həllinin Security Event Management hissəsinin tipik bir funksiyasıdır.[4]
  • Xəbərdarlıq: alıcıları ani nüanslar barədə məlumatlandırmaq üçün, əlaqəli hadisələrin və xəbərdarlıqların hazırlanmasının analizinin avtomatlaşdırılması. Xəbər etmə lövhədə ola bilər vəya email vasitəsi ilə göndərə bilər.
  • Lövhə: məlumat diaqramlarını görülə bilər izlərə çevirən və ya fəaliyyətləri (standart olmayan izlər) təyin eləyən bir təhcizatdır.[5]
  • Təminat: Tətbiqlər məlumatlarının toplanmasının, mövcud təhlükəsizliyə uyğunlaşan hesabatların hazırlanmasının, idarə va audit proseslərinin avtomatlaşdırılması üçün istifadə oluna bilər.[6]
  • Yadda saxlama: məlumatların zamanla əlaqəsinin asanlaşdırılması və compliance tələbləri üçün yadda saxlamanın təmin olunması üçün uzun müddətli yaddaşda olan məlumatların istifadəsi. Uzun müddətli log məlumatlrının yadda saxlanması hüquqi araşdırmalarda vacibdir çünki fərqli olaraq şəbəkə qırılmasının aşkar olunması qırılma baş verdiyi zamanda olacaq.[7]
  • Hüquqi analiz: xüsusi kriteriyalar əsaslanaraq zaman aralıqlarında və müxtəlif birləşmə nöqtələrində logların axtarılması təmin edir. Bu log informasiyalarının bir yerə yığılmasını və ya minlərlə log məlumatları arasında axtarış aparılmasını asanlaşdırır.[6]

Həmçinin bax[redaktə | əsas redaktə]

İstinadlar[redaktə | əsas redaktə]