Hlavní strana -> Zprávy
IT Security, Aktuality -> Analýzy - 20. 6. 2025

50(v)tipů paní Teskové #2: SIEM aneb jak se z logů dělá příběh a z příběhu varování

-PR-

Teskalab LogoV minulém díle jsme si povídali o tom, co je to log management a proč je důležitý. Je to takový základ IT hygieny. Něco jako kartáček na zuby pro vaše IT. A řekněme si na rovinu, žádná velká zábava s ním není, ale zkuste to měsíc bez něj a líbit se vám to nebude. Dneska ale půjdeme o krok dál. Protože když už máte logy, je čas se na ně nejen dívat, ale také s nimi pracovat. A to se nejsnáze dělá tak, že se jim naučíte rozumět. Dovolte mi, abych vám představila dalšího hrdinu kybernetické bezpečnosti: SIEM.


Vladimíra Tesková
Vladimíra Tesková, zakladatelka a COO společnosti TeskaLabs.

Co to ten SIEM vlastně je (a proč vám bude připadat jako Sherlock Holmes)?

SIEM (Security Information and Event Management) je ten chytrý kolega, který se nejen podívá na logy jako na jednotlivé záznamy událostí, ale dokáže je mezi sebou různě spojovat a hledat souvislosti. A nejenom na logy! Nejlepší je, když do SIEMu připojíte ještě síťovou sondu (NDR), která sleduje komunikaci v síti, nebo EDR, který hlídá chování na koncových zařízeních, identity management a další technologie. Čím více zdrojů informací SIEM propojí, tím přesnější a rychlejší jsou jeho závěry. A hlavně – tím dříve vás dokáže varovat, že něco nezapadá.
SIEM pouze neukazuje co se stalo – SIEM zjišťuje proč se to stalo, jak se to stalo a také, kdo za tím stojí.
Zatímco log management vám poskytne hromadu záznamů – i když hezky strukturovaných, pořád jde jen o syrová data bez kontextu. SIEM z nich dělá příběh. Detektivku. Scénář. A ideálně vám řekne ještě před koncem, kdo je vrah.
SIEM je jako váš chytrý kolega, který si logy nejen čte, ale také spojuje souvislosti, z logů dělá příběh a z příběhu varování.

Proč nestačí mít jen logy?

Mít logy bez SIEMu je jako mít doma kamerový systém ale nikdy se nepodívat na záznam. Nebo jako mít stovky faktur a žádné účetnictví. Záznamy máte – ale co vám říkají? Pokud nemáte nástroj, který v nich vidí kontext, může vám snadno proklouznout to nejdůležitější.
SIEM tedy dává datům smysl. Řekne vám třeba, že chvíli po úspěšném pokusu o přístup ze zahraniční IP adresy přišel pokus o změnu oprávnění. A že stejné zařízení bylo vidět v síti i jinde – třeba včera večer.
Tohle je rozdíl mezi tím vědět, že „něco proběhlo”, a tím vědět, že se „dějě něco podezřelého“ a mít tak možnost reagovat.

SIEM v TeskaLabs: když logy nestačí

U nás v TeskaLabs to vidíme jasně: logy jsou základ bez kterého to prostě nejde, ale SIEM je mozek. Proto je náš SIEM postavený tak, aby s vámi spolupracoval – ne vás zahltil. SIEM za vás logy a informace v nich obsažené vyhodnocuje, analyzuje, hledá vzory a anomálie, učí se a porovnává a vytváří upozornění na základě skutečných, nebo pravděpodobných hrozeb. A hlavně: dává vám přehled o tom co se děje, aniž byste se museli ztrácet v nekonečných záznamech. To všechno s přesahem do compliance, forenzní analýzy i podpory v reálného provozu.

A co si z toho odnést?

Logy jsou důležité. Ale teprve SIEM vám ukáže, co z všechno z nich lze vyčíst. Bez SIEMu máte záznam o požáru. Se SIEMem víte, kdo přinesl sirky a kde s nimi právě škrtá. A v dnešním světě se počítá každá minuta. Protože pokud se vám někdo pokouší vloudit do systému, chcete o tom vědět hned. Ne až ve výročním reportu.
 
A na závěr opět slibovaný vtip:
„Nasadili jsme SIEM a konečně víme, co se u nás děje.”
– „A co jste zjistili?”
– „Že jsme ho měli nasadit před rokem.”