Vzrůstající důraz na zabezpečení, legislativní normy i na reporting a audit, to vše zvyšuje popularitu systémů SIEM. Ty ale nejsou ve své tradiční podobě řešením pro každého. Zkratka SIEM znamená Security Information and Event Management, neboli správa bezpečnostních informací a událostí.

Systém SIEM shromažďuje a archivuje bezpečnostní události i další logy (záznamy protokolů), stejně tak poskytuje upozornění, umožňuje zaznamenaná data analyzovat a vizualizovat. Jako takové se řešení SIEM nachází mezi bezpečností a analytikou. Metody pro zpracování velkých objemů dat i další technologie dnes rozšiřují funkčnost i možnosti nasazení analytických aplikací. SIEM tak lze kromě vlastního zabezpečení a zajištění shody s předpisy využít třeba i k mapování využití IT infrastruktury. Současné systémy SIEM jsou ovšem stále poměrně komplikované z hlediska nasazení i údržby a také cenově náročnější. Proto je zatím používají především velké podniky.

Řešení pro střední a menší firmy

Existuje řešení i pro menší organizace? Odpovědí na tuto otázku je řešení LOGManager. LOGManager přináší systém pro centralizovanou správu událostí a logů ze síťových prvků, specializovaných bezpečnostních zařízení, dokáže poskytnout kompletní vhled do událostí, který je pro bezpečnost společnosti nejdůležitější. Standardní zařízení a systémy jsou podporovány již od výrobce (SAP, LINUX, MS Widows, MS Server, Oracle, MS SQL, MY SQL, Checkpoint, Juniper, HP a mnohé další). Díky snadné implementaci je zařízení možno nasadit během okamžiku do produkčního prostředí a obratem získat veškeré požadované informace.

Databáze systému je navržena tak, aby se dala dobře škálovat (základní velikost pro logy je 9 nebo 30 TB podle verze) a data šla jednoduše vyhledávat, nad databází se nachází přehledná prezentační vrstva včetně přehledných panelů (dashboardů), s daty lze dále pracovat a vytvářet podle požadavků konkrétní výstupy / sestavy. K dispozici jsou taktéž např. výstrahy (alerty) a ověření původu dat proti jejich podvržení. Práce s LOGManagerem je rychlá a jednoduchá.

Shromážděné informace a záznamy událostí z celé organizace se ukládají do centrálního úložiště, které má podobu diskového pole typu RAID 6 s ochranou proti výpadku disků. Zde lze data dále uchovávat a použít za účelem bezpečnostního i jiného auditu, jako doklad shody s předpisy i pro forenzní analýzu. LOGManager splňuje požadavky Zákona o kybernetické bezpečnosti a ČSN ISO 27001 pro pořizování auditních záznamů. To představuje významný faktor hlavně pro veřejnou zprávu, resp. pro kritickou infrastrukturu veřejné zprávy spadající do kybernetického zákona, která musí nyní systém pro shromažďování logů implementovat povinně.

V případě potřeby dokáže LOGManager spolupracovat i s řešením SIEM třetích stran a fungovat jako integrační vrstva, podobně jako u systémů SIEM poskytují záznamy také nástroj, jak dohledat případnou závadu a řešit problém – opět na úrovni síťových prvků, operačních systémů i aplikací. Fakt, že se údaje z celé organizace shromáždí na jednom místě a v jednotném formátu, umožňuje i jejich prakticky libovolné další zpracování v rámci operačních činností

Tuzemský vývoj a kvalitní podpora

LOGManager je výsledkem vlastního vývoje ve společnosti CompuNet, který posléze vývoj vydělila do samostatné firmy Sirwisa. Samozřejmostí je proto rozhraní a dokumentace v češtině a bezproblémová, snadno dostupná podpora.

Řešení LOGManager lze snadno a rychle nasadit a oproti tradičním SIEM řešením je levné. Má podobu hardwarového zařízení (appliance) a obslužného softwaru. K jeho výhodám patří také jednoduchá licenční politika, která nezávisí na počtu připojených zařízení ani na počtu přijatých událostí za sekundu (podle verze dosahuje kapacita systému LOGManager 2 tisíce až 5 tisíc nebo 5 tisíc až 10 tisíc událostí za sekundu). Platí se za samotný hardware a software, případně podporu a dodávání aktualizací. Ty postupně systém rozšiřují o další funkce, takže LOGManager dnes de facto představuje systém SIEM, na rozdíl od tradičního řešení SIEM je však dostupný i menším organizacím.