SIEM (Security Information and Event Management). Что такое SIEM и зачем она нужна?
По своей сути SIEM - это система, которая способна накапливать в себе данные (журналы работы или, по-другому, логи), поступающие от других средств защиты. Такая система должна уметь распознавать разнообразные «форматы» логов из разных источников - средств защиты, оперативно находить в них необходимую информацию, а также хранить их на протяжении долгого времени. В то же время, SIEM-система умеет выполнять некоторые дополнительные действия: осуществляет таксономию (распределяет данные по категориям и типам) и корреляцию (т.е. осуществляет связь между разрозненные с первого взгляда событиями), уведомляет ответственного сотрудника о выявленных подозрительных событиях в журналах, также предоставляет расширенную информацию по каждому из событий и устройств в сети.