Mnoho systémů a aplikací, které beží v počítačové síti, generuje události, které jsou uchovávány v protokolech událostí. Tyto protokoly jsou v podstatě seznamy činností, ke kterým došlo, přicemž záznamy o nových událostech jsou připojeny na konce těchto protokolů. Protokoly, jako jsou syslog a SNMP, mohou být použity k přenosu událostí, k záznamu softwaru, který není na stejném hostiteli, na kterém jsou události generovány. Lepší SEM poskytuje flexibilitu v podpore komunikačních protokolů, které umožnují co nejširší rozsah sběru událostí.

Je užitečné odesílat všechny události do centralizovaného systému SEM a to zejména z následujících důvodů:

– Přístup ke všem protokolům lze zajistit prostrednictvím konzistentního centrálního rozhraní.
– SEM může poskytovat zabezpečené, forenzní úložište a archivaci protokolů událostí.
– Na SEM lze spustit výkonné nástroje pro vytváření přehledu, které slouží k vyhodnocení protokolů o užitečných informacích.
– Události lze analyzovat, upozornění a oznámení mohou být okamžitě zaslány zainteresovaným stranám.
– Související události, které se vyskytují na více systémech, mohou být detekovány, což by bylo velmi obtížné zjistit, pokud by každý systém měl samostatný protokol.
– Události, které jsou odesílány ze systému na SEM, zůstanou v SEM i v případě, že se původní systém nezdaří spustit nebo záznamy na něm jsou náhodně nebo úmyslně smazány.

Klíčovou funkcí nástroje pro správu událostí a zabezpecení je schopnost analyzovat shromážděné protokoly, které zvýraznují události nebo chování, které vás zajímají, například přihlášení Administrátora nebo Super Usera mimo bežné pracovní doby. To může být zahrnuto v přiložených kontextových informacích, jako jsou informace o hostiteli (hodnota, vlastník, umístení atd.), Informace o totožnosti (informace o uživateli související s úcty uvedenými v dané události, jako je jméno / příjmení, ID pracovní síly, a tak dále. Tyto kontextové informace mohou být využívány tak, aby poskytovaly lepší korelační a reportovací schopnosti a jsou často označovány jako tzv. metadata. Produkty se mohou také integrovat s nástroji pro typu ticketing a workflow, které pomáhají při řešení incidentu. Lepší SEM poskytne flexibilní a rozšiřitelný soubor integračních funkcí, které zajistí, že SEM bude pracovat s vetšinou zákaznických prostredí.

Jedním z hlavních problému v systémech SEM je obtížnost důsledné analýzy dat jednotlivých událostí. Každý dodavatel, a v mnoha případech i různé produkty od jednoho dodavatele, používá jiný formát vlastností a způsob odesílaní. Dokonce i v případech, kdy je pro určitou část řetězce použita “norma”, jako například Syslog. Standardy obvykle neobsahují dostatečné informace, které by pomohly vývojářům v tom, jak generovat události, a správcům, jak je shromaždovat správně a spolehlivě, a spotřebitelům efektivně analyzovat.

Máte zájem o více informací o SEM? Kontaktujte nás.