SIEM (Gestió d'Informació i Esdeveniments de Seguretat)
Definicio
Un SIEM és una plataforma que centralitza, correlaciona i analitza registres i esdeveniments de seguretat de diferents sistemes per detectar activitats sospitoses i incidents.
SIEM combina dues funcions: Security Information Management (SIM), recollida i emmagatzematge de registres, i Security Event Management (SEM), anàlisi i correlació d'esdeveniments en temps real. Les plataformes SIEM modernes utilitzen machine learning per detectar anomalies.
Un SIEM rep dades de tallafocs, servidors, endpoints, serveis al núvol i aplicacions. En correlacionar esdeveniments de múltiples fonts, es fan visibles patrons d'atac que els sistemes individuals no poden detectar.
Sense un equip SOC que monitoritzi el SIEM 24/7, el seu valor és limitat. Per això, moltes organitzacions opten per un servei MDR que combina la funcionalitat SIEM amb l'anàlisi humana.