SIEM

System zbierający i korelujący logi oraz zdarzenia z wielu źródeł w organizacji, by w czasie rzeczywistym wykrywać incydenty bezpieczeństwa i wspierać reakcję na nie.

SIEM (Security Information and Event Management) to system, który zbiera logi i zdarzenia z całej infrastruktury organizacji — serwerów, firewalli, stacji roboczych, aplikacji, kontrolerów domeny, chmury — w jednym miejscu, normalizuje je do wspólnego formatu i koreluje ze sobą, żeby w czasie zbliżonym do rzeczywistego wykrywać incydenty bezpieczeństwa. Mówiąc po ludzku: bierze tysiące rozproszonych szpargałów logów i odpowiada na pytanie „czy ktoś właśnie próbuje nam się włamać?”, zamiast czekać aż przeczytasz każdy plik z osobna.

Jak to działa

Pod maską SIEM łączy dwie historyczne funkcje: SIM (długoterminowe przechowywanie i analiza logów) oraz SEM (monitoring zdarzeń i alertowanie w czasie rzeczywistym). Dane spływają z agentów albo przez syslog, system je parsuje, wzbogaca (np. dokleja informację o lokalizacji IP czy reputacji domeny) i odpala na nich reguły korelacji. Reguła to logika typu „jeśli widzisz 5 nieudanych logowań, a potem jedno udane z innego kraju w ciągu minuty — podnieś alert”. Dorzuć do tego dashboardy, retencję logów pod audyt (RODO, ISO 27001, PCI DSS) i raportowanie compliance — i masz komplet.

Przykład z praktyki

Weźmy Splunk — jeden z najpopularniejszych SIEM-ów. Logi przeszukujesz językiem SPL. Chcesz znaleźć konta z wieloma nieudanymi logowaniami w Windows (Event ID 4625):

index=wineventlog EventCode=4625 | stats count by Account_Name | where count > 10

Taki sygnał (brute force) SIEM podbija do SOC, gdzie analityk decyduje, czy to atak, czy ktoś po prostu zapomniał Caps Locka. Inni gracze na rynku to Microsoft Sentinel, IBM QRadar, Elastic Security czy open-source’owy Wazuh.

Na co uważać

Największy mit: „wdrożymy SIEM i będziemy bezpieczni”. SIEM niczego nie naprawia — tylko pokazuje. Bez dobrze napisanych reguł i ludzi, którzy reagują na alerty, masz drogą maszynę do generowania powiadomień, które nikt nie czyta (klasyczne alert fatigue). Druga pułapka to koszty: większość rozwiązań licencjonuje się od ilości danych na dzień, więc wpięcie „wszystkiego na wszelki wypadek” potrafi zrujnować budżet. Wpinaj źródła świadomie i strój reguły, żeby ograniczyć false positive.

Pojęcia powiązane

Warto znać: SOC (Security Operations Center — zespół obsługujący SIEM), SOAR (automatyzacja reakcji na alerty), EDR/XDR (telemetria z endpointów, częste źródło danych), log management, korelacja zdarzeń oraz threat intelligence.