O software de gerenciamento de informações e eventos de segurança (SIEM) combina uma variedade de componentes de software de segurança em uma única plataforma. As empresas usam soluções SIEM para centralizar as operações de segurança em um único local. As equipes de operações de TI e segurança podem acessar as mesmas informações e alertas para uma comunicação e planejamento mais eficazes. Esses produtos fornecem capacidades para identificar e alertar as equipes de operações de TI sobre anomalias detectadas em seus sistemas. As anomalias podem ser novos malwares, acessos não aprovados ou vulnerabilidades recém-descobertas. As ferramentas SIEM fornecem análise ao vivo de funcionalidade e segurança, armazenando logs e registros para relatórios retrospectivos. Elas também têm produtos para gerenciamento de identidade e acesso para garantir que apenas partes aprovadas tenham acesso a sistemas sensíveis. Ferramentas de análise forense ajudam as equipes a navegar por logs históricos, identificar tendências e fortalecer melhor suas redes.
Sistemas SIEM podem ser confundidos com software de resposta a incidentes, mas os produtos SIEM oferecem um escopo maior de recursos de segurança e gerenciamento de TI. A maioria também não tem a capacidade de automatizar práticas de remediação de segurança.
Para se qualificar para inclusão na categoria SIEM, um produto deve:
Agregar e armazenar dados de segurança de TI
Ajudar na provisão e governança de usuários
Identificar vulnerabilidades em sistemas e endpoints
Monitorar anomalias dentro de um sistema de TI