Hvad er en Security Event Manager?
En Security Event Manager (SEM) er et softwareprogram, der bruges til at analysere logfiler over begivenheder på et computernetværk for at finde handlinger, der kan udgøre en sikkerhedsrisiko. Disse handlinger adskilles fra andre begivenheder og stilles derefter til rådighed for sikkerhedsfagfolk til at handle på passende måde. Brug af denne type software gør det muligt for IT-fagfolk hurtigere at identificere og handle på potentielle trusler mod et netværk. Der er en række forskellige programmer, der er udviklet som en managerbegivenhed, selvom de fleste af dem fungerer på temmelig lignende måder.
Nogle gange kaldet en sikkerhedsinformation eller sikkerhedsinformation og event manager, er disse programmer typisk automatiserede systemer, der kan bruges på en række forskellige måder. Generelt installeres en sikkerhedsbegivenhedsadministrator på et computersystem, såsom et netværk, og overvåger aktiviteter på dette system. Disse programmer overvåger specifikt logfiler produceret baseret på begivenheder, der opstår under grundlæggende drift af netværket. En log er en registrering af aktivitet på et system, og handlinger såsom nogen, der logger ind i systemet, en bruger, der leverer en forkert adgangskode, og data, der modtages, kan alle oprette begivenheder på denne post.
Softwarebegivenhedsstyringssoftwaren overvåger de data, der er indsamlet af disse logfiler, og ser efter specifikke typer begivenheder. Disse registreres derefter af manageren og sendes videre til administratorer og informationsteknologi eller it-sikkerhedsfolk, der er autoriseret til at få adgang til systemet. Dette gør det muligt for nogen at se oplysninger om potentielle sikkerhedstrusler mod et netværk meget hurtigere i stedet for at gennemgå alle de oplysninger, der er registreret i aktivitetslogfiler. Brug af en sikkerhedsbegivenhedsadministrator er ikke strengt påkrævet for et sikkert netværk, men det kan bestemt gøre detektering af potentielle angreb eller interne problemer meget lettere.
En af de største mangler ved en sikkerhedsbegivenhedsadministrator inden for netværkssikkerhed er imidlertid, at den kun kan registrere angreb eller usædvanlig aktivitet, når de først har fundet sted. Dette betyder, at sådanne programmer typisk ikke er effektive som afskrækkende midler eller som måder at beskytte et system mod et angreb. De fleste it-fagfolk bruger metoder såsom firewalls og løbende penetrationstest af et netværk for at se efter svagheder, som nogen kan bruge til at angribe dette system. Dette giver dem mulighed for at sikre, at netværket er sikkert, mens de bruger en sikkerhedshændelsesmanager til at se efter mangler, de måtte have gået glip af, eller finde potentielle kompromiser i systemet. Disse SEM-programmer skal imidlertid typisk opdateres regelmæssigt, da hackere muligvis kan udvikle nye former for angreb, der omgår detektion.