30 Desember 2012

SIEM (Security Information and Event Management)

SIEM adalah aplikasi software yang mengumpulkan informasi dan event yang berhubungan dengan keamanan dalam sebuah network (WAN maupun LAN), menganalisa informasi dan event berdasarkan rule dan korelasi terhadap atribut-atributnya, kemudian melaporkan hasil akhirnya ke administrator. SIEM merupakan gabungan dari produk yang sebelumnya terpisah, yaitu Security Information Management (SIM) dan Security Event Management (SEM). Teknologi SIEM menyediakan analisa secara real-time mengenai security alerts yang dihasilkan dari perangkat keras dan aplikasi jaringan. Produk SIEM, bisa berbentuk software, peralatan ataupun service, dan bisa juga digunakan untuk membuat log data keamanan dan men-generate report sesuai dengan keadaan yang terjadi.

Akronim SIEM, SIM, dan SEM sering digunakan secara bergantian, namung demikian ketiganya berbeda secara arti dan kemampuan dari masing-masing produk. SEM, berada pada segmen security management. SEM menangani antara lain, monitoring secara real-time, korelasi dari event-event yang terjadi, notifikasi dan tampilan konsol.SIM berbeda dengan SEM. SIM menyediakan storage jangka panjang, analisa dan pembuatan report dari log data. Istilah Security and Information Management (SIEM) dikeluarkan pada 2005 oleh Mark Nicolett dan Amrit Williams dari Garnet, yaitu sebuah perusahaan riset teknologi informasi.

SIEM mendapatkan input dari perangkat lain dalam jaringan, misalnya IDS, Firewall, Switch, dll. Perangkat-perangkat pemberi input SIEM dianggap sebagai sensor yang menangkap kejadian sesuai dengan tempatnya berada. Berikut diagram sederhana hubungan SIEM dengan perangkat lainnya.

Seperti yang sudah ditulis di awal, SIEM merupakan aplikasi. Banyak vendor telah mengeluarkan produk aplikasi SIEM, bahkan satu vendor bisa memiliki beberapa produk. Lisensi tiap produk pun bermacam-macam. Berikut ini beberapa contoh aplikasi SIEM (untuk daftar yang lebih lengkap, bisa ke https://mosaicsecurity.com/categories/85-log-management-security-information-and-event-management:

Produk SIEMVendorLisensi
CorreLog Solution SuiteCorreLogKomersial
LogRhythm Log & Event ManagementLogRhythmKomersial
AkrabAraknosKomersial
AlienVault Open Source SIEM (OSSIM)AlienVaultOpen Source
ArcSight ESMArcSightKomersial

DI bawah ini adalah daftar mengenai apa saja kemampuan SIEM secara umum:

  1. Data Aggregation (Pengumpulan Data): Produk SIEM mengumpulkan data dari banyak sumber, termasuk dari jaringan, security, server, database, aplikasi menyediakan kemampuan untuk mengkonsolidasikan data yang dimonitor, sehingga tidak kehilangan event yang krusial.
  2. Correlation (Korelasi): Mencari atribut-atribut yang umum terjadi, dan kemudian menghubungkan dengan event sehingga didapatkan ikatan yang berarti. Teknologi SIEM mampu melakukan bermacam-macam teknik korelasi untuk diintegrasikan ke sumber data yang berbeda-beda, sehingga data bisa diolah menjadi informasi yang berguna. Korelasi biasanya terdapat dalam SEM (Security Event MAnagement) yang merupakan bagian dari SIEM.
  3. Alerting (Mengingatkan): Analisa otomatis terhadap korelasi event bisa menghasilkan alerting. Alert ini bisa berupa tanda di dashboard, atau melalui pihak ketiga, misalnya email.
  4. Dashboard (Dasbor): SIEM mengumpulkan data dan menampilkan hasilnya dalam bentuk chart agar lebih memudahkan untuk dibaca dan dipahami, atau untuk mencari sebuah pola khusus.
  5. Compliance (Penyesuaian): Aplikasi SIEM bisa diatur agar otomatis mengumpulkan data, serta membuat report yang disesuaikan dengan security dan peraturan yang ada, dan proses auditing.
  6. Retention (Penyimpanan): SIEM memiliki penyimpanan jangka panjang, sehingga korelasi data dalam jangka waktu yang lama bisa dilakukan. Penyimpanan data jangka panjang sangat diperlukan dalam investigasi forensik, sebab untuk menemukan upaya penerobosan jaringan tidak bisa dilakukan ketika upaya penerobosan sedang dilakukan.


2 komentar: