SIEMtyökalut
SIEM-työkalut (Security Information and Event Management) ovat turvallisuusratkaisuja, jotka keräävät, normalisoivat ja korreloivat tapahtuma- ja lokitietoja useista lähteistä, kuten verkkolaitteista, palvelimista, työasemista ja pilvipalveluista. Niiden tavoitteena on havaita turvallisuuspoikkeamat reaaliajassa, tuottaa hälytyksiä, tarjota lisätietoja tutkintaan ja tukea turvallisuusmenettelyjen sekä vaatimustenmukaisuuden hallintaa.
Keskeisiä toimintoja ovat keskitetty logien keräys ja normaalisointi, sääntöihin perustuva korrelaatio, dynaaminen uhkatiedustelu sekä rikostutkintaa ja
Käyttöönoton toteutustapoja ovat on-premises-, pilvipohjaiset ja hybridimallit. Tietojen tallennus, säilytysajat ja suorituskykyvaatimukset vaikuttavat kustannuksiin ja skaalautuvuuteen.
Haasteita ja rajoitteita ovat suurten datamäärien hallinta, melu eli liialliset hälytykset, järjestelmän konfigurointi ja ylläpito sekä
Suosittuja toimittajia ovat Splunk, IBM QRadar, Elastic (Elastic SIEM), Micro Focus ArcSight sekä Microsoft Sentinel, joiden