Tento článek pokrývá základy Security Information and Event Management (SIEM). SIEM agreguje logy z celé infrastruktury, koreluje události a detekuje bezpečnostní incidenty.
Jak SIEM funguje¶
- Sběr logů z všech zdrojů
- Normalizace a parsování
- Korelace událostí
- Detekce anomálií a pravidel
- Alerting a response
Open-source SIEM¶
- Wazuh: HIDS + SIEM, agent-based
- Elastic SIEM: Elasticsearch + Kibana + detection rules
- Grafana Loki + Promtail: Lightweight log aggregation
Detection rules¶
Elastic SIEM detection rule¶
- rule: name: Multiple Failed Logins type: threshold query: ‘event.category:authentication AND event.outcome:failure’ threshold: field: source.ip value: 10 severity: high interval: 5m
Klíčový takeaway¶
SIEM = centrální viditelnost. Wazuh pro budget, Elastic SIEM pro flexibilitu, Splunk/Sentinel pro enterprise.
securitysiemmonitoringsoc