Zbieranie i analiza logów pozwala na zrozumienie aktywności użytkowników w sieci i działanie systemu. Zarządzanie logami jest wymogiem – odpowiednie zbieranie
i przechowywanie logów stanowi niepodważalny dowód i tym samym redukuje koszty utrzymania zgodności z regulacjami.

McAfee SIEM z funkcją ELM skutecznie gromadzi, kompresuje i przechowuje wszystkie pliki logów, a ESM odpowiada za zaawansowane wyszukiwanie, analizy, korelację, powiadomienia i raportowanie. ESM, jako najszybszy na rynku w zakresie reakcji na incydenty, zwiększa skuteczność działań w zakresie ochrony firmy, niezależnie od tego, jak duży (lub jak niewielki) jest zespół bezpieczeństwa. Wszelkie badania dla celów informatyki śledczej stają się proste, ponieważ wszystkie zdarzenia i alarmy dają łatwy i szybki dostęp do oryginalnego, źródłowego zapisu logu.

ELM zbiera logi w dowolnym formacie, w tym również tekstowe i binarne oraz przechowuje je w oryginalnej postaci zgodnie z wymogami. Wysoka wydajność zbierania logów i elastyczne opcje kompresji i przechowywania sprawiają, że ELM doskonale nadaje się do wszystkich sieci, poczynając od małych firm zarządzających tylko kilkoma urządzeniami sieciowymi, aż po największe organizacje, z listy Fortune 100, pracujące w modelu rozproszonym.

W celu zapewnienia integralności przechowywanych logów zbierane logi są podpisane cyfrowo, a następnie mogą być równolegle składowane i przetwarzane dla potrzeb głębokiej analizy przez ESM, co oznacza możliwość korzystania z ich obu postaci. Dla każdego źródła można samemu wybrać sposób obsługi logów, albo zdać się na ELM, który w trakcie wstępnej analizy określi sposób traktowania logów. Przykładowo, plik logów może być przechowywany dla celów zgodności, ale nie będzie analizowany w ramach codziennych operacji bezpieczeństwa. Jeżeli jednak zapis logu zawiera informacje poufne lub słowa kluczowe, będzie on przetwarzany
i analizowany przez ESM. 

Przechowywanie

ELM korzysta z „puli pamięci masowej”, co daje możliwość wyboru optymalnej metody przechowywania logów, pozwala administratorom ustalić, ile pamięci fizycznej alokować na poszczególne logi i jak długo każde z nich powinny być zachowane dla celów zgodności.


Takie podejście oddziela wymagania dotyczące przechowywania danych od fizycznych ograniczeń pamięci masowej. Można wykorzystać zainstalowane w urządzeniu DAS dyski RAID, systemy NAS lub SAN – bądź ich kombinacje. Jeśli zaczyna brakować miejsca, alokuje się dodatkowe fizyczne nośniki do danej puli i ELM natychmiast zaczyna korzystać z dodatkowej przestrzeni.


Logi mogą być przechowywane w różnych miejscach w zależności od ich znaczenia dla bezpieczeństwa, zgodności, poufności lub innych kryteriów. Logi krytyczne dla zgodności mogą być przechowywane w puli, która jest sieciowo redundantna; mniej istotne logi mogą być gromadzone w systemach o mniejszej redundancji, a logi przeznaczone do bieżącej analizy, np. do celów śledczych, mogą być magazynowane lokalnie.
   

Analiza

ELM zapewnia unikalną możliwość analizy logów, w tym możliwość:

  • powiadamiania specjalistów ds. bezpieczeństwa na podstawie analizy zawartości logu, przeprowadzanej w czasie jego zbierania;
  • pełnego parsowania i indeksowania zawartości logu dla przeprowadzenia analizy ad hoc i raportowania;
  • dynamicznego wyznaczania linii bazowych i analizy trendów na podstawie zawartość logów w trakcie ich gromadzenia;
  • korelacji zawartości logów i zastosowania dodatkowego kontekstu bezpieczeństwa, pochodzącego ze skanerów VA, zarządzania tożsamością i uwierzytelniania systemów;
  • przeszukiwania wszystkich zebranych logów za pomocą wyszukiwania tekstowego lub wyrażenia regularnego.

Ponadto, wszelkie zdarzenia dotyczące bezpieczeństwa są bezpośrednio powiązane z oryginalnym zapisem w pliku surowego logu, zapewniając tym samym szybki dostęp do oryginalnych źródeł zdarzenia.

Raporty

Wszystkie logi gromadzone i przechowywane przez ELM mogą być wykorzystane przez ESM do analizy i przygotowania raportów. ESM zawiera wbudowane szablony raportów zgodności z regulacjami: PCI-DSS, HIPAA, NERC-CIP, FISMA, GLBA, SOX i inne.

Przykładowe raporty:

Niestandardowe raporty buduje się przy użyciu intuicyjnego kreatora raportów McAfee SIEM.