It is beneficial to send all events to a centralized SEM system for the following reasons:

Access to all logs can be provided through a consistent central interface
The SEM can provide secure, forensically sound storage and archival of event logs (this is also a classic Log Management function)
Powerful reporting tools can be run on the SEM to mine the logs for useful information
Events can be parsed as they hit the SEM for significance, and alerts and notifications can be immediately sent out to interested parties as warranted
Related events which occur on multiple systems can be detected which would be impossible to detect if each system had a separate log
Events which are sent from a system to a SEM remain on the SEM even if the sending system fails or the logs on it are accidentally or intentionally erased

Omdat de sector waarin je werkt dat verplicht gesteld heeft gekregen?

Vast niet omdat het cool is, dat is een bijproduct ;-)

Als je alles wat gebeurt, logt (dat doe je toch?), verzamelt op een centrale plek (ook toch?), normaliseert en evt. aggregeert dan kun je aan de hand hiervan alles, magische dingen doen.

Normaliseren houd in dat bijv. een 'failed log in' op een MS, *X, apple, proxy, firewall, badgesysteem hetzelfde zijn aan te spreken, evenals firewall (checkpoint, iptables, cisco, juniper, ISA) drop/deny/block/whatever.

Op meta nivo kun je vervolgens content bouwen. Regels, KPI's. Dit kan je helpen bij compliancy en actieve detectie van malicious en ongewone events. Dit kan er dan weer voor zorgen dat je meetbaar je security kan verbeteren, je 'time-to-detection' verkleint of gewoon dat je mooie plaatjes kan laten zien aan het mgmt.

Wedden dat er malware in je netwerk actief is dat je (nog) niet hebt gevonden omdat je al de events van de verschillende (security) producten afzonderlijk beoordeelt (als dat al gebeurt...) Hiermee bewijs je aan jezelf dat defense in depth echt werkt en je antivirus, proxyfilter, IDS en security policy allemaal (afzonderlijk) gaten laten vallen.

Ha, de magische dingen... Leuk.

Omdat je baas erom vraagt? Ik vond zaken als HP Openview en IBM Tivoli al erg mooi...

Mijn ervaring met SIEM is dat de beloftes schitterend zijn maar je moet het allemaal nog wel inregelen. Daar moet je dan wel tijd voor hebben en de expertise voor kunnen inhuren.

Als het dan staat moet er ook nog echt gebruik van gemaakt worden. Dan heb je dus medewerkers nodig die in hun dagelijks werkproces naar de SIEM kijken. Probleem daarbij zijn de vals-positieven, de onterechte meldingen. Deze kunnen leiden tot het minder serieus nemen van SIEM. Is allemaal op te lossen maar kost wel weer tijd en aandacht.

De leuke magische dingen waarover hierboven wordt gesproken zijn in mijn ervaring dus een stuk minder magisch maar vragen om een behoorlijke inspanning.

Als je onvoldoende commitement hebt om deze inspanning voor implementatie en beheer dan kun je er maar beter niet aan beginnen.

Dank je voor je reactie daar was ik al een beetje bang voor. Een heleboel werk om het ingeregeld te krijgen dus.