Ogni persona in azienda ha un nome utente / password univoci e nessuno dovrebbe accedere con il suo nome utente / password ma lui.
Voglio un programma che controlli i registri che includono un elenco di tutte le persone che sono venute a lavorare oggi e ispeziona l'elenco degli utenti che hanno effettuato l'accesso (dall'AD o dovunque lo sia), per scoprire se c'è qualcuno nei log registrati che non dovrebbero essere lì (poiché non è nel primo log). Se il programma rileva questo tipo di incoerenza, deve riferire immediatamente agli uomini responsabili del sistema.
Il manifest sopra è ciò che vuole il mio capo, e pensa che un sistema SIEM potrebbe darci quella capacità. Questo è solo un esempio di cross-referencing del file di log che vuole che noi abbiamo la possibilità di fare.
In questo momento abbiamo molti sistemi (di molte aziende) e ognuno sta esaminando aspetti diversi dell'azienda (ad esempio, un sistema che ci fornisce report dai file server su cosa e chi ha modificato i file, quanti file e qualsiasi anomalia trovata, un sistema che controlla l'inserimento USB sui PC e così via). Mi piacerebbe trovare un sistema in cui posso alimentare tutti i report in modo da poter generare un rapporto di riferimento incrociato.
Per quanto ho capito dalle pagine di Wikipedia su SIEM ( SIM , SEM ), questo sistema dovrebbe darci quella capacità .
La mia domanda è, dal momento che ho bisogno di selezionare uno dei 86 diversi SIEM sistemi che sono là fuori e finalmente lo implementano nell'organizzazione, vorrei il vostro consiglio su quale sia il sistema che si adatta alle mie esigenze di cui sopra. Dovrebbe anche essere facile lavorare il più possibile, dal momento che alla fine della giornata qualcuno dovrà lavorare con quel sistema e se non ha un'interfaccia significativa e report significativi per esempio non otterrei i risultati Voglio.
Oltre a quanto sopra, mi piacerebbe sapere quali componenti dovrei essere preparato per (agente client computer, agenti server e così via).