Yksi asia on varmaa: IT-ympäristö rakentuu monista osista. IT-infran koneisto sisältää jos jonkinlaista mutteria sekä hammasratasta ja ne toimivat joko yhdessä tai erikseen. Mutta mitä tapahtuu, kun koneistossa jokin asia vikaantuu? Perinteisesti korjaustoimenpiteiden aikana lähdetään tutkimaan vikaantumisen syytä ja monesti se sisältää lokien läpikäyntiä. Tutkimustyön tuloksena yleensä löytää jotain viitteitä siitä, mikä oli vikaantumisen syy tai ainakin jonkin viestin juuri ennen osan hajoamista. Tämä pääasiassa sisältää laitteelle kirjautumista ja oikeiden lokien lukemista. Aika arkipäivää IT-ylläpidon puolella, eikö? Entä jos vikaantuminen tällä yhdellä laitteella onkin vaikuttanut johonkin toiseen laitteeseen? Tai useampaankin? Näille täytyy myös erikseen kirjautua ja tutkia mahdolliset vikatilanteet, jotka saattavat ilmetä vasta paljon myöhemmin alkuperäisen laitteen vikaantumisesta. Huomaatte varmaan, mihin tämä johtaa? Yksi tai useampi asiantuntija käyttää todella paljon aikaa pelkästään laitteiden etsimiseen, kirjautumiseen, oikeiden lokien etsimiseen ja mietintätyöhön siitä, mihin vika voisi vielä vaikuttaa.
Keskitetyllä lokienhallinnalla tarvittavat lokit saadaan suoraan lähetettyä järjestelmään, joka standardisoi ne ja näyttää kaikkien laitteiden lokit samassa virrassa. Yleensä nämä järjestelmät auttavat lokien lukemista luokittelemalla lokeista saatuja arvoja ja antamalla mahdollisuuden tehdä hakuja näiden luokitteluiden mukaan tai tehdä suodattimia haluttujen asioiden löytämistä varten. Eli sen sijaan, että asiantuntija käyttää aikaa kirjautumalla monelle eri laittelle ja etsimällä sieltä oikeat lokit, hän kirjautuukin yhteen järjestelmään ja saa sieltä kaiken tarvittavan tiedon koko ympäristöstä. Keskitetyssä hallinnassa havaitaan myös, mikäli vikatilanne onkin laajempi kuin arveltiin. Jos jokin hammasratas alkaa nikotella, samaan aikaan saattaa jokin mutteri löystyä ja kaikki tämä näkyy yhdistetyssä virrassa. Kaikki tämä auttaa myös ympäristön kehittämisessä entistä vikasietoisemmaksi ja tehokkaammaksi.
SIEM seuraa epäilyttävää toimintaa ja hälyttää siitä
IT-ympäristöjen monitorointi hälyttää ja kertoo siitä, mitä ympäristössä tapahtuu juuri tällä hetkellä kun taas lokienhallinnasta voidaan katsoa, mitä on aiemmin tapahtunut. SIEM yhdistää nämä asiat tietoturvan näkökulmasta: kun keskitettyyn lokienhallintaan kerätään tietoa koko ympäristöstä, voidaan SIEM-työkalulla analysoida sisäänotettua dataa ja reaaliaikaisesti analysoida, onko siinä mahdollisesti jotain epäilyttävää toimintaa tietoturvaan liittyen. Yleensä nämä työkalut antavat valmiin paketin sääntöjä, joiden perusteella lokeja analysoidaan, mutta asiantuntijat voivat itsekin rakentaa niitä. Esimerkiksi jos SSH-liikennettä tulee internetistä jollekin palvelimelle, voi SIEM-työkalu ilmoittaa tällaisesta toiminnasta heti kun se tapahtuu. Näin asiantuntija voi tehdä välittömästi toimenpiteitä tilanteen selvittämiseksi ja esimerkiksi sulkea yhteyden palvelimelle. Mikäli tässä ajassa potentiaalinen hyökkääjä ehtii tehdä jotain palvelimella, jää näistä kuitenkin merkintä lokienhallintaan ja asiantuntija saa tiedon, mitä on tarkalleen tapahtunut eikä hänen tarvitse olla vain arvailujen varassa. Näin yritys voi arvioida tilanteen kriittisyyden ja tehdä toimenpiteitä tarvittaessa.
