Pengenalan MCAfee SIEM

SIEM adalah penggabungan antara Security Information Management dan Event Management. Dari kedua term tersebut, muncullah sebuah istilah Security Information and Event Management atau yang lebih dikenal dengan sebutan SIEM. SIEM berfungsi untuk ‘real time analysis’ data log yang berasal dari network, aplikasi, dan hardware.

SIEM

Ada beberapa produk SIEM yang beredar dipasaran, namun salah satu yang leading saat ini adalah McAfee SIEM. McAfee SIEM sebelumnya dikembangkan oleh NITRO Security yang kemudian diakuisisi. Pengakuisisian NITRO Security ke dalam McAfee selesai pada 30 November 2011.

McAfee sendiri sudah mempunyai banyak platform yang menjadi basis Security Information. Beberapa produk diantaranya adalah Antivirus, Epolicy Administrator, Anti Spam, NSM, dan masih banyak lagi. Dengan adanya SIEM ini, maka dari sekian banyak produk diharapkan terjadi integrasi antar produk McAfee dan memberikan: Single platform untuk event analisis dan management, dapat melakukan identifikasi, korelasi, dan atau menghambat threats, melakukan mitigasi resiko terhadap informasi dan infrastruktur yang sudah dibangun, dapat melakukan analisa forensik terhadap log, event data yang dibuat oleh network, database, dan aplikasi, dll

Arsitektur SIEM Mcafee terdiri dari beberapa komponen. Beberapa diantaranya adalah ELM, ADM, ESM, dan receiver. McAfee sendiri menyediakan perangkat-perangkat itu dalam bentuk appliance, namun tidak menutup kemungkinan jika masing-masing bagian dibuat dalam bentuk VM (Virtual Machine). Menggingat sekarang penggunaan virtual machine sudah menjadi hal umum dalam dunia IT.

Receiver atau yang sering disebut dengan Event Receiver digunakan untuk mengumpulkan seluruh event dan informasi dari berbagai macam third-party device, termasuk di dalamnya firewall, intrusion prevention system (IPS), switch, router,  aplikasi, server, dan workstation. Receiver ini kurang lebih berguna sebagai pintu gerbang bagi log-log untuk kemudian diolah di dalam SIEM.

ELM (Enterprise Log Manager) berfungsi untuk mengumpulkan log dan melakukan analisa terhadap log-log tersebut. ELM kemudian melakukan kompresi terhadap log yang telah dikumpulkan, dan melakukan record terhadap data tersebut. ELM memungkinkan pembacaan log dari beberapa tipe dan sumber log. Beberapa tipe log yang sudah umum dibaca oleh ELM antara lain Windows Event, Log Database, Log Aplikasi, dan Syslog. Log-log itu jika sudah terkumpul kemudian divalidasi dan disesuaikan dengan kebutuhan pembacaan dari pengguna, termasuk kebutuhan compliance.

ADM (Aplication Data Monitor) berfungsi untuk melakukan monitoring atau inspeksi terhadap data log. Dengan ADM ini, admin dapat mengetahui bagaimana network yang berada di bawah pengawasannya digunakan. ADM memungkinkan admin untuk melakukan identifikasi terhadap data loss dan complience violations serta mendeteksi threats yang mungkin sedang ada di dalam sistem yang ia awasi.

ESM (Enterprise Security Manager) adalah fondasi dari SIEM, dia yang akan membaca log dan membentuknya ke dalam sebuah data yang memungkinkan dibaca oleh siapapun, bahkan seorang awam sekalipun. ESM memang membutuhkan penyesuaian normalisasi data agar dapat dengan mudah dibaca dan dipahami

 

Leave a Reply