Pengenalan MCAfee SIEM

SIEM adalah penggabungan antara Security Information Management dan Event Management. Dari kedua term tersebut, muncullah sebuah istilah Security Information and Event Management atau yang lebih dikenal dengan sebutan SIEM. SIEM berfungsi untuk ‘real time analysis’ data log yang berasal dari network, aplikasi, dan hardware.

SIEM

Ada beberapa produk SIEM yang beredar dipasaran, namun salah satu yang leading saat ini adalah McAfee SIEM. McAfee SIEM sebelumnya dikembangkan oleh NITRO Security yang kemudian diakuisisi. Pengakuisisian NITRO Security ke dalam McAfee selesai pada 30 November 2011.

McAfee sendiri sudah mempunyai banyak platform yang menjadi basis Security Information. Beberapa produk diantaranya adalah Antivirus, Epolicy Administrator, Anti Spam, NSM, dan masih banyak lagi. Dengan adanya SIEM ini, maka dari sekian banyak produk diharapkan terjadi integrasi antar produk McAfee dan memberikan: Single platform untuk event analisis dan management, dapat melakukan identifikasi, korelasi, dan atau menghambat threats, melakukan mitigasi resiko terhadap informasi dan infrastruktur yang sudah dibangun, dapat melakukan analisa forensik terhadap log, event data yang dibuat oleh network, database, dan aplikasi, dll

Arsitektur SIEM Mcafee terdiri dari beberapa komponen. Beberapa diantaranya adalah ELM, ADM, ESM, dan receiver. McAfee sendiri menyediakan perangkat-perangkat itu dalam bentuk appliance, namun tidak menutup kemungkinan jika masing-masing bagian dibuat dalam bentuk VM (Virtual Machine). Menggingat sekarang penggunaan virtual machine sudah menjadi hal umum dalam dunia IT.

Receiver atau yang sering disebut dengan Event Receiver digunakan untuk mengumpulkan seluruh event dan informasi dari berbagai macam third-party device, termasuk di dalamnya firewall, intrusion prevention system (IPS), switch, router,  aplikasi, server, dan workstation. Receiver ini kurang lebih berguna sebagai pintu gerbang bagi log-log untuk kemudian diolah di dalam SIEM.

Continue reading →