Die Lösung Security Information and Event Management (SIEM) (Sicherheitsinformationen und Vorfallverwaltung) bietet zwei Hauptfunktionen:

Eines der größten Hindernisse, mit dem Unternehmen, die eine SIEM-Lösung implementieren, konfrontiert werden, ist die überwältigende Anzahl an potenziell produzierten Vorfällen, wobei sich die Untersuchung selbst eines Bruchteils davon als zu schwierig und zeitaufwendig erweist.

Die Anzahl an gemeldeten Vorfällen muss erheblich reduziert werden, damit sich die IT-Sicherheit mit Vorfällen befassen und sie untersuchen kann, die ihre volle Aufmerksamkeit erfordern. Dafür ist die automatische Filterung nichtrelevanter Vorfälle unerlässlich.

Obwohl Vorfall- und Protokolldaten aus mehreren Quellen empfangen werden, fehlen den SIEM-Lösungen noch immer das Wissen hinsichtlich der Geräte und Nutzer, über die sie zu berichten haben. Diese absurde Situation sorgt für eine Inflation der Anzahl potentieller Vorfälle, die im Rahmen des Unternehmensnetzwerks gemeldet werden.

Insightix BSA löst dieses Problem.

Unter Einsatz einzigartiger Profilierungstechnologie bietet Insightix' BSA 24/7/365 Netzwerk-, Geräte- und Nutzerintelligenz, und unterhält damit ein Echtzeit-Inventar ALLER Anlagen, die mit dem Unternehmensnetzwerk verbunden sind, deren Profile sowie die Identitäten der Personen, die diese Anlagen nutzen. Es werden laufend Netzwerkinformationen gesammelt, um den tatsächlichen aktuellen Zustand des Netzwerks in Echtzeit wiederzugeben.

Insightix BSA deckt zusätzliche 20 %- 50 % der auf einem Unternehmensnetzwerk stehenden Geräte auf, die ansonsten unerkannt bleiben würden.

BSA Visibility unterhält für jedes im Unternehmensnetzwerk betriebene Gerät ein umfassendes Profil, gemäß des Gerätetyps. Ein Anlagenprofil kann mehrere Parametern enthalten, wie MAC-Adresse, VLAN ID, VLAN Name, IP-Adresse, Gerätetyp, Geräteleistung, Betriebssystem, Art des Betriebssystems, Patch-Informationen, Anschluss-Switch und -Port, offene Netzwerkleistungen, Nutzerintelligenzinformationen, und so weiter.

Insightix BSA verwendet eine leistungsfähige Engine zur Erkennung von Veränderungen, die in der Lage ist, die Informationssicherheit und/oder den Netzwerkbetrieb in Echtzeit zu informieren, wenn auf dem Unternehmensnetzwerk (zum Beispiel, wenn ein neues Gerät angeschlossen wird) und/oder an einem mit dem Netzwerk verbundenen Gerät (zum Beispiel bei Änderungen der Konfiguration) Veränderungen auftreten.

Insightix BSA wird mittels des Common Event Formates (CEF) mit SIEM-Lösungen integriert. Die von Insightix BSA bereitgestellten Netzwerk-, Geräte-, und Nutzerintelligenzinformationen ermöglichen SIEM-Lösungen, Vorfälle und Protokolldaten mit den tatsächlichen Anlagen, für die Vorfälle gemeldet werden, zu korrelieren. Dadurch wird die Anzahl der Vorfälle, die eine weitere Bearbeitung erfordern, auf ein Minimum reduziert. Nachstehend sind einige Beispiele für Vorfälle angeführt, die automatisch ausgeschlossen werden können:

Insightix BSA liefert Nutzerintelligenz, wobie Nutzer-IDs gegen IP-Adressen ausgerichtet werden, um so eine genaue, durch umfassende Nutzeridentitätsinformationen unterstützte Identitätsentdeckung zu bilden, einschließlich der Nutzer-ID, des echten Namens der Person, welche die Anlage benutzt, deren E-Mail-Adresse, Telefonnummer, Zugriffsrechte, usw.

Die Korrelierung zwischen den von Insightix BSA bereitgestellten Informationen und seinen anderen Informationsquellen ermöglicht einer SIEM-Lösung, Fälle von Mehrfachnutzung in Bezug auf Incident Reporting zu unterstützen:

Die große Mehrheit der von Vorfall- und Protokolldaten fließenden Informationen beziehen sich auf IP-Adressen als Mittel zur Identifizierung der Quellen und Ziele von Netzwerkaktivitäten. Die Tatsache, dass IP-Adressen dynamisch zugewiesen und neu zugewiesen werden, sowie die Häufigkeit, mit der zahlreiche Geräte sich mit dem Unternehmensnetzwerk verbinden und sich trennen, ist ein Problem für Unternehmen.

Insightix BSA stellt die Informationen bereit, die eine Korrelation zwischen den von IP Adressen indizierten Vorfalldaten und dem Gerät ermöglicht, für welches der Vorfall gemeldet wurde, sowie mit der Nutzeridentität des tatsächlichen Nutzers, der den Vorfall entweder verursacht oder von ihm betroffen ist.

Insightix BSA bietet diese Fähigkeit durch Verfolgung von Geräten über ihre MAC-Adressen, durch Korrelierung von Nutzer-IDs mit den von ihnen verwendeten IP-Adressen, sowie durch Unterhaltung dieser Informationen in Echtzeit und Aktualisierung einer SIEM-Lösung mit erfolgten Änderungen.

Mittels der von Insightix BSA bereitgestellten Informationen können weitere Vorfallquellen und Protokolldaten erkannt werden, wodurch die Vollständigkeit der Funktion der SIEM-Lösung ermöglicht wird. Insightix BSA kann in der Vorplanungsphase der Implementierung einer SIEM-Lösung verwendet werden, um ALLE Quellen für Vorfall- und Protokolldaten zu identifizieren, die ihre Informationen zur SIEM-Lösung schicken möchten.