Řešení založená na produktech IBM
IBM Risk management
Stěžejním monitorovacím produktem v oblasti bezpečnosti je IBM Tivoli Security Information and Event Manager. Jedná se o nadřazený prvek bezpečnostního prostředí zákazníka a jeho cílem je korelovat a zhodnotit vstupy ostatních prvků bezpečnostní infrastruktury.
Skládá se ze dvou částí. Základním principem části pro off-line analýzu logů je jejich průběžné stahování z auditovaných prvků a periodické vyhodnocování. Při vyhodnocování pomocí souborů pravidel jsou normalizovaná data ukládána v jednotném formátu do databáze pro potřeby reportingu. Zároveň vzniká nezávislé zabezpečené centrální auditní úložiště logů. Systém umožňuje generování alertů a reportů. Typickým užitím je sledování aktivity konkrétního uživatele v určitém období přes všechny systémy nebo upozornění na neodpovídající chování jednotlivých uživatelů. Integrovány jsou předpřipravené reporty dle mezinárodních standardů, např. GLBA, SOX, HIPAA, BASEL II, ISO a další
Druhou částí je nástroj pro sběr bezpečnostních dat a jejich analýzu v reálném čase. Hlavním cílem je okamžitá reakce na bezpečnostní incidenty a jejich strukturované filtrování dle priority pro operátora. Jinými slovy, z tisíců příchozích zpráv vybrat jen ty podstatné a automaticky na ně reagovat.
Dalším využívaným nástrojem ve této oblasti je například Tivoli Security Compliance Manager – umožňuje denní off-line sledování souladu nastavení koncových operačních systémů, databází a aplikací s definovanými pravidly zabezpečení.
Součástí implementace těchto řešení je vstupní analýza, návrh řešení, instalace produktu, připojení sledovaných systémů a jeho parametrizace, společná tvorba reportů, zaškolení a následný servis.
