Čo znamená skratka SIEM?

SIEM = Security Information and Event Management. Je to kategória softvéru, ktorá v reálnom čase agreguje a koreluje bezpečnostné logy z celej IT infraštruktúry.

Aký je rozdiel medzi SIEM a SOC?

SIEM je technológia (softvér), SOC je tím ľudí + procesy, ktoré SIEM používajú. SIEM produkuje alerty, SOC ich vyhodnocuje a koná. Bez SOC ostáva SIEM nepoužitý.

Komerčné SIEM riešenia (Splunk, QRadar) sa pohybujú od desiatok tisíc € ročne pre malé prostredia až po milióny pre enterprise. Cloud-native ako Microsoft Sentinel sa účtuje per GB ingestu (~2,5 € / GB). Open-source (Wazuh, Elastic) má nulovú licenčnú cenu, ale potrebuje internú expertízu.

Potrebujem SIEM ak mám antivírus a firewall?

Áno. Antivírus a firewall chránia jednotlivé body. SIEM dáva celostný pohľad: vidí keď útočník prejde firewall, prelomí účet v M365, presunie sa lateral movement na server a začne exfiltrovať dáta.

Ako rýchlo dokáže SIEM detekovať útok?

Real-time pre známe vzorce (brute force, malware signature): sekundy až minúty. Pre sofistikované APT útoky môže detekcia trvať dni, lebo vyžaduje behavior analytics a threat hunting.

SIEM: definícia, ako funguje, FAQ

Čo je SIEM

SIEM (Security Information and Event Management) je centrálna platforma pre kybernetickú bezpečnosť, ktorá kombinuje dve historicky oddelené disciplíny:

SIM (Security Information Management): long-term log management, forenzika, compliance reporting
SEM (Security Event Management): real-time event monitoring, korelácia, alerting

Moderný SIEM dnes znamená jeden integrovaný systém, ktorý zbiera dáta zo všetkých zdrojov vo vašej IT infraštruktúre (firewally, EDR, M365, cloud, on-prem servery, aplikácie) a hľadá v nich známky útoku.

Ako SIEM funguje

Štyri vrstvy SIEM pipeline:

Data collection: agenti, syslog, API a forwarders zbierajú logy zo všetkých zdrojov
Normalizácia: rôzne formáty (Windows Event Log, syslog, JSON, CEF) sa konvertujú do jednotnej schémy
Korelácia: pravidlá a ML modely hľadajú vzorce: viacero failed logins z rôznych krajín → brute force, neobvyklý port scan → recon
Alerting a vizualizácia: analytik dostane prioritizovaný alert s kontextom, dashboard a možnosťou drill-down do raw logov

Hlavné funkcie SIEM

Log management: centrálny archív s retention policies (typicky 90 dní hot, 1+ rok cold)
Real-time detection: korelačné pravidlá a behavior analytics
Threat intelligence enrichment: automatické značkovanie IP/hash voči známym IOC
Compliance reporting: vopred pripravené reporty pre NIS2, GDPR, ISO 27001
Incident timeline: kontext pre forenznú analýzu po incidente

Najznámejšie SIEM riešenia

Microsoft Sentinel: cloud-native, integrované s M365 a Azure (preferované Exe:SOC v MS prostrediach)
Splunk Enterprise Security: enterprise leader, široké integrácie, drahšia licencia
IBM QRadar: silný v sieťovej forenzike a EDR korelácii
Elastic SIEM: open-source jadro (ELK stack), populárny pri tech firmách
Wazuh: open-source SIEM + EDR, vhodný pre menšie SOC

SIEM vs SOC vs SOAR

Časté omyl: SIEM, SOC a SOAR sú zameniteľné. Nie sú:

SIEM = nástroj (softvér, ktorý zbiera a koreluje logy)
SOC = tím + procesy + nástroje (vrátane SIEM), ktoré reagujú na alerty (viac o SOC)
SOAR = automatizačná vrstva, ktorá zľahčuje SOC prácu cez playbooky (viac o SOAR)

SIEM bez SOC je len drahý log archív, nikto nečíta alerty. SIEM + SOC = funkčná detekcia a reakcia. SIEM + SOC + SOAR = škálovateľná operácia s nižším MTTR.

Kedy organizácia potrebuje SIEM

Investícia do SIEM má zmysel keď platí aspoň jedno:

Spadáte pod NIS2 reguláciu (povinné incident reporting)
Máte 100+ zamestnancov a heterogénny IT stack (M365 + on-prem + cloud)
Spracúvate citlivé dáta (banky, zdravotníctvo, energetika)
Mali ste už incident a chcete predísť ďalšiemu
Audit vám prikázal "monitorovaciu kapacitu" pre kybernetické udalosti

Ak SIEM nemáte ako prevádzkovať vlastným tímom, Managed SOC ako Exe:SOC SIEM pre vás postaví aj prevádzkuje.

SIEMSecurity Information and Event Management