Vendor SIEM di Indonesia

PT Global Innovation Technology adalah vendor SIEM (Security Information and Event Management) di Indonesia, dan sudah mengimplementasikannya di bank dan telco sejak tahun 2008.

Quick Win yang bisa langsung dinikmati secara instan setelah implementasi SIEM adalah :

  1. Memiliki pre-built dashboard dan report untuk kebuhan security audit secara umum
    • Aktifitas login dan logout dari seluruh perangkat dan aplikasi
    • Aktifitas outlier event yang jauh lebih tinggi dari biasanya (baseline)
    • Report untuk security audit secara umum : PCI-DSS dan ISO 27001
  2. Informasi menjadi lengkap dan lebih mudah dianalisa pada 1 dashboard yang terpusat di SIEM, daripada menganalisa puluhan informasi aplikasi tersebar dengan dashboard / report yang tersebar di masing-masing aplikasi / perangkat jaringan.

Secara umum, SIEM memiliki kemampuan sebagai berikut:

  1. Event Collection : Mengumpulkan event dan log dari berbagai sumber dengan protokol yang sangat beragam, seperti syslog, logfile, dan network flow.
  2. Information Normalization :  Menyimpan informasi yang sudah dinormalisasi, pada dasarnya normalisasi informasi adalah penyeragaman format dari berbagai sumber yang heterogen menjadi sebuah format yang seragam dan konsisten, agar lebih mudah untuk dianalisa. Informasi dari tiap sumber bisa memiliki format yang berbeda-beda, misalnya ketika user logged on, format eventnya berbeda di Windows, di Linux, atau di perangkat network.   Tetapi semuanya memiliki informasi yang sejenis, yaitu user melakukan login, maka event tersebut bisa dinormalisasi oleh SIEM.
  3. Information Enrichment : Pengayaan informasi ini bisa menggunakan referensi internal maupun eksternal.  Di dalam sebuah data center yang berisi ratusan server, bisa saja beberapa server memiliki peran lebih penting dibandingkan server lainnya.  Informasi server asset berdasarkan internal IP Address ini bisa dimasukkan ke SIEM, sehingga suatu incident di server yang penting bisa memiliki tingkat urgensi lebih tinggi dibandingkan incident di server lainnya.
  4. Information Correlation : Yang dimaksud dengan korelasi adalah ketika SIEM digunakan untuk mendeteksi pola pada sekumpulan informasi.  Misalnya, sebuah komputer login menggunakan 5 UserID yang berbeda pada 1 hari, secara korelasi akan memiliki tingkat urgensi yang tinggi, karena hal tersebut mirip dengan pola pemakaian password orang lain secara ilegal dari komputer tersebut.
  5. Alerting : Bila ada event critical yang terdeteksi, SIEM bisa mengirimkan alert secara near realtime ke email atau ke ticketing system (helpdesk), agar bisa segera difollowup pada hari yang sama.   Secara umum, SIEM juga memiliki incident management sederhana secara built-in, yang bisa digunakan oleh perusahaan yang belum memiliki ticketing system.
  6. Historical Data Retention, Reporting, Dashboard, dan Forensic Analysis : Selanjutnya, seluruh informasi dan hasil analisa tadi disimpan untuk keperluan daily report, monthly report, near real-time security dashboard, dan untuk kebutuhan forensik bila sewaktu-waktu dibutuhkan.

Bila ingin mendapatkan sesi tanya jawab, atau ingin mendapatkan presentasi dan kunjungan secara gratis di kantor anda, silakan hubungi kami.