Un Security Event Manager (SEM) è un programma software utilizzato per analizzare i registri degli eventi su una rete di computer al fine di trovare azioni che potrebbero presentare un rischio per la sicurezza. Queste azioni sono separate da altri eventi e quindi messe a disposizione dei professionisti della sicurezza per agire in modo appropriato. L’uso di questo tipo di software consente ai professionisti dell’Information Technology (IT) di identificare e agire più rapidamente in caso di potenziali minacce a una rete. Esistono numerosi programmi diversi che sono stati sviluppati come gestore di eventi di sicurezza, sebbene la maggior parte di essi funzioni in modi abbastanza simili.
A volte chiamati informazioni di sicurezza o informazioni di sicurezza e gestore di eventi, questi programmi sono in genere sistemi automatizzati che possono essere utilizzati in diversi modi. In generale, un gestore di eventi di sicurezza è installato su un sistema informatico, come una rete, e monitora le attività su quel sistema. Questi programmi monitorano in modo specifico i log prodotti in base agli eventi che si verificano durante il funzionamento di base della rete. Un registro è un record di attività su un sistema e azioni come qualcuno che accede al sistema, un utente che fornisce una password errata e dati ricevuti possono creare eventi su quel record.
Il software di gestione degli eventi di sicurezza monitora i dati raccolti da questi registri e cerca tipi specifici di eventi. Questi vengono poi registrati dal responsabile e trasmessi agli amministratori e ai professionisti dell’informatica o della sicurezza informatica autorizzati ad accedere al sistema. Ciò consente a qualcuno di visualizzare le informazioni relative a potenziali minacce alla sicurezza contro una rete molto più rapidamente, piuttosto che rivedere tutte le informazioni registrate nei registri delle attività. L’uso di un gestore di eventi di sicurezza non è strettamente necessario per una rete sicura, ma può certamente rendere molto più semplice il rilevamento di potenziali attacchi o problemi interni.
Uno dei principali difetti di un gestore di eventi di sicurezza all’interno della sicurezza della rete, tuttavia, è che può rilevare attacchi o attività insolite solo una volta che si sono verificati. Ciò significa che tali programmi non sono in genere efficaci come deterrenti o come modi per proteggere un sistema da un attacco. La maggior parte dei professionisti IT utilizza metodi come firewall e test di penetrazione in corso di una rete per cercare punti deboli che qualcuno potrebbe utilizzare per attaccare quel sistema. Ciò consente loro di garantire che la rete sia sicura, mentre utilizzano un gestore di eventi di sicurezza per cercare difetti che potrebbero aver perso o per trovare potenziali compromessi all’interno del sistema. Questi programmi SEM in genere devono essere aggiornati regolarmente, tuttavia, poiché gli hacker potrebbero essere in grado di sviluppare nuove forme di attacco che aggirano il rilevamento.