Při řešení kybernetického bezpečnostního incidentu často chybí souvislosti.
- Není jasné, kdy problém vznikl;
- které systémy zasáhl;
- a jestli šlo o izolovanou událost, nebo o součást většího útoku.
Podobně je tomu při auditech, kdy se složitě dohledává historie událostí a je problematické doložit úpravy konfigurací a bezpečnostních opatření.
Právě tehdy se ukazuje praktický přínos SIEM (Security Information and Event Management). Neplní jen roli nástroje pro sběr logů a detekci bezpečnostních událostí. Slouží také jako zdroj dat pro analýzu incidentů, dohledávání souvislostí nebo průběžnou kontrolu stavu prostředí.
O základních principech a zavádění log managementu a SIEMu jsme psali v samostatném článku. Tentokrát se zaměříme na konkrétní situace z praxe a na to, jaké výstupy může SIEM organizaci reálně poskytnout.
Praktické příklady využití SIEM
SIEM sám o sobě nevyřeší řízení kybernetické bezpečnosti. Pokud je správně nastavený, průběžně udržovaný a navazují na něj interní procesy, dokáže usnadnit každodenní provoz i plnění požadavků vyplývajících ze ZoKB (Zákon o kybernetické bezpečnosti) a NIS2.
Vybrali jsme tři nejčastější problémy, které při konzultacích nasazení SIEM řešíme v MasterDC opakovaně:
- včasné odhalení zranitelností;
- detekce a rekonstrukce bezpečnostního incidentu;
- příprava pro doložení stavu při auditu nebo kontrole.
Uvedené příklady a snímky obrazovky pocházejí ze softwaru Wazuh, který zákazníkům pro účely SIEM nasazujeme nejčastěji.
1. Včasné odhalení zranitelností díky SIEM
Zranitelnosti se průběžně objevují ve všech systémech. V posledních měsících se týkají hlavně jádra linuxových operačních systémů. Patří mezi ně například Copy Fail nebo Fragnesia. Jedná se o zvláště kritické zranitelnosti, které postihují většinu běžně používaných operačních systémů a mohou vést k převzetí kontroly nad napadeným systémem. Organizace o nich proto musí včas vědět a opravit je dřív, než dojde ke zneužití.
SIEM na takové situace upozorní krátce po jejich vzniku. Průběžně sbírá informace o stavu systémů. Používá k tomu monitorovací agenty běžící na zdrojových strojích. Tyto informace pak porovnává s aktuálními databázemi známých zranitelností a po zveřejnění nových automaticky vyhodnotí, zda se problém provozovaného systému týká.

Nástroj poskytuje přehled všech zranitelností včetně hodnocení jejich závažnosti.
V detailu každého záznamu je dále uvedena:
- vazba mezi zranitelností, konkrétním hostem a softwarovým balíčkem;
- informace o dostupné opravě.

Příklad zranitelnosti na webovém serveru Nginx. Jedná se o závažnou chybu známou jako „HTTP/2 bomb“, jejíž zneužití může vést k vyčerpání operační paměti serveru a následnému pádu webových služeb.
SIEM umožňuje sledovat návaznost jednotlivých kroků od zjištění zranitelnosti přes nasazení opravy až po její potvrzení. Vzniká tak průběžná auditní stopa, kterou lze prokázat řízení zranitelností pro účely NIS2.
Podobná kontrola by se bez SIEMu mohla opírat například o periodické skeny zranitelností. Ty ale poskytují pohled na systém v konkrétním čase, třeba jednou za kvartál. Nové zranitelnosti proto mohou v systémech zůstávat delší dobu neodhalené. Zároveň chybí průběžný přehled o tom, zda byly skutečně odstraněny.
2. Vyšetřování bezpečnostního incidentu v SIEM
Palčivým problémem je i detekce a zpětná rekonstrukce bezpečnostních incidentů. K sestavení časové osy události je potřeba využít logy z různých serverů a systémů. Ruční dohledávání je časově náročné, takže vyšetřování incidentu může trvat i několik hodin.
Některé typy útoků navíc začínají sérií nenápadných aktivit a bez souvislostí jsou těžko rozpoznatelné. Příkladem jsou průniky do systému, které byly podle NÚKIBu v prvním čtvrtletí roku 2026 jedny z nejčastějších.
Jelikož SIEM průběžně vyhodnocuje autentizační logy ze všech napojených systémů, dokáže podobné chování automaticky identifikovat na základě korelačních pravidel.

Typický příklad pokusu o prolomení detekovaný SIEMem. Jedná se o opakované pokusy o přihlášení k serveru přes SSH, které probíhají z jedné IP adresy v krátkém časovém úseku.
Na základě upozornění lze zobrazit související události napříč systémy a na jednom místě vidět přehled:
- prvních pokusů o přihlášení;
- případné úspěšné přístupy;
- další navazující aktivity.

Přehled událostí filtrovaných podle zdrojové IP adresy. SIEM propojuje související záznamy napříč systémy a umožňuje rekonstruovat průběh incidentu v chronologickém pořadí.
V SIEMu má organizace k dispozici veškeré podklady pro mapování rozsahu, časové návaznosti i reportování bezpečnostního incidentu. Právě schopnost včas detekovat a vyhodnocovat bezpečnostní události patří mezi důležité požadavky ZoKB.
3. SIEM pro dlouhodobé hodnocení stavu IT
SIEM nepomáhá pouze při řešení incidentů. Užitečný je také pro průběžné ověřování konfigurace systémů a nastavení bezpečnostních opatření.
Audity a penetrační testy zachycují stav v konkrétním okamžiku. Jakmile se konfigurace serveru změní, přestává být jasné, zda systémy stále odpovídají požadované bezpečnostní úrovni.
SIEM na jednotlivých serverech ověřuje nastavení bezpečnostních opatření pravidelně a porovnává je s doporučenými standardy, například CIS Benchmarks.

Příklad souhrnného přehledu plnění bezpečnostních standardů napříč sledovanými systémy. V tomto případě odpovídá požadavkům 68 z celkových 197 kontrol.
Pokud některá kontrola nevyhoví, SIEM zobrazí:
- popis problému;
- jeho dopad na bezpečnost;
- doporučený postup nápravy;
- vazbu na konkrétní bezpečnostní standard.

SIEM odhalil nevyhovující nastavení diskového oddílu /var. Kontrola upozorňuje na konfiguraci, která neodpovídá doporučeným bezpečnostním standardům CIS Benchmarks, informuje o podrobnostech a odkazuje na konkrétní pravidla.
Zatímco penetrační testy hodnotí systém z pohledu útočníků, SIEM pracuje s vnitřním stavem systémů. Ověřuje veškerá nastavení včetně těch, která zvenčí nejsou viditelná.
Součástí přehledu v SIEM je také stav monitorovaných systémů. Pokud některý z nich přestane odesílat data, SIEM ihned generuje upozornění k prověření. Výpadek komunikace totiž může signalizovat technický problém i potenciální bezpečnostní riziko.

Příklad odpojeného monitorovacího agenta na zdrojovém serveru.
Díky průběžnému sledování vzniká historie stavu zabezpečení. Nad sbíranými daty lze vytvářet vlastní přehledy, které pomáhají sledovat dlouhodobé trendy a dokládat vývoj bezpečnostních opatření v čase. Tyto podklady se mohou hodit při interních auditech i kontrolách ze strany regulátora.
Nejčastější chyby při nasazení SIEM
SIEM dokáže pokrýt široké spektrum potřeb organizace z hlediska řízení kybernetické bezpečnosti. Bez správného nastavení, a především dlouhodobé údržby, ale organizace nedokážou naplno vytěžit funkcionality těchto nástrojů.
V praxi se opakují tři problémy, které přínos SIEMu snižují.
1. Nedostatečný sběr dat
SIEM vyhodnocuje pouze data, která má k dispozici. Pokud nejsou do sběru zahrnuty všechny důležité systémy, vznikají slepá místa v monitoringu.
Jestliže firma například nesbírá logy z VPN, nemá vůbec přehled o vzdálených přístupech do firemní sítě. Právě tyto záznamy přitom pomáhají odhalit nestandardní přihlášení, přístupy z neobvyklých lokalit nebo pokusy o zneužití uživatelských účtů.
2. Neexistující údržba nástroje
Při nasazení nástroje se nastavují pravidla pro hodnocení stavu prostředí a hrozeb v daném čase. Infrastruktura se ale postupně vyvíjí, přibývají nové systémy a způsoby útoků se mění. Pokud to SIEM nereflektuje, ztratí přesnost a začne generovat falešná upozornění.
Rostoucí počet falešných upozornění postupně zahltí dohledový tým. Tento jev se označuje jako „alert fatigue“ a patří mezi nejčastější důvody, proč SIEM přestane plnit svůj účel.
3. Chybějící proces reakce
Ani správně nastavený SIEM nepomůže, pokud na jeho výstupy nikdo nereaguje. Organizace by proto měla jasně definovat, kdo jednotlivá upozornění vyhodnocuje a jaký je další postup.
Bez navazujících procesů se upozornění pouze hromadí a skutečná rizika v nich snadno zapadnou.