Сервисы
Managed IT
Решения
Security
Собственная разработка
Партнерам
О компании

Security Information and Event Management (SIEM)

Security Information and Event Management (SIEM) представляет собой систему, которая собирает информацию для дальнейшего анализа и классификации системным администратором или специалистом по ИБ.

Изначально SIEM состояло из двух направлений: Security Information Management, которое отвечает за информационную безопасность, и Security Event Management, контролирующее события безопасности. В 2005 году происходит объединение понятий, и появляется Security Information and Event Management.

Данные для SIEM поступают из разных источников. К ним относятся:

[text_with_btn btn=”Узнать больше” link=”https://itglobal.com/ru-kz/services/info-security/security-audit/”]Аудит информационной безопасности[/text_with_btn]

Принцип работы

SIEM используют для мониторинга и анализа поступающей информации, но сама она не защищает инфраструктуру от внешних и внутренних угроз. Собранная аналитика используется для определения инцидентов и оптимизации защиты компании.

Задаются критерии, по которым оценивается состояние инфраструктуры. Прописывается оборудование, которое будет мониториться SIEM. Если происходит событие, которое выходит за рамки настроенных шаблонов, то SIEM реагирует на изменение и регистрирует инцидент.

Рекомендуется сначала развернуть систему на малом количестве устройств для тестирования. Администраторы проверяют ее работоспособность, редактируют правила, а после запускают в рабочем режиме.

Дополнительная возможность системы: на основе полученных данных анализируются действия злоумышленников. Другими словами, регистрация инцидентов помогает расследовать такие события.

Встроенная функция оповещения сообщает администраторам о нарушениях или проблемах по email, через SMS и мессенджеры.

ПО представляет собой гибкий инструмент, который конфигурируется по требованиям и желаниям пользователя.

Составляющие SIEM

Программное решение условно разделяют на две составных части. К первой относятся агенты мониторинга. Они инсталлируются на элементы информационной системы, с которых снимаются показания. Второй элемент — серверная часть. Она обрабатывает поступающую информацию от агентов, регистрирует события и инциденты на основе заданных правил. Шаблоны обработки информации и регистрации инцидентов задаются специалистами по ИБ во время конфигурирования

SIEM-системы

Дальнейший анализ зарегистрированных инцидентов ложится также на отдел ИБ. Они при помощи встроенных инструментов создают отчеты, реагируют на события, стараясь не допустить повторения инцидентов в дальнейшем. Также интегрируются промежуточные элементы — коллекторы и корреляторы. Первые устанавливают как обычные хранилища. Они фильтруют данные, отсеивая дубли и пустые записи. Вторые же вычленяют необходимые данные среди множества событий. Учитывая, что информация представляется в разных форматах и разного рода, SIEM-система собирает ее и приводит к единому виду.

Известные SIEM: