Security Information and Event Management (SIEM)

Security Information and Event Management (SIEM) представляет собой систему, которая собирает информацию для дальнейшего анализа и классификации системным администратором или специалистом по ИБ.

Изначально SIEM состояло из двух направлений: Security Information Management, которое отвечает за информационную безопасность, и Security Event Management, контролирующее события безопасности. В 2005 году происходит объединение понятий, и появляется Security Information and Event Management.

Данные для SIEM поступают из разных источников. К ним относятся:

• журналы событий, которые регистрируются операционной системой или сторонним приложением
• сетевое оборудование (маршрутизаторы, прокси-серверы, шлюзы и т. д.)
• межсетевые экраны
• сканеры уязвимостей — специальное ПО, которое находит уязвимости внутри инфраструктуры
• CRM-системы
• рабочие станции пользователей
• антивирусное программное обеспечение
• другие ресурсы, которые регистрируют события и способны передавать их через агентов или встроенными средствами

Принцип работы

SIEM используют для мониторинга и анализа поступающей информации, но сама она не защищает инфраструктуру от внешних и внутренних угроз. Собранная аналитика используется для определения инцидентов и оптимизации защиты компании.

Задаются критерии, по которым оценивается состояние инфраструктуры. Прописывается оборудование, которое будет мониториться SIEM. Если происходит событие, которое выходит за рамки настроенных шаблонов, то SIEM реагирует на изменение и регистрирует инцидент.

Рекомендуется сначала развернуть систему на малом количестве устройств для тестирования. Администраторы проверяют ее работоспособность, редактируют правила, а после запускают в рабочем режиме.

Дополнительная возможность системы: на основе полученных данных анализируются действия злоумышленников. Другими словами, регистрация инцидентов помогает расследовать такие события.

Встроенная функция оповещения сообщает администраторам о нарушениях или проблемах по email, через SMS и мессенджеры.

ПО представляет собой гибкий инструмент, который конфигурируется по требованиям и желаниям пользователя.

Составляющие SIEM

Программное решение условно разделяют на две составных части. К первой относятся агенты мониторинга. Они инсталлируются на элементы информационной системы, с которых снимаются показания. Второй элемент — серверная часть. Она обрабатывает поступающую информацию от агентов, регистрирует события и инциденты на основе заданных правил. Шаблоны обработки информации и регистрации инцидентов задаются специалистами по ИБ во время конфигурирования

SIEM-системы

Дальнейший анализ зарегистрированных инцидентов ложится также на отдел ИБ. Они при помощи встроенных инструментов создают отчеты, реагируют на события, стараясь не допустить повторения инцидентов в дальнейшем. Также интегрируются промежуточные элементы — коллекторы и корреляторы. Первые устанавливают как обычные хранилища. Они фильтруют данные, отсеивая дубли и пустые записи. Вторые же вычленяют необходимые данные среди множества событий. Учитывая, что информация представляется в разных форматах и разного рода, SIEM-система собирает ее и приводит к единому виду.

Известные SIEM:

• Splunk Enterprise Security
• HPE ArcSight
• McAfee NitroSecurity
• Qradar
• Tibco Loglogic
• MaxPatrol
• AlienVault Usm
• «КОМРАД» от НПО «Эшелон»