На предыдущую страницу
#Информационная безопасность

Security Information and Event Management (SIEM)

Security Information and Event Management (SIEM) представляет собой систему, которая собирает информацию для дальнейшего анализа и классификации системным администратором или специалистом по ИБ.

Изначально SIEM состояло из двух направлений: Security Information Management, которое отвечает за информационную безопасность, и Security Event Management, контролирующее события безопасности. В 2005 году происходит объединение понятий, и появляется Security Information and Event Management.

Данные для SIEM поступают из разных источников. К ним относятся:

  • журналы событий, которые регистрируются операционной системой или сторонним приложением
  • сетевое оборудование (маршрутизаторы, прокси-серверы, шлюзы и т. д.)
  • межсетевые экраны
  • сканеры уязвимостей — специальное ПО, которое находит уязвимости внутри инфраструктуры
  • CRM-системы
  • рабочие станции пользователей
  • антивирусное программное обеспечение
  • другие ресурсы, которые регистрируют события и способны передавать их через агентов или встроенными средствами
Аудит информационной безопасности

Принцип работы

SIEM используют для мониторинга и анализа поступающей информации, но сама она не защищает инфраструктуру от внешних и внутренних угроз. Собранная аналитика используется для определения инцидентов и оптимизации защиты компании.

Задаются критерии, по которым оценивается состояние инфраструктуры. Прописывается оборудование, которое будет мониториться SIEM. Если происходит событие, которое выходит за рамки настроенных шаблонов, то SIEM реагирует на изменение и регистрирует инцидент.

Рекомендуется сначала развернуть систему на малом количестве устройств для тестирования. Администраторы проверяют ее работоспособность, редактируют правила, а после запускают в рабочем режиме.

Дополнительная возможность системы: на основе полученных данных анализируются действия злоумышленников. Другими словами, регистрация инцидентов помогает расследовать такие события.

Встроенная функция оповещения сообщает администраторам о нарушениях или проблемах по email, через SMS и мессенджеры.

ПО представляет собой гибкий инструмент, который конфигурируется по требованиям и желаниям пользователя.

Составляющие SIEM

Программное решение условно разделяют на две составных части. К первой относятся агенты мониторинга. Они инсталлируются на элементы информационной системы, с которых снимаются показания. Второй элемент — серверная часть. Она обрабатывает поступающую информацию от агентов, регистрирует события и инциденты на основе заданных правил. Шаблоны обработки информации и регистрации инцидентов задаются специалистами по ИБ во время конфигурирования

SIEM-системы

Дальнейший анализ зарегистрированных инцидентов ложится также на отдел ИБ. Они при помощи встроенных инструментов создают отчеты, реагируют на события, стараясь не допустить повторения инцидентов в дальнейшем.
Также интегрируются промежуточные элементы — коллекторы и корреляторы. Первые устанавливают как обычные хранилища. Они фильтруют данные, отсеивая дубли и пустые записи. Вторые же вычленяют необходимые данные среди множества событий. Учитывая, что информация представляется в разных форматах и разного рода, SIEM-система собирает ее и приводит к единому виду.

Известные SIEM:

  • Splunk Enterprise Security
  • HPE ArcSight
  • McAfee NitroSecurity
  • Qradar
  • Tibco Loglogic
  • MaxPatrol
  • AlienVault Usm
  • «КОМРАД» от НПО «Эшелон»
Оцените данную статью
Консультация по услугам