Security Information and Event Management

Материал из База знаний
Перейти к: навигация, поиск

SIEM нужна для сбора и анализа информации. Информация поступает с различных источников — таких, как :

  • Access Control, Authentication. Применяются для мониторинга контроля доступа к информационным системам и использования привилегий.
  • DLP-системы. Сведения о попытках инсайдерских утечек, нарушении прав доступа.
  • IDS/IPS-системы. Несут данные о сетевых атаках, изменениях конфигурации и доступа к устройствам.
  • Антивирусные приложения. Генерируют события о работоспособности ПО, базах данных, изменении конфигураций и политик, вредоносном коде.
  • Журналы событий серверов и рабочих станций. Применяются для контроля доступа, обеспечения непрерывности, соблюдения политик информационной безопасности.
  • Межсетевые экраны. Сведения об атаках, вредоносном ПО и прочем.
  • Сетевое активное оборудование. Используется для контроля доступа, учета сетевого трафика.
  • Сканеры уязвимостей. Данные об инвентаризации активов, сервисов, программного обеспечения, уязвимостей, поставка инвентаризационных данных и топологической структуры.
  • Системы инвентаризации и asset-management. Поставляют данные для контроля активов в инфраструктуре и выявления новых.
  • Системы веб-фильтрации. Предоставляют данные о посещении сотрудниками подозрительных или запрещенных веб-сайтов.

Достаточно тяжело вручную просматривать логи с большого количества источников. К тому же, бывают ситуации, когда внешне безобидные события, полученные с различных источников, в совокупности несут в себе угрозу. Предположим, когда происходит отправка письма с чувствительными для компании данными человеком, имеющим на это право, но на адрес, находящийся вне его обычного круга адресов, на которые он отправляет. DLP система этого может не отловить, но SIEM, используя накопленную статистику, на основании этого уже сгенерирует инцидент. Даже если инцидент произошел — SIEM способна предоставить всю необходимую доказательную базу, пригодную как для внутренних расследований, так и для суда. Собственно говоря, это одно из ее главных предназначений. В момент создания инцидента также будут оповещены все заинтересованные лица. Из дополнительных особенностей — SIEM после внедрения может косвенно вам помочь выбить деньги на дозакупку какого-то еще средства ИБ: например, вы в качестве обоснования прикладываете отчет, из которого видно, что большая часть полученных инцидентов закрывается запрашиваемым вами средством. Ниже иллюстрации, в каких случаях SIEM может быть полезна.

Классический функционал SIEM

  • Агрегация данных: управление журналами данных; данные собираются из различных источников: сетевые устройства и сервисы, датчики систем безопасности, серверы, базы данных, приложения; обеспечивается консолидация данных с целью поиска критических событий.
  • Корреляция: поиск общих атрибутов, связывание событий в значимые кластеры. Технология обеспечивает применение различных технических приемов для интеграции данных из различных источников для превращения исходных данных в значащую информацию. Корреляция является типичной функцией подмножества Security Event Management.
  • Оповещение: автоматизированный анализ коррелирующих событий и генерация оповещений (тревог) о текущих проблемах. Оповещение может выводиться на «приборную» панель самого приложения, так и быть направлено в прочие сторонние каналы: e-mail, GSM-шлюз итп.
  • Средства отображения (информационные панели): отображение диаграмм помогающих идентифицировать паттерны отличные от стандартного поведения.
  • Совместимость (трансформируемость): применение приложений для автоматизации сбора данных, формированию отчетности для адаптации агрегируемых данных к существующим процессам управления информационной безопасностью и аудита.
  • Хранение данных: применение долговременного хранилища данных в историческом порядке для корреляции данных по времени и для обеспечения трансформируемости. Долговременное хранение данных критично для проведения компьютерно-технических экспертиз, поскольку расследование сетевого инцидента вряд ли будет проводиться в сам момент нарушения.
  • Экспертный анализ: возможность поиска по множеству журналов на различных узлах; может выполняться в рамках программно-технической экспертизы.Агрегация данных: управление журналами данных; данные собираются из различных источников: сетевые устройства и сервисы, датчики систем безопасности, серверы, базы данных, приложения; обеспечивается консолидация данных с целью поиска критических событий.

Цели создания системы

  • Сокращение времени реагирования и повышение вероятности выявления инцидентов ИБ.
  • Возможность проведения оперативного расследования всех обстоятельств инцидентов по зарегистрированным различными системами событиям.
  • Снижение потерь в результате реализации рисков ИБ.
  • Внедрение процессов управления инцидентами.

Задачи, которые решает система

  • Оперативное обнаружение, реагирование и контроль обработки инцидентов ИБ.
  • Возможность оперативного контроля состояния ИБ для высшего руководства компании.
  • Создание единого центра мониторинга ИБ компании.
  • Определение прав, обязанностей и разграничение зон ответственности персонала компании в области управления инцидентами ИБ.
  • Мониторинг соответствия отраслевым стандартам: PCI DSS, IT Governance, NERC CIP и другим.