Включите исполнение JavaScript в браузере, чтобы запустить приложение.
Created with Pixso.
Главная
/
Архитектура
/
SIEM-система — Security Information and Event Management
Архитектура
21 окт 2024

SIEM-система — Security Information and Event Management

10 мин
Created with Pixso.200
В статье разберем, что такое SIEM-система и комплексный подход к кибербезопасности. Узнаем, что такое SIEM, как она работает, какие преимущества дает и как выбрать лучшую систему.
  1. Что такое SIEM-система
  2. Функции SIEM-систем
  3. Возможности SIEM-систем
  4. Сбор данных в SIEM-системах
  5. Выбор и использование SIEM

Что такое SIEM-система

SIEM — security information and event management, что может расшифровываться как «управление информацией и событиями в области безопасности». Так называют систему управлением инцидентами, которая предотвращает угрозы до того, как они смогут нанести ущерб бизнес-интересам компании. 

Система SIEM состоит из двух компонентов:

  • SIM — security information management или управление информационной безопасностью — служит для анализа и хранения данных, собранных с разных источников IT-инфраструктуры компании;
  • SEM — security event management или управление событиями безопасности — отвечает за мониторинг событий безопасности, который ведется в режиме реального времени.

То есть SIEM-системы в целом обеспечивают защиту бизнес-процессов от различных кибератак. Мониторинг безопасности в таких программах ведется пошагово:

  1. Собираются данные с серверов, сетевых устройств, контроллеров домашней почты, других источников.
  2. Собранные события агрегируются, упорядочиваются, производится их классификация.
  3. Проводится анализ информации для обнаружения угроз — потенциальных кибератак, неудачных попыток входа в систему, установки вредоносного ПО, иных подозрительных действий пользователей.
  4. Выводится сообщение о выявленных нарушениях безопасности для последующего расследования сотрудниками организации.

Рассмотрим на конкретном примере. Работник компании забыл пароль для входа в корпоративную сеть. Он несколько раз неудачно его ввел, после чего запросил восстановление через электронную почту. В такой ситуации система SIEM поймет, что это обычные рабочие моменты. Но если сотрудник продолжает вводить неправильные пароли, подбирает нужный шифр с сотого раза, программа начнет работать на предупреждение несанкционированного доступа.

SIEM-система выполняет мониторинг:

  • файлов, проверяя их целостность;
  • журнала приложений;
  • журнала устройств;
  • действий пользователей;
  • системы в целом.

Инструменты SIEM-системы задействуют все журналы, сгенерированные брандмауэрами, хост-системами, сетевыми устройствами, приложениями, антивирусными фильтрами. Благодаря этому SIEM в составе отделов информационных технологий и предприятий позволяет повысить эффективность процессов отчетности по всем текущим процессам. Однако этот программный продукт ограниченно считывает контекст событий, так как опирается только на полученные данные. Из-за этого в некоторых случаях может возникнуть путаница, когда безвредное действие программа принимает за вредоносное, например, кражу конфиденциальной информации.

Функции SIEM-систем

Принято выделять шесть видов функций SIEM:

  • базовый мониторинг безопасности — отслеживание сигналов тревоги от приложений, сетевых устройств в реальном времени;
  • расширенный поиск инцидентов, потенциальных угроз;
  • реагирование на угрозы;
  • нормализация текущих процессов;
  • вывод предупреждений о выявлении опасности;
  • сбор отчетов, журналов, ответов.

В исходном варианте системы SIEM должны только собирать данные, обрабатывать их, сообщать операторам о потенциальных угрозах. В настоящее время этот термин стал более комплексным. Он подразумевает, что базовые функции дополняются расшифровкой полученной информации с последующей реакцией, предполагающей активные действия по блокировке подозрительных процессов.

Возможности SIEM-систем

В зависимости от вида системы набор возможностей может меняться. Ниже мы привели описание основных характеристик, свойственных большинству программных продуктов этого класса.

  • Автоматизированный сбор данных, их проверка на соответствие критериям безопасности, создание отчетов согласно стандартам, например, HITECH, HIPA, GDPR.
  • Аналитика угроз. Чтобы управлять событиями безопасности, программное обеспечение сопоставляет полученные внутренние сведения с шаблонными данными об угрозах, атаках, различных видах уязвимостей.
  • Быстрое реагирование при выявлении инцидентов. Происходит оперативная синхронизация групп безопасности, что обеспечивает блокировку потенциальных угроз, сохранение стабильной работы IT-инфраструктуры.
  • Агрегация, хранение данных. Система управления инцидентами собирает события из технологической инфраструктуры организации, сохраняя их для последующего анализа.
  • Отправка предупреждений. Используя статистические модели наряду с технологиями машинного обучения, SIEM находит взаимосвязи между событиями. Если дальнейшее использование программ может привести к возникновению угрозы, система отправит оператору соответствующее предупреждение.
  • Дополнительные возможности. В этот перечень входит расширенное обнаружение угроз и инцидентов, криминалистика, аудит доступа к объектам, мониторинг безопасности.

Сбор данных в SIEM-системах

Система управления информацией и событиями в области безопасности может собирать данные от фаерволов, систем DLP, IDS/IPS, программ авторизации и аутентификации, доменных контроллеров, антивирусного ПО, журналов серверов и сетевого оборудования. 

Сбор сведений о событиях в SIEM-системах может быть реализован четырьмя способами:

  • напрямую с сетевых устройств;
  • используя специальные приложения;
  • посредством протоколов Netflow, SNMP, IPFIX;
  • напрямую из лог-файлов.

Выбор и использование SIEM

В настоящее время существует множество решений SIEM для бизнеса, в том числе на основе российских разработок по обеспечению безопасности:

  • MaxPatrol SIEM от Positive Technologies. Выявляет сложные атаки сразу на этапе их внедрения, решает задачу контроля слепых зон в мониторинге важных бизнес-активов. Система может похвастаться точностью обнаружения инцидентов, глубокой экспертизой в поиске угроз;
  • Komrad Enterprise SIEM от Эшелон. Гибкая, масштабируемая система, которая поддерживает широкий спектр источников событий, обеспечивает централизованное управление, оперативное реагирование на инциденты. Разработчиками предусмотрена встроенная возможность интеграции с внешними системами, в том числе с ГосСОПКА;
  • RuSIEM. Российская улучшенная система обнаружения несанкционированных действий с полной поддержкой русского языка. Имеет встроенную управляемую и редактируемую корреляцию, вертикальную и горизонтальную масштабируемость, содержит собственные модульные агенты, сохраняет RAW-события. Среди других преимуществ — интеграция с ГосСОПКА и сертификация ФСТЭК России;
  • Kaspersky KUMA. Решение для создания полноценной платформы кибербезопасности с гибким подходом к устранению целевых кибератак, сложных угроз. Может быть соединено в единую экосистему с решениями других вендоров в рамках долгосрочной стратегии обеспечения безопасности.

Выбирая систему управления инцидентами, бизнесу следует опираться на три фактора:

  • соотношение производительности и цены оборудования;
  • открытость API;
  • поддержка российской инфраструктуры.

Современные российские системы SIEM по набору функций практически не уступают западным и даже опережают их. Например, многие отечественные решения доступны для бесплатного тестового запуска. Такое тестирование позволяет сравнить несколько вариантов, чтобы выбрать среди них оптимальный для конкретного бизнеса.