SIEM - для чего нужна
Svg Vector Icons : http://www.onlinewebfonts.com/icon

 

SIEM (Security Information and Event Management) — это комплексное решение для сбора, анализа и корреляции событий безопасности и представляет собой центральный элемент любого Security Operation Center (SOC)
Благодаря возможности объединять в единую картину и сопоставлять разнородные события из различных источников, SIEM-системы позволяют:

  • обнаруживать труднодетектируемые другими средствами мониторинга атаки «нулевого дня»
  • выявлять мошеннические схемы, базирующиеся на использовании «разрешённых допусков» в работе бизнес-систем (например, злоупотребленя в программах лояльности, кассовый «фрод» и др.)
  • проактивно, в реальном масштабе времени анализировать поступающие события и прогнозировать возможность возникновения инцидента ДО его фактического наступления
SIEM - основной функционал
Svg Vector Icons : http://www.onlinewebfonts.com/icon

Современные SIEM-системы имеют широкий спектр возможностей и обеспечивает:

  • сбор и нормализацию (приведение к общему знаменателю) данных от разнообразных источников: средства безопасности (межсетевые экраны, антивирусные системы, DLP-системы и др.), ОС серверов и рабочих станций, прикладные информационные системы
  • крреляцию данных: сопоставление и поиск по определенным признакам событий из разных источников, являющихся в действительности звеньями одной цепи
  • оповещение: анализ коррелированных данных на предмет выявления инцидентов ИБ и с последующим оповещением ответствнного персонала. Возможна как индикация на консоли управления SIEM, так и автоматизированное уведомление по другим заданным каналам оповещения
  • аналитику и отчётность: визуализация по текущим событиям и инцидентам для организации процесса Incident Management, создание настраиваемых отчетов, хранение данных в течение заданного периода времени, ретроспективный анализ в рамках расследований инцидентов и экспертиз
SIEM - основные компоненты
Svg Vector Icons : http://www.onlinewebfonts.com/icon

Современные SIEM-системы могут отличаться по своему составу в зависимости от архитектуры внедрения и параметров производительности. Как правило, для реализации всех необходимых функций в SIEM-системе присутствуют следующие компоненты:

  • коллекторы: предназначены для сбора событий и поддерживают широкий спектр протоколов и форматов (Syslog, ODBC, Windows Event Forwarding, SNMP и многие другие)
  • хранилище данных: предназначено для длительного хранения собранных событий
  • коррелятор: важнейший интеллектуальный компонент, который выполняет функцию обработки и корреляции собранных событий
  • консоль управления: предназначена для управления системой, и реализации функций аналитики и отчётности
SIEM - как внедрить
Svg Vector Icons : http://www.onlinewebfonts.com/icon

Залог эффективного функционирования SIEM-систем — её правильное внедрение. При этом, непосредственно установка самой программной платформы SIEM есть лишь одним из этапов и не является достаточной для обеспечения работоспособности системы в целом.
Основые этапы внедрения:

  • Обследование ИТ-инфраструктуры и создание списка источников событий
  • Разработка и утверждение ТЗ на внедрение
  • Установка и базовая настройка программной платформы SIEM
  • Настройка источников событий на отправку данных в SIEM
  • Написание правил корреляции исходя из особенностей ИТ-инфраструктуры и бизнес-процессов организации
  • Тестовая эксплуатация, накопление статистики и снижение количества ложных срабатываний (False Positive)
  • Корректировка правил корреляции и проведение приемо-сдаточных испытаний
SIEM - это недорого
Svg Vector Icons : http://www.onlinewebfonts.com/icon

Правильное использование SIEM-системы позволяет организации получить следующие преимущества:

  • свести к минимуму риски возникновения угроз ИБ (в том числе — атак «нулевого дня») за счет их оперативного и проактивного обнаружения
  • сократить время возможных простоев ИТ-инфраструктуры за счёт полного контроля её состояния и повысить производительность служб ИТ/ИБ
  • автоматизировать поддержание соответствия требованиям международных стандартов (PCI DSS, ISO 27001 и др.)