Позитивни изследвания на технологиите Какво е SIEM

Какво е SIEM?

siem

Системите за защита непрекъснато се развиват и адаптират към нови видове заплахи. Броят на информационните източници, от които идват данните за текущото състояние на сигурност, нараства всеки ден. Когато инфраструктурата е твърде сложна, е невъзможно да се проследи общата картина на случващото се в нея. Ако не реагирате своевременно на възникващи заплахи и не ги предотвратите, дори стотици системи за откриване на проникване ще бъдат безполезни. На помощ идват системите за сигурност и управление на събития (SIEM). За тях ще говорим днес.

Системата SIEM има следните задачи.

  • мрежови атаки във вътрешния и външния периметър;
  • вирусни огнища или отделни вирусни инфекции, неотстранени вируси, задни врати и троянски коне;
  • опити за неоторизиран достъп до поверителна информация;
  • измама и измама;
  • грешки и неизправности на информационните системи;
  • уязвимости;
  • грешки в конфигурацията в системите за сигурност и информация.

Системата SIEM е универсална поради своята логика. Но за да бъдат решени възложените му задачи, са необходими полезни източници и правила за корелация. Всяко събитие (например, ако врата е отворена в определена стая) може да бъде изпратено към входа на SIEM и използвано.

Източниците се избират въз основа на следните фактори:

  • критичността на системата (стойност, рискове) и информация (обработвана и съхранявана);
  • надеждност и информационно съдържание на източника на събитието;
  • покритие на каналите за предаване на информация (трябва да се вземе предвид не само външен, но и вътрешен периметър на мрежата);
  • решаване на редица задачи за ИТ и информационна сигурност (осигуряване на приемственост, разследване на инциденти, спазване на политиките, предотвратяване на изтичане на информация и др.).
Основните източници на SIEM

  • Контрол на достъпа, удостоверяване - за наблюдение на контрола на достъпа до информационни системи и използване на привилегии.
  • Регистрационни файлове на сървъри и работни станции - за контрол на достъпа, непрекъснатост, съответствие с политиките за сигурност на информацията.
  • Мрежово активно оборудване (контрол на промените и достъп, броячи на мрежовия трафик).
  • IDS \ IPS. Събития за мрежови атаки, промени в конфигурацията и достъп до устройство.
  • Антивирусна защита. Събития за здравето на софтуера, бази данни, промени в конфигурациите и политиките, злонамерен софтуер.
  • Скенери за уязвимост. Инвентаризация на активи, услуги, софтуер, уязвимости, доставка на инвентарни данни и топологична структура.
  • GRC системи за отчитане на риска, критичност на заплахата, приоритизиране на инциденти.
  • Други системи за защита и контрол на политиките за информационна сигурност: DLP, борба с измамите, контрол на устройства и др.
  • Системи за инвентаризация и управление на активи. За да се наблюдават активите в инфраструктурата и да се идентифицират нови.
  • Системи за отчитане на нетния поток и трафика.