Глоссарий
SIEM система информационной безопасности
SIEM (расшифровка аббревиатуры — Security Information and Event Management) — так называется класс программных продуктов для управления событиями, сбора и анализа данных об угрозах информационной безопасности.
Классические СИЕМ обрабатывают информацию, а затем оповещают операторов о выявленных угрозах. В современных системах управления есть инструменты, которые блокируют подозрительные процессы и помещают файлы на карантин. Данные могут использовать сисадмины и специалисты по ИБ.
Классические СИЕМ обрабатывают информацию, а затем оповещают операторов о выявленных угрозах. В современных системах управления есть инструменты, которые блокируют подозрительные процессы и помещают файлы на карантин. Данные могут использовать сисадмины и специалисты по ИБ.
Принцип работы
Программное решение состоит из агентов мониторинга и серверной части. Первый элемент инсталлируется на разные компоненты информационной системы организации. Второй — обрабатывает данные от агентов, регистрирует инциденты на основе заранее заданных алгоритмов.
Система не ликвидирует угрозы, а предоставляет аналитику для оптимизации средств защиты компании. Конфигурируют шаблоны обработки информации специалисты по ИБ.
Чтобы IT-решение работало корректно, необходимо задать точные критерии, а также указать список оборудования для мониторинга. При выявлении события за рамками настроенных шаблонов, система регистрирует инцидент, затем оповещает оператора.
Система не ликвидирует угрозы, а предоставляет аналитику для оптимизации средств защиты компании. Конфигурируют шаблоны обработки информации специалисты по ИБ.
Чтобы IT-решение работало корректно, необходимо задать точные критерии, а также указать список оборудования для мониторинга. При выявлении события за рамками настроенных шаблонов, система регистрирует инцидент, затем оповещает оператора.
Некоторые SIEM объединяют два направления:
Такие продукты не просто собирают информацию, но и предпринимают действия для ликвидации проблем с ИБ.
Сначала рекомендуется протестировать SIEM на небольшом количестве устройств. Как только администраторы отредактируют правила, можно будет запустить программу в рабочем режиме.
- Security Information Management (SIM) — отвечает за хранение и анализ данных с разных объектов ИТ-инфраструктуры
- Security Event Management (SEM) — контролирует события ИБ в режиме реального времени
Такие продукты не просто собирают информацию, но и предпринимают действия для ликвидации проблем с ИБ.
Сначала рекомендуется протестировать SIEM на небольшом количестве устройств. Как только администраторы отредактируют правила, можно будет запустить программу в рабочем режиме.
Применение SIEM
Специалисты по ИБ с помощью SIEM могут своевременно выявлять кибератаки, нарушения политик безопасности. Благодаря быстрому реагированию удается свести ущерб от действий злоумышленников к минимуму.
Программные решения выявляют уязвимости в информационных системах предприятий. Полученные данные часто используются для расследования инцидентов, формирования отчетов.
Система оперативно оповещает о выявленных нарушениях по электронной почте, через смс, мессенджеры.
Программные решения выявляют уязвимости в информационных системах предприятий. Полученные данные часто используются для расследования инцидентов, формирования отчетов.
Система оперативно оповещает о выявленных нарушениях по электронной почте, через смс, мессенджеры.
В задачи SIEM входят:
Данные собирают четырьмя способами: из приложений, файлов с логами, сетевых устройств или протоколов SNMP, Netflow, IPFIX.
- Отслеживание сигналов тревоги от приложений и сетевых устройств
- Обработка данных, поиск взаимосвязи между проблемами
- Выявление отклонений в контролируемых системах
- Оповещение операторов о каждом выявленном инциденте
Данные собирают четырьмя способами: из приложений, файлов с логами, сетевых устройств или протоколов SNMP, Netflow, IPFIX.
Источниками информации являются любые ресурсы, которые регистрируют события, передают сведения через встроенные средства или агентов. В их числе — антивирусное программное обеспечение, брандмауэры, журналы сетевого оборудования, DPL, IDS, IPS, CRM, рабочие станции пользователей.
Известные SIEM: Splunk Enterprise Security, HPE ArcSight, McAfee NitroSecurity, «Комрад» от российской компании «Эшелон».
Известные SIEM: Splunk Enterprise Security, HPE ArcSight, McAfee NitroSecurity, «Комрад» от российской компании «Эшелон».