Далеко не все предприятия понимают, насколько важно внедрение SIEM-систем и почему сегодня их использование остается по-прежнему актуальным. Но какие функции скрываются за данной аббревиатурой? Если говорить в общих чертах, SIEM отслеживает все сетевые данные и представляет их в виде, наиболее удобном для восприятия пользователя. Разумеется, в любом отдельном случае и в зависимости от преследуемых целей используемая система формируется различными способами.
SIEM (Security Information and Event Management) - это возможность получения данных о безопасности используемого устройства и управления событиями. Рассуждая в общих чертах, можно посчитать SIEM возможностью представления сетевой активности в качестве вполне очевидного подбора данных. Термин придумали еще в «далеком» по меркам нашего «сверхскоростного» века 2005 г. в компании Garther. Но прошло несколько лет, и само понятие, как и задачи SIEM претерпели значительные изменения.
Согласно мнению разработчиков система обязана поддерживать некий функционал, то есть исследование и представление данных о процессах и устройствах в сети. Помимо этого, в составе - инструменты контроля баз данных и уязвимостей, решения, разграничивающие доступ и разрешающие управлять идентификацией.
Характерные функции SIEM
- возможность своевременно отреагировать на наиболее значимые события;
- фиксация логов и формирование отчетов, упрощающих проверки;
- возможность просмотра и анализа данных.
То есть SIEM способен собрать все создаваемые логи, а также статистику, сохраняя все в общем хранилище. Его размер будет напрямую зависеть от запросов системы. Сегодня среди SIEM-систем выделяется несколько очевидных лидеров, среди которых IBM QRadar SIEM, McAfee Enterprise Security Manager и пр.
В качестве источников данных выделяются следующие:
- журналы событий с контролем прав доступа;
- антивирусные программы. Данный вариант решений способен уведомить о наличии опасного ПО;
- DLP. Такие системы способны обнаружить несанкционированное перемещение данных за пределы сети;
- контроль доступа. Необходим для оформления доступа к потоку информации;
- IDS/IPS. Такие системы способны передать данные о сетевых атаках и изменении прав доступа;
- межсетевой экран. Решение транслирует информацию о присутствующем вредоносном ПО и проблемах с безопасностью;
- сетевое оборудование. Организация контроля доступа к информации, считывание трафика;
- веб-фильтр. Контроль доступа к потенциально опасным сайтам.
SIEM требуется, чтобы увеличить шансы обнаружения атак
Эксперты утверждают: данные варианты могут использоваться для нахождения аномалий в системе и помощи в обнаружении вредоносного ПО. Используя SIEM можно составить куда более четкую картину всего того, что происходит в сети. Данное решение требуется, когда куда более привычные средства уже очевидно не справляются с возлагаемой на них задачей. SIEM успешно сравнивает получаемые данные с эталоном и находит определенные несоответствия. Поэтому различные организации могут рассматривать SIEM как немаловажный барьер, выставляемый на пути вредоносных атак различного типа.
Обычный сценарий
- отслеживание скомпроментированных аккаунтов;
- отслеживаний угроз и вредоносного ПО с использованием возможностей брандмауэра, журналов антивирусов;
- проверка трафика, вызывающего подозрения. Обнаружение рождающих подозрения внешних соединений;
- изменение реестра, а также системных файлов, перехват ряда важных процессов. Проверка соответствия совершаемых действий разрешенным политикам;
- отслеживание атак на веб-приложения. Анализ веб-сервера и отчетов.
Нужна ли вообще SIEM?
Перед администрацией многих компаний встает вопрос: действительно ли требуется такая система или данный подход уже давно устарел и о нем можно благополучно забыть? Конечно, SIEM не сможет дать отпор хакерам – она лишь способна анализировать достаточное количество поступающей информации с предоставлением пользователю соответствующих отчетов. То есть SIEM все-таки следует сделать частью комплекса, необходимого для обеспечения безопасности сети. При этом в организации в обязательном порядке должен присутствовать специалист, который способен отреагировать на все сообщения системы.
Помимо всего прочего, при внедрении SIEM-системы нужно детально ознакомиться с инфраструктурой предприятия, учитывая присутствующую систему безопасности и особенности сети. Безошибочно выстроенная система с верными настройками даст возможность администратору реагировать лишь на значимые события. Главной идеей SIEM-системы становится возможность принять решение, соответствующее уровню возможной угрозы, «не размениваясь» на мелочи. За покупкой и внедрением такой системы всегда нужно обращяться к сертефисированным професионалам, а специально да читателей anti-malware.ru есть дополнительная скидка на софт и внедрение по промокоду "malware"