SIEM-системы

Системы сбора и корреляции событий (Security Information and Event Management, SIEM)

Вопрос

...

Задать вопрос

...

Описание и назначение

SIEM (Security Information and Event Management) cистемы — это средства, предназначенные для управления информационной безопасностью в организациях в целом и управления событиями, полученными из различных источников. SIEM-системы способны в режиме реального времени анализировать события, поступающие от сетевых устройств и различных приложений.

Термин SIEM впервые появился в 2005 году и подразумевал под собой систему сбора данных от устройств, размещенных в сети предприятия, и устройств безопасности, различных сервисов, предназначенных для управления учетной информацией и управления доступом, а также операционных систем, имеющихся баз данных и установленных в сети приложений для отслеживания уязвимостей, и дальнейшего анализа полученных сведений.

Таким образом, функции SIEM-систем сводятся к следующему:

  • Агрегация данных.  Вся информация о работе сетевых устройств, серверов, датчиков от систем безопасности, различных приложений поступает в журналы данных. SIEM-системы управляют такими журналами и помогают сотрудникам отдела информационной безопасности находить наиболее критичные события в инфраструктуре.
  • Корреляция. SIEM-системы производят поиск общих значений и атрибутов и связывают между собой поступающие события. Таким образом, данные из разных источников, поступающие от устройств и сервисов, приводятся к единому виду для дальнейшего анализа.
  • Оповещение. После того как система произвела анализ схожих между собой событий, она оповещает администратора безопасности о существующих проблемах в инфраструктуре. Способы оповещения могут быть различными, включая вывод тревог на панель мониторинга SIEM-системы и оповещение по электронной почте.
  • Панели мониторинга, или информационные панели, которые представляют информацию о событиях в виде диаграмм и графиков. Возможность визуализации позволяет определить отклонения в поведении, которые различаются с типичным поведением различных систем.
  • Совместимость. SIEM-системы внедряются в существующую в компании инфраструктуру и позволяют автоматически собирать информацию о событиях, формировать отчеты для собранных данных и применять их с целью управления безопасностью и проведения аудита.
  • Хранение событий. Системы заключают в себе хранилища информации, в которых хранятся события безопасности. Эти события могут сортироваться по времени, что позволяет производить экспертизы и расследование инцидентов.
  • Экспертный анализ. SIEM-системы позволяют производить поиск по сохраненным событиям информационной безопасности, что также дает возможность проводить расследование инцидентов сетевой безопасности.

Источниками данных для SIEM-систем обычно служат системы обнаружения и предотвращения вторжений, журналы серверов и пользовательских компьютеров, коммутаторы, маршрутизаторы, системы СКУД, антивирусные платформы, системы удаленного доступа, DLP-системы, а также файловые серверы.

Учитывая многообразие возможных источников событий в компании, при выборе SIEM необходимо учитывать, от каких источников система способна принимать и обрабатывать данные. В настоящее время SIEM-системы должны производить поведенческий анализ и сравнение данных в режиме реального времени. Помимо этого платформа должна обладать функциями нормализации и возможностью фильтрации инцидентов.

 

Список средств защиты

5
1 отзыв

MaxPatrol SIEM предлагает механизм передачи экспертизы ИБ напрямую в продукт и позволяет получить эффективную SIEM-систему даже с минимальными ресурсами эксплуатации.

0
0 отзывов

HP ArcSight осуществляет сбор, обработку, сопоставление и реагирование на такие события, предоставляя всеобъемлющие функции масштабируемости, защиты и отказоустойчивости. 

0
0 отзывов

«СёрчИнформ SIEM» коррелирует данные с агентами DLP и с перехваченным сетевым траффиком. Связка SIEM+DLP позволяет детализировать нарушения в мельчайших подробностях.

0
0 отзывов

IBM® QRadar® SIEM находит отклоонения, выявляет сложные угрозы и исключает ложные срабатывания. Это решение сводит данные из протоколов событий и сетевых потоков с тысяч конечных устройств и приложений, распределенных в сети.

0
0 отзывов

McAfee Enterprise Security Manager — решение для управления информацией о безопасности и событиями безопасности (SIEM), обеспечивающее сбор информации об угрозах и интеграцию средств защиты с целью приоритизации, расследования и устранения угроз.

0
0 отзывов

RSA NetWitness Suite оптимизирована для мониторинга широкого спектра атак, что обеспечивает повышенную степень понимания, необходимую специалистам по безопасности для эффективного пресечения вредоносной кампании, а не только точечной.

0
0 отзывов

Splunk Enterprise Security (ES) — система управления информационной безопасностью и событиями, которая формирует подробную картину машинных данных, создаваемых различными технологиями безопасности (сеть, конечные точки, доступ).

0
0 отзывов

Система для централизованного управления безопасностью, событиями и информацией. Эффективно и оперативно решает задачу выявления атак и инцидентов, анализирует и управляет событиями информационной безопасности всей IT-инфраструктуры.

0
0 отзывов

Программный комплекс для обнаружения инцидентов ИТ, ИБ и бизнес-процессов в режиме реального времени на основе симптоматической модели, корреляции, с применением AI (Artificial Intelligence).

0
0 отзывов

КОМРАД – гибкая и производительная система централизованного управления событиями информационной безопасности, совместимая с отечественными средствами защиты информации.