SIEM-системы

Системы сбора и корреляции событий (Security Information and Event Management, SIEM)

Вопрос
Задать вопрос

Описание и назначение

SIEM (Security Information and Event Management) cистемы — это средства, предназначенные для управления информационной безопасностью в организациях в целом и управления событиями, полученными из различных источников. SIEM-системы способны в режиме реального времени анализировать события, поступающие от сетевых устройств и различных приложений.

Термин SIEM впервые появился в 2005 году и подразумевал под собой систему сбора данных от устройств, размещенных в сети предприятия, и устройств безопасности, различных сервисов, предназначенных для управления учетной информацией и управления доступом, а также операционных систем, имеющихся баз данных и установленных в сети приложений для отслеживания уязвимостей, и дальнейшего анализа полученных сведений.

Таким образом, функции SIEM-систем сводятся к следующему:

  • Агрегация данных.  Вся информация о работе сетевых устройств, серверов, датчиков от систем безопасности, различных приложений поступает в журналы данных. SIEM-системы управляют такими журналами и помогают сотрудникам отдела информационной безопасности находить наиболее критичные события в инфраструктуре.
  • Корреляция. SIEM-системы производят поиск общих значений и атрибутов и связывают между собой поступающие события. Таким образом, данные из разных источников, поступающие от устройств и сервисов, приводятся к единому виду для дальнейшего анализа.
  • Оповещение. После того как система произвела анализ схожих между собой событий, она оповещает администратора безопасности о существующих проблемах в инфраструктуре. Способы оповещения могут быть различными, включая вывод тревог на панель мониторинга SIEM-системы и оповещение по электронной почте.
  • Панели мониторинга, или информационные панели, которые представляют информацию о событиях в виде диаграмм и графиков. Возможность визуализации позволяет определить отклонения в поведении, которые различаются с типичным поведением различных систем.
  • Совместимость. SIEM-системы внедряются в существующую в компании инфраструктуру и позволяют автоматически собирать информацию о событиях, формировать отчеты для собранных данных и применять их с целью управления безопасностью и проведения аудита.
  • Хранение событий. Системы заключают в себе хранилища информации, в которых хранятся события безопасности. Эти события могут сортироваться по времени, что позволяет производить экспертизы и расследование инцидентов.
  • Экспертный анализ. SIEM-системы позволяют производить поиск по сохраненным событиям информационной безопасности, что также дает возможность проводить расследование инцидентов сетевой безопасности.

Источниками данных для SIEM-систем обычно служат системы обнаружения и предотвращения вторжений, журналы серверов и пользовательских компьютеров, коммутаторы, маршрутизаторы, системы СКУД, антивирусные платформы, системы удаленного доступа, DLP-системы, а также файловые серверы.

Учитывая многообразие возможных источников событий в компании, при выборе SIEM необходимо учитывать, от каких источников система способна принимать и обрабатывать данные. В настоящее время SIEM-системы должны производить поведенческий анализ и сравнение данных в режиме реального времени. Помимо этого платформа должна обладать функциями нормализации и возможностью фильтрации инцидентов.

*******

Это тип решения для кибербезопасности, которое позволяет организациям централизованно собирать, анализировать и управлять данными о событиях безопасности из различных источников в режиме реального времени. Решения SIEM обычно предоставляют ряд возможностей, включая управление журналами, корреляцию событий безопасности, обнаружение угроз и реагирование на инциденты.

Система SIEM работает, собирая данные о событиях безопасности из различных источников, таких как сетевые устройства, серверы, приложения и системы безопасности, и сохраняя эти данные в централизованном хранилище. Затем система анализирует эти данные для выявления угроз и проблем безопасности и генерирует оповещения для уведомления групп безопасности о любых подозрительных или аномальных действиях.

Одним из ключевых преимуществ решения SIEM является его способность сопоставлять данные из разных источников и выявлять сложные шаблоны атак, которые могут остаться незамеченными отдельными системами безопасности. SIEM также может помочь организациям соблюдать различные нормативные требования, такие как правила защиты данных и конфиденциальности, обеспечивая централизованное и проверяемое ведение журнала событий безопасности и создание отчетов.

Решения SIEM обычно используются организациями всех размеров, в том числе крупными предприятиями, государственными учреждениями и поставщиками управляемых услуг безопасности (MSSP). Однако внедрение и обслуживание системы SIEM может быть сложным и ресурсоемким, а также может потребовать значительного опыта и инвестиций в оборудование, программное обеспечение и персонал.

Список средств защиты

Positive Technologies
5
1 отзыв
MaxPatrol SIEM - система мониторинга событий ИБ и выявления инцидентов в реальном времени.
Fortinet
5
1 отзыв
Fortinet FortiSIEM Мощная технология управления информационной безопасностью и событиями
SearchInform
0
0 отзывов
СёрчИнформ SIEM – система для мониторинга IT-инфраструктуры, анализа событий и уведомления о возникающих угрозах
R-Vision
0
0 отзывов

R-Vision SENSE – аналитическая платформа кибербезопасности, которая детектирует нарушения в состоянии систем, подозрительную активность объектов и осуществляет динамическую оценку угроз и аномалий. Использование платформы повышает эффективность служб ИБ, позволяя своевременно выявлять признаки...

Лаборатория Касперского
0
0 отзывов

Kaspersky Unified Monitoring and Analysis Platform (KUMA) — система класса SIEM (Security Information and Event Management), являющаяся единой консолью мониторинга, анализа и реагирования на киберугрозы в рамках экосистемы Kaspersky.

Центр безопасности информации
0
0 отзывов
NeuroDAT SIEM – современный программный комплекс для мониторинга информационной безопасности, автоматического выявления и реагирования на инциденты ИБ.
Инновационные Технологии в Бизнесе
0
0 отзывов
Security Capsule SIEM относится к классу систем мониторинга и корреляции событий информационной безопасности
НПП Гамма
0
0 отзывов
Российская система мониторинга инцидентов информационной безопасности (SIEM)
McAfee
0
0 отзывов
AlienVault
0
0 отзывов
OSSIM, Open Source Security Information and Event Management (SIEM) продукт от компании AlienVault, предлагает Вам насыщенную различными инструментами «Open Source» SIEM систему со сбором, нормализацией и корреляцией событий.