Информационное письмо
жүктеу/скачать 5,22 Mb.
|
- Бұл бет үшін навигация:
- Security Information and Event Management (SIEM)
| Коммерческие IDS – StoneGate IPS, «ФОРПОСТ» версии 2.0, Cisco IPS 4240, IBM Proventia GX4004, StoneGate IPS 1060.
Системы Security Information and Event Management (SIEM) Система обеспечения информационной безопасности предприятия может включать в себя множество компонентов, это и антивирусные продукты, и сетевые системы предотвращения вторжений, межсетевые экраны, системы контроля доступа к внешним устройствам и портам, системы предотвращения утечек конфиденциальной информации, впрочем и операционная система тоже содержит в себе не один встроенный механизм обеспечения ИБ. Это не полный список средств ИБ, множество разнообразных программно аппаратных комплексов, находятся в постоянной активности "событие - действие - реакция"... И работают в полной, или частичной изоляции друг от друга. Security Information and Event Management (SIEM) - решения для сбора и анализа событий, генерируемых различными типами СЗИ. Задачи систем SIEM Консолидация и хранение журналов событий от различных источников — сетевых устройств, приложений, журналов ОС, средств защиты. Бывают ситуации, когда инцидент увидели поздно, а события уже давно затерты или журналы событий почему-либо недоступны, и причины инцидента выявить фактически невозможно. Кроме того, соединение с каждым источником и просмотр событий займет уйму времени. В противном случае, без анализа событий, есть риск узнать об инциденте в вашей компании из новостных лент. Предоставление инструментов для анализа событий и разбора инцидентов. Форматы событий в различных источниках различаются. Текстовый формат при больших объемах сильно утомляет, снижает вероятность выявления инцидента. Часть продуктов класса SIEM унифицирует события и делает их более читабельными, а интерфейс визуализирует только важные информационные события, акцентирует на них внимание, позволяет отфильтровывать некритические события. Корреляция и обработка по правилам. По одному событию не всегда можно судить об инциденте. Простейший пример — «login failed»: один случай ничего не значит, но три и более таких события с одной учетной записью уже могут свидетельствовать о попытках подбора. В простейшем случае в SIEM правила представлены в формате RBR (Rule Based Reasoning) и содержат набор условий, триггеры, счетчики, сценарий действий. Автоматическое оповещение и инцидент-менеджмент. Основная задача SIEM — не просто собрать события, но автоматизировать процесс обнаружения инцидентов с документированием в собственном журнале или внешней системе HelpDesk, а также своевременно информировать о событии. SIEM способна выявлять: сетевые атаки во внутреннем и внешнем периметрах; вирусные эпидемии или отдельные вирусные заражения, не удаленные вирусы, бэкдоры и трояны; попытки несанкционированного доступа к конфиденциальной информации; фрод и мошенничество; ошибки и сбои в работе информационных систем; уязвимости; ошибки конфигураций в средствах защиты и информационных системах. Система SIEM универсальна за счет своей логики. Но для того чтобы возложенные на нее задачи решались — необходимы полезные источники и правила корреляции. Любое событие (например, если в определенной комнате открылась дверь) может быть подано на вход SIEM и использовано Источники выбираются на основании следующих факторов: критичность системы (ценность, риски) и информации (обрабатываемой и хранимой); достоверность и информативность источника событий; покрытие каналов передачи информации (должны учитываться не только внешний, но и внутренний периметр сети); решение спектра задач ИТ и ИБ (обеспечение непрерывности, расследование инцидентов, соблюдение политик, предотвращение утечек информации и т. п.). Основные источники SIEM Access Control, Authentication — для мониторинга контроля доступа к информационным системам и использования привилегий. Журналы событий серверов и рабочих станций — для контроля доступа, обеспечения непрерывности, соблюдения политик информационной безопасности. Сетевое активное оборудование (контроль изменений и доступ, счетчики сетевого трафика). IDS\IPS. События о сетевых атаках, изменение конфигураций и доступ к устройствам. Антивирусная защита. События о работоспособности ПО, базах данных, изменении конфигураций и политик, вредоносных программах. Сканеры уязвимостей. Инвентаризация активов, сервисов, программного обеспечения, уязвимостей, поставка инвентаризационных данных и топологической структуры. GRC-системы для учета рисков, критичности угрозы, определение приоритета инцидента. Прочие системы защиты и контроля политик ИБ: DLP, антифрода, контроля устройств и т. п. Системы инвентаризации и asset-management. С целью контроля активов в инфраструктуре и выявления новых. Netflow и системы учета трафика. жүктеу/скачать 5,22 Mb. Достарыңызбен бөлісу:
|