Система управления информацией и событиями безопасности
SIEM — решение для управления информацией и событиями безопасности, которое в реальном времени мониторит и анализирует информацию о состоянии ИТ-инфраструктуры (приложений, устройств, серверов, сетевого оборудования, систем защиты и пользователей), выявляет аномалии и предупреждает о потенциальных кибератаках и других видах угроз.
Как работает SIEM-система
Сбор и анализ всех событий информационной безопасности SIEM-система осуществляет централизованно. Её работу можно разделить на несколько этапов:
- Получение данных из логов других средств защиты.
- Упорядочивание полученных сведений, то есть распределение по типам и категориям.
- Поиск корреляций — соотнесение записей из разных систем и выявление связей между ними. Выявление закономерностей и прогнозирование рисков.
- Уведомление администраторов о найденных угрозах.
Архитектура SIEM состоит из разноуровневых элементов
Компоненты SIEM
За каждый этап работы системы управления информацией и событиями безопасности отвечает отдельный компонент:
- Компонент сбора событий подключается к конкретному ПО по выбранному протоколу, например, RPC или SMB, и получает записи событий. В протоколах Syslog и SNMP при наступлении события программа сама отправляет его в SIEM. Компонент нормализует событие, то есть приводит запись к общему стандарту.
- Компонент корреляции событий работает по готовым правилам SIEM. Однако можно добавлять и свои с помощью встроенных инструментов.
- Компонент управления представлен в виде веб-интерфейса, где администратор может просматривать статистику, уведомления о найденных угрозах и т.п. Если SIEM включает опцию автоматического реагирования, его правила настраиваются здесь.
Основные функции и преимущества SIEM
- Централизованный сбор и хранение логов. Хакеру сложнее «замести следы», изменив локальные записи.
- Обнаружение угроз через корреляцию событий. Система оперирует всем массивом данных для максимально точного анализа.
- Оперативное оповещение об инцидентах. SIEM использует различные каналы и может адаптировать отправляемый набор данных по заданным правилам для каждого подразделения компании.
- Автоматизация реагирования (в некоторых решениях). Сокращает время между обнаружением проблемы и принятием неотложных мер почти до нуля.
- Автоматизированная подготовка отчётов. Обеспечивает соблюдение нормативных требований.
Когда нужна SIEM
- Компания использует для защиты несколько ИБ-решений и не соотносит их данные друг с другом.
- Простой из-за серьёзного киберинцидента обойдётся слишком дорого. Важно снизить риски.
- Текущий анализ ИБ-событий недостаточно глубокий. Нужно вывести аналитику на новый уровень.
- Требование её наличия в организации по действующим нормативными актами. Важно выбирать решение из Реестра отечественного ПО, например, Solar SIEM.
Как внедрить SIEM — пошаговый план
- Определить цель, сформулировать требования по бюджету, масштабируемости и другим критериям.
- Найти по ним одно или несколько решений и проверить совместимость с используемыми в компании ИБ-сервисами.
- Оценить ресурсы, необходимые для внедрения и обслуживания SIEM.
- Провести пилотное тестирование выбранного сервиса.
- Определить ответственных за каждый этап внедрения и распределить задачи
- Выделить необходимые мощности, интегрировать системы и подключить источники событий.
- Стандартизировать сбор данных и задать правила их обработки.
- Настроить автоматизированные действия в SIEM.
- Регламентировать процесс работы с системой и обучить сотрудников.
- Протестировать работу системы целиком и каждого её компонента. Регулярно повторять проверки и устранять недостатки.