Информация о безопасности и управление событиями

Оглавление1 Информация о безопасности и управление событиями1.1 Основы SIEM1.2 Функции и возможности SIEM1.3 Компоненты SIEM1.4 Варианты использования SIEM1.5 Примеры правил […]

Информация о безопасности и управление событиями

  • Основы SIEM

    • SIEM (Security Information and Event Management) – система для мониторинга и анализа событий безопасности. 
    • SIEM собирает данные из различных источников, включая журналы, системы безопасности и приложения. 
    • SIEM объединяет данные для обнаружения аномалий и корреляции событий. 
  • Функции и возможности SIEM

    • Агрегация данных: объединение данных из разных источников для избегания пропусков важных событий. 
    • Корреляция: поиск общих атрибутов событий для формирования полезной информации. 
    • Оповещение: автоматический анализ взаимосвязанных событий. 
    • Информационные панели: визуализация данных для выявления закономерностей. 
    • Соответствие требованиям: автоматизация сбора данных и создание отчетов, адаптированных к процессам обеспечения безопасности. 
    • Хранение: долгосрочное хранение данных для облегчения корреляции и криминалистических расследований. 
    • Криминалистический анализ: поиск по журналам на основе определенных критериев. 
  • Компоненты SIEM

    • Сборщик данных: пересылка журналов аудита на основе агента или хоста. 
    • Точка агрегации: синтаксический анализ, корреляция и нормализация данных. 
    • Поисковый узел: визуализация, запросы, отчеты и оповещения. 
  • Варианты использования SIEM

    • Обнаружение аномалий и видимость: обнаружение вредоносного кода и полиморфного кода. 
    • Синтаксический анализ и нормализация: автоматизация процессов, независимо от типа устройства. 
    • Визуализация и обнаружение закономерностей: выявление закономерностей в событиях безопасности. 
    • Обнаружение атак и аномалий протокола: выявление проблем безопасности и кибервойн. 
  • Примеры правил корреляции

    • Обнаружение грубой силы: выявление попыток перебора паролей. 
    • Невозможное путешествие: проверка физического местоположения пользователей. 
    • Чрезмерное копирование файлов: выявление подозрительного копирования файлов. 
    • DDoS-атака: оповещение о начале атаки для защиты систем. 
    • Изменение целостности файла: мониторинг изменений в системных файлах. 
  • Модели и обработка ложных срабатываний

    • Модели: требуют выполнения ряда шагов для срабатывания предупреждения. 
    • Обработка ложных срабатываний: предотвращение блокировки сотрудников из-за ложных срабатываний. 
  • Примеры оповещений

    • Аутентификация пользователей: оповещение о неудачных попытках входа в систему. 
    • Обнаруженные атаки и заражения: оповещение о конкретных событиях безопасности. 

Полный текст статьи:

Информация о безопасности и управление событиями — Википедия

Оставьте комментарий

Прокрутить вверх