Оглавление
Информация о безопасности и управление событиями
-
Основы SIEM
- SIEM (Security Information and Event Management) – система для мониторинга и анализа событий безопасности.
- SIEM собирает данные из различных источников, включая журналы, системы безопасности и приложения.
- SIEM объединяет данные для обнаружения аномалий и корреляции событий.
-
Функции и возможности SIEM
- Агрегация данных: объединение данных из разных источников для избегания пропусков важных событий.
- Корреляция: поиск общих атрибутов событий для формирования полезной информации.
- Оповещение: автоматический анализ взаимосвязанных событий.
- Информационные панели: визуализация данных для выявления закономерностей.
- Соответствие требованиям: автоматизация сбора данных и создание отчетов, адаптированных к процессам обеспечения безопасности.
- Хранение: долгосрочное хранение данных для облегчения корреляции и криминалистических расследований.
- Криминалистический анализ: поиск по журналам на основе определенных критериев.
-
Компоненты SIEM
- Сборщик данных: пересылка журналов аудита на основе агента или хоста.
- Точка агрегации: синтаксический анализ, корреляция и нормализация данных.
- Поисковый узел: визуализация, запросы, отчеты и оповещения.
-
Варианты использования SIEM
- Обнаружение аномалий и видимость: обнаружение вредоносного кода и полиморфного кода.
- Синтаксический анализ и нормализация: автоматизация процессов, независимо от типа устройства.
- Визуализация и обнаружение закономерностей: выявление закономерностей в событиях безопасности.
- Обнаружение атак и аномалий протокола: выявление проблем безопасности и кибервойн.
-
Примеры правил корреляции
- Обнаружение грубой силы: выявление попыток перебора паролей.
- Невозможное путешествие: проверка физического местоположения пользователей.
- Чрезмерное копирование файлов: выявление подозрительного копирования файлов.
- DDoS-атака: оповещение о начале атаки для защиты систем.
- Изменение целостности файла: мониторинг изменений в системных файлах.
-
Модели и обработка ложных срабатываний
- Модели: требуют выполнения ряда шагов для срабатывания предупреждения.
- Обработка ложных срабатываний: предотвращение блокировки сотрудников из-за ложных срабатываний.
-
Примеры оповещений
- Аутентификация пользователей: оповещение о неудачных попытках входа в систему.
- Обнаруженные атаки и заражения: оповещение о конкретных событиях безопасности.