Область применения
Системы SIEM (Security information and event management) происходят от двух классов продуктов: SIM (Security information management) — управление информационной безопасностью и SEM (Security event management) — управление событиями безопасности.
SIEM-системы основаны на сборе и анализе журналов событий (логов) с оборудования информационной инфраструктуры, серверов и рабочих станций, в этом их возможности совпадают с системами управления логами (log management). Однако, в отличие от последних SIEM обладают расширенной функциональностью по обработке логов, они дают возможность проводить глубокий анализ собранных логов, сопоставляя различные события (как из разных источников, так и во времени). Правила корреляции позволяют автоматически выявлять угрозы информационной атаки и обнаруживать потенциальные атаки. Однако SIEM это не просто система управления логами безопасности с дополнительными аналитическими функциями. При полноценном внедрении и грамотном использовании SIEM обогащается данными из других средств защиты информации и эффективность SIEM радикально возрастает. Это ещё не дирижёр в оркестре (такую роль играет SOC), но уже первый инструмент в работе службы ИБ.
Функциональные возможности
Сбор данных и нормализация: обеспечивается сбор данных (как событий ИБ, так и системных событий) от разнообразных источников: технические средства информационной безопасности (межсетевые экраны всех типов, системы предотвращения вторжений, антивирусы, системы защиты от спама, системы защиты от утечек данных, системы предварительного выполнения программ, контроля целостности и т. д.), серверы, прикладные системы и т. д. ;
Корреляция данных: сопоставление и поиск по атрибутам, группирование и индексирование по определенным признакам. По сути корреляция является ключевой функцией SIEM, выдающей на выходе список коррелированных событий;
Оповещение: проверка списка коррелированных событий с целью выявить инциденты ИБ и выполнить оповещение по данным инцидентам. Возможна как индикация на консоли управления SIEM, так и автоматизированное уведомление по сработанным корреляционным правилам;
Панели визуализации (dashboards): графики различных типов и форматов, таблицы, списки и другая визуализация по текущим событиям и инцидентам. Визуализация в значительной мере влияет на общее восприятие продукта и является важным элементом процесса Incident Monitoring/Tracking;
Хранение данных: хранение данных в течение заданного периода времени. Необходимо для ретроспективного анализа, расследований инцидентов, экспертиз. Большинство современных SIEM обрабатывают и хранят как сырые события (до процесса осуществления распознавания функциональных полей события (анг. - parsing), так и нормализованные события (события с распознанными полями);
Поиск и анализ: контекстный поиск в рамках расследований инцидентов и экспертиз. Важно отметить, что поиск в сырых и нормализованных событиях может существенно отличаться;
Отчетность: создание настраиваемых отчетов с целью периодического информирования службы ИБ о текущих событиях, инцидентах, трендах. Как правило, отчеты могут выгружаться и использоваться в рамках комплексных отчетов служб ИБ.
Что мы предлагаем
При интеграции платформы SIEM через компанию Softailor вы получаете:
- Предпроектное обследование
- Разработку и проектирование систем
- Интеграцию и сопряжение с существующей информационной инфраструктурой
- Инсталляцию и проведение приемо‑сдаточных испытаний
- Сервисную и техническую поддержку, обеспечивающую оптимальную и бесперебойную работу систем
Наша компания предлагает решения SIEM как и на Open source платформе (Beats + Logstash + Elasticsearch + Kibana + Shield Guard или X-Pack) так и на платформе MaxPatrol SIEM.