Security Operations Center. Искусственный интеллект на службе ИБ::Журнал СА 9.2013
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
О журнале
Журнал «БИТ»
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Вакансии
Контакты
   

ЭКСПЕРТНАЯ СЕССИЯ 2019


  Опросы

Какие курсы вы бы выбрали для себя?  

Очные
Онлайновые
Платные
Бесплатные
Я и так все знаю

 Читать далее...

1001 и 1 книга  
28.05.2019г.
Просмотров: 975
Комментарии: 2
Анализ вредоносных программ

 Читать далее...

28.05.2019г.
Просмотров: 1098
Комментарии: 1
Микросервисы и контейнеры Docker

 Читать далее...

28.05.2019г.
Просмотров: 829
Комментарии: 0
Django 2 в примерах

 Читать далее...

28.05.2019г.
Просмотров: 664
Комментарии: 0
Введение в анализ алгоритмов

 Читать далее...

27.03.2019г.
Просмотров: 1265
Комментарии: 0
Arduino Uno и Raspberry Pi 3: от схемотехники к интернету вещей

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

 Security Operations Center. Искусственный интеллект на службе ИБ

Архив номеров / 2013 / Выпуск №9 (130) / Security Operations Center. Искусственный интеллект на службе ИБ

Рубрика: Безопасность /  Средства автоматизации

Андрей Бирюков АНДРЕЙ БИРЮКОВ, специалист по информационной безопасности. Работает в крупном системном интеграторе. Занимается внедрением решений по защите корпоративных ресурсов

Security Operations Center
Искусственный интеллект на службе ИБ

Как автоматизировать работу службы информационной безопасности в компании? Поговорим об эффективном использовании SIEM

Системы мониторинга событий информационной безопасности получили широкое распространение. Сейчас в большинстве крупных организаций внедрены средства централизованного анализа событий. Различные системы передают данные о происходящих в них событиях на серверы мониторинга для их обработки и хранения.

Особое место среди таких систем занимают средства сбора событий информационной безопасности. Они очень важны для специалистов по данному направлению, так как с их помощью можно находиться в курсе происходящего с ИТ-ресурсами.

Промышленные решения мониторинга событий информационной безопасности получили наименование SIEM (Security Information and Event Management – Управление Информацией о Безопасности и Событиях Безопасности). Такие приложения содержат средства автоматизированного сбора событий, их нормализации, то есть приведения текста события к некоторому общему виду (например, выделение из события имени пользователя, IP-адреса, порта соединения и т.д.).

Также классический SIEM сохраняет всю информацию события в единой базе данных и позволяет составлять правила корреляции, выявляя статистические закономерности. С помощью этих правил специалист по безопасности может существенно автоматизировать работу по обнаружению и предотвращению атак. Опционально такое решение предоставляет средства генерации отчетов и автоматизации расследования инцидентов

Еще в SIEM может также присутствовать возможность реагирования на события и интеграции с системами IPS (Intrusion Prevention System – Системы предотвращения вторжений).

По внедрению данных систем написано множество статей. Некоторое время назад я тоже делал сравнительный анализ SIEM-систем [1]. Однако большинство промышленных продуктов данного класса обладает расширенным функционалом, который не используют во многих компаниях из-за недостатка информации. Подробнее об этих возможностях пойдет речь в статье.

Но для начала еще раз определимся с проблематикой, в которой используются SIEM, а затем рассмотрим, как еще могут применяться данные решения.

... ... ...

Система мониторинга событий информационной безопасности может стать мощным средством обеспечения ИБ. Создание SOC позволяет снизить ущерб от инцидентов за счет своевременного и эффективного реагирования и сбора доказательной базы. Постоянный анализ событий и инцидентов ИБ, выяснение причин их возникновения дают возможность оценить эффективность мер защиты, выявить их недостатки и выработать предложения по их замене или корректировке. Использование SIEM обеспечивает соответствие нормативным и международным требованиям по мониторингу событий PCI DSS, СТО БР, ISO/IEC 27001, а также ФЗ «О персональных данных».

Статью целиком читайте в журнале «Системный администратор», №9 за 2013 г. на страницах 42-45.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru