Рубрика:
Безопасность /
Средства автоматизации
|
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|
АНДРЕЙ БИРЮКОВ, специалист по информационной безопасности. Работает в крупном системном интеграторе. Занимается внедрением решений по защите корпоративных ресурсов
Security Operations Center Искусственный интеллект на службе ИБ
Как автоматизировать работу службы информационной безопасности в компании? Поговорим об эффективном использовании SIEM
Системы мониторинга событий информационной безопасности получили широкое распространение. Сейчас в большинстве крупных организаций внедрены средства централизованного анализа событий. Различные системы передают данные о происходящих в них событиях на серверы мониторинга для их обработки и хранения.
Особое место среди таких систем занимают средства сбора событий информационной безопасности. Они очень важны для специалистов по данному направлению, так как с их помощью можно находиться в курсе происходящего с ИТ-ресурсами.
Промышленные решения мониторинга событий информационной безопасности получили наименование SIEM (Security Information and Event Management – Управление Информацией о Безопасности и Событиях Безопасности). Такие приложения содержат средства автоматизированного сбора событий, их нормализации, то есть приведения текста события к некоторому общему виду (например, выделение из события имени пользователя, IP-адреса, порта соединения и т.д.).
Также классический SIEM сохраняет всю информацию события в единой базе данных и позволяет составлять правила корреляции, выявляя статистические закономерности. С помощью этих правил специалист по безопасности может существенно автоматизировать работу по обнаружению и предотвращению атак. Опционально такое решение предоставляет средства генерации отчетов и автоматизации расследования инцидентов
Еще в SIEM может также присутствовать возможность реагирования на события и интеграции с системами IPS (Intrusion Prevention System – Системы предотвращения вторжений).
По внедрению данных систем написано множество статей. Некоторое время назад я тоже делал сравнительный анализ SIEM-систем [1]. Однако большинство промышленных продуктов данного класса обладает расширенным функционалом, который не используют во многих компаниях из-за недостатка информации. Подробнее об этих возможностях пойдет речь в статье.
Но для начала еще раз определимся с проблематикой, в которой используются SIEM, а затем рассмотрим, как еще могут применяться данные решения.
... ... ...
Система мониторинга событий информационной безопасности может стать мощным средством обеспечения ИБ. Создание SOC позволяет снизить ущерб от инцидентов за счет своевременного и эффективного реагирования и сбора доказательной базы. Постоянный анализ событий и инцидентов ИБ, выяснение причин их возникновения дают возможность оценить эффективность мер защиты, выявить их недостатки и выработать предложения по их замене или корректировке. Использование SIEM обеспечивает соответствие нормативным и международным требованиям по мониторингу событий PCI DSS, СТО БР, ISO/IEC 27001, а также ФЗ «О персональных данных».
Статью целиком читайте в журнале «Системный администратор», №9 за 2013 г. на страницах 42-45.
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|