Мониторинг событий ИБ
«ИНЛАЙН ГРУП» предлагает решения для управления событиями безопасности от ведущих зарубежных и отечественных производителей программного обеспечения. Мы являемся партнером компании Positive Technologies и предлагаем готовые решения по безопасности, основываясь на богатом опыте внедрения ПО.
Системные администраторы и администраторы ИТ-безопасности сталкиваются с огромным потоком данных от различных систем, который им приходится анализировать на предмет нарушения политик информационной безопасности, вторжений или при расследовании инцидента. В таком широком потоке событий легко не заметить улики, пропустить атаку или не обнаружить очевидную зависимость между событиями.
SIEM (Security Information and Event Management) системы —программные средства, предназначенные для управления событиями в ИТ-инфраструктуре, полученными из различных источников, и управления информационной безопасностью в организациях в целом. SIEM-системы способны в режиме реального времени агрегировать, фильтровать и анализировать события, поступающие от сетевых устройств и различных приложений.
Источниками данных для SIEM-систем служат журналы серверов и пользовательских компьютеров, системы обнаружения и предотвращения вторжений, коммутаторы, маршрутизаторы, системы СКУД, антивирусные платформы, системы удаленного доступа, DLP-системы, а также файловые серверы. Современные SIEM-системы должны производить поведенческий анализ и сравнение данных в режиме реального времени.
Основными преимуществами использования SIEM систем являются:
- возможность получать данные событий из единой консоли управления;
- возможность проводить исторический анализ данных;
- возможность проводить ретроспективный анализ и пересечение событий;
- повышение уровня информационной безопасности за счет возможности управлять событиями безопасности в режиме реального времени.
Функции для всех наиболее распространенных SIEM-систем сводятся к следующему.
Агрегация данных
Информация о работе сетевых устройств, серверов, датчиков от систем безопасности, различных приложений поступает в журналы данных этих систем. SIEM-системы управляют такими журналами и помогают сотрудникам отдела информационной безопасности находить наиболее критичные события в инфраструктуре.
Корреляция
SIEM-системы производят поиск общих значений и атрибутов и связывают между собой поступающие события по некоторым правилам. Таким образом, данные из разных источников, поступающие от устройств и сервисов, приводятся к единому виду для дальнейшего анализа, а также избавляют сотрудников службы безопасности от необходимости вручную искать связь между поступающими событиями.
Оповещение
По событиям корреляции и агрегации могут создаваться инциденты в системе, о которых она оповещает сотрудников службы безопасности. Способы оповещения могут быть различными, включая вывод тревог на панель мониторинга SIEM-системы и оповещение по электронной почте.
Информационные панели
Представляют информацию о событиях в виде диаграмм и графиков. Позволяют наглядно визуализировать отклонения в поведении систем, а также получить всю актуальную информацию о работе систем в целом.
Совместимость
SIEM-системы внедряются в существующую в компании инфраструктуру по широко распространенным протоколам, типа syslog или агентами, и позволяют автоматически собирать информацию о событиях, формировать отчеты для собранных данных и применять их с целью управления безопасностью и проведения аудита.
Хранение событий
Системы заключают в себе хранилища информации, в которых хранятся события безопасности. Эти события могут сортироваться по времени, группироваться и фильтроваться, что позволяет производить экспертизы и расследование инцидентов. SIEM система способна предоставить всю необходимую доказательную базу, пригодную как для внутренних расследований, так и для суда.
Экспертный анализ
SIEM-системы позволяют производить поиск по сохраненным событиям информационной безопасности, что также дает возможность проводить расследование инцидентов сетевой безопасности.
Ознакомьтесь с другими решениями и услугами, предоставляемыми «ИНЛАЙН ГРУП» в рамках направления.