Информация о безопасности и управление событиями
редактировать
Компьютерная безопасность
Информация о безопасности и управление событиями (SIEM ) - это подраздел в области компьютерной безопасности, где программные продукты и услуги сочетаются управление информацией о безопасности (SIM) и управление событиями безопасности (SEM). Они обеспечивают анализ в реальном времени предупреждений безопасности, генерируемых приложениями и сетевым оборудованием.
Продавцы продают SIEM как программное обеспечение, как устройства или как управляемые услуги; эти продукты также используются для регистрации данных безопасности и создания отчетов для соответствия целей.
Термин и инициализм SIEM были придуманы Марком Николеттом и Амрит Уильямс из Gartner в 2005 году.
Содержание
- 1 Обзор
- 2 Возможности / компоненты
- 3 Примеры использования
- 4 Примеры предупреждений
- 5 См. Также
- 6 Ссылки
Обзор
Сокращения SEM, SIM и SIEM иногда используются как взаимозаменяемые, но обычно относятся к разным основным направлениям продуктов:
- Управление журналами : упор на простой сбор и хранение сообщений журнала и контрольных журналов
- Управление информацией о безопасности (SIM ): долгосрочное хранение, а также анализ и отчетность данных журнала.
- Менеджер событий безопасности (SEM ): Настоящий -временной мониторинг, корреляция событий, уведомлений и представлений консоли.
- Информация о безопасности и управление событиями (SIEM): объединяет SIM и SEM и обеспечивает анализ в реальном времени предупреждений безопасности, генерируемых сетевым оборудованием и AP plations.
- Managed Security Service: (MSS ) или Managed Security Service Provider: (MSSP): Наиболее распространенные управляемые службы, по-видимому, развиваются вокруг подключения и пропускной способности, мониторинга сети, безопасности, виртуализация и аварийное восстановление.
- Безопасность как услуга (SECaaS ): эти службы безопасности часто включают аутентификацию, антивирус., защита от вредоносного ПО / шпионского ПО, обнаружение вторжений, тестирование на проникновение и управление событиями безопасности, среди прочего.
На практике многие продукты в этой области будут иметь сочетание эти функции, поэтому часто будет некоторое совпадение - и многие коммерческие поставщики также продвигают свою собственную терминологию. Часто коммерческие поставщики предоставляют различные комбинации этих функций, которые позволяют улучшить SIEM в целом. Само по себе управление журналами не дает информации о сетевой безопасности в режиме реального времени, SEM сама по себе не предоставляет полных данных для глубокого анализа угроз. Когда SEM и управление журналами совмещены, SIEM получает больше информации для мониторинга.
Основное внимание уделяется мониторингу и помощи в управлении правами пользователей и служб, службами каталогов и другими изменениями конфигурации системы; а также обеспечение аудита и анализа журналов и реагирование на инциденты.
Возможности / компоненты
- Агрегация данных: Управление журналами объединяет данные из многих источников, включая сеть, безопасность, серверы, базы данных, приложения, обеспечивающие возможность консолидации отслеживаемых данных, чтобы помочь избежать пропуска важных событий.
- Корреляция: Ищет общие атрибуты и связывает события вместе в значимые пакеты. Эта технология дает возможность применять различные методы корреляции для интеграции различных источников, чтобы превратить данные в полезную информацию. Корреляция обычно является функцией части управления событиями безопасности полного решения SIEM
- Оповещение: Автоматический анализ коррелированных событий
- Панели мониторинга: Инструменты могут принимать данные о событиях и превращать их в информационные диаграммы для помогают увидеть шаблоны или определить действия, которые не образуют стандартный шаблон.
- Соответствие: Приложения могут использоваться для автоматизации сбора данных соответствия, создания отчетов, которые адаптируются к существующим процессам безопасности, управления и аудита.
- Хранение: Использование длительного хранения исторических данных для облегчения корреляции данных с течением времени и обеспечения хранения, необходимого для соответствия требованиям. Долгосрочный журнал хранение данных имеет решающее значение для судебно-медицинских расследований, поскольку маловероятно, что обнаружение нарушения сети произойдет во время нарушения.
- Судебно-медицинский анализ: Возможность поиска по журналы на разных узлах и в периоды времени на основе определенных критериев. Это избавляет от необходимости собирать информацию журнала в голове или искать в тысячах и тысячах журналов.
Примеры использования
Исследователь компьютерной безопасности Крис Кубецка выявил следующие варианты использования SIEM, представленный на хакерской конференции 28C3 (Chaos Communication Congress ).
- Видимость SIEM и обнаружение аномалий может помочь обнаружить нулевой день или полиморфный код. В первую очередь из-за низких показателей антивирус обнаружение этого типа быстро меняющейся вредоносной программы.
- Анализ, нормализация журналов и категоризация могут выполняться автоматически, независимо от типа компьютера или сетевого устройства, если они могут отправлять log.
- Визуализация с помощью SIEM с использованием событий безопасности и ошибок журнала может помочь в обнаружении шаблонов.
- Аномалии протокола, которые могут указывать на неправильную конфигурацию или проблему безопасности, могут быть идентифицированы с помощью SIEM, используя обнаружение шаблонов, оповещение, базовые показатели и информационные панели.
- SIEMS может обнаруживать скрытые, malicio связи с нами и зашифрованные каналы.
- Кибервойна может быть точно обнаружена SIEM, выявляя как злоумышленников, так и жертв.
Примеры предупреждений
Некоторые примеры настраиваемых правил для предупреждения об условиях события включают пользователя правила аутентификации, обнаруженные атаки и обнаруженные инфекции.
Правило | Цель | Триггер | Источники событий |
---|
Повторная атака - источник входа | Ранний предупреждение об атаках методом грубой силы, подборе пароля и неправильно настроенных приложениях. | Предупреждение о 3 или более неудачных попытках входа в систему за 1 минуту с одного хоста. | Active Directory, Syslog (Unix Hosts, Switches, Маршрутизаторы, VPN), RADIUS, TACACS, контролируемые приложения. |
Repeat Attack-Firewall | Раннее предупреждение о сканировании, распространении червя и т. Д. | Оповещение о 15 или более событиях сброса / отклонения / запрета межсетевого экрана с одного IP-адреса за одну минуту. | Межсетевые экраны, маршрутизаторы и коммутаторы. |
Система предотвращения вторжений в сеть с повторными атаками | Раннее предупреждение о сканировании, распространении червя и т. Д. | Оповещение о 7 или более оповещениях IDS с одного IP-адреса за одну минуту | Устройства обнаружения и предотвращения вторжений в сеть |
Система предотвращения вторжений на узлы с повторной атакой | Поиск узлов, которые могут быть заражены или скомпрометированы. (демонстрирующие поведение заражения) | Оповещение на 3 или более событий с одного IP-адреса за 10 минут | Предупреждения системы предотвращения вторжений хоста |
Обнаружение / удаление вирусов | Уведомление при обнаружении вируса, шпионского ПО или другого вредоносного ПО на хосте | Оповещение, когда на одном узле обнаруживается идентифицируемая вредоносная программа | Антивирус, HIPS, детекторы сетевых / системных поведенческих аномалий |
Вирусы или шпионское ПО обнаружены, но не удалось удалить | Оповещение, когда с момента обнаружения вредоносного ПО в источнике прошло>1 часа, при этом соответствующий вирус не был успешно удален | Оповещение, когда один хост не может автоматически очистить вредоносное ПО в течение 1 часа после tection | Межсетевой экран, NIPS, Антивирус, HIPS, События неудачного входа в систему |
См. также
Ссылки