Защита IT-инфраструктуры предприятия представляет собой крайне сложную задачу, при решении которой необходимо обрабатывать огромный массив информации. Чем больше в ней сетевых узлов (рабочих станций, серверного, сетевого оборудования, мобильных устройств, средств защиты), тем больше данных о своей работе они генерируют. Эту информацию необходимо собрать, проанализировать на возможные несанкционированные действия злоумышленников и сообщить об этом администратору по информационной безопасности, а в связи с постоянным ростом IT-инфраструктуры в современных компаниях, количество событий в области информационной безопасности значительно увеличивается, достигая чуть ли не десятков тысяч каждый день. Поэтому для эффективного мониторинга и управления потоком данных от различных источников, а также для выявления потенциальных инцидентов безопасности и оперативного реагирования на них, широко применяется решение SIEM (Security Information and Event Management). ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ SIEM-решение объединяет данные из разнородных источников (серверы, коммутаторы, роутеры и другие), анализирует, обрабатывает и хранит данные, а также предоставляет отчеты об инцидентах и рекомендации по их устранению, отображает работу системы, используя дэшборды и графики, выявляет инциденты по настроенным правилам корреляции, а также оповещает специалистов о случившихся событиях и инцидентах. ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ Что такое SIEM? ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ Аббревиатура SIEM расшифровывается как Security Information and Event Management. Э0то система,которая объединяет данные из разнородных источников (серверы, коммутаторы, роутеры и другие), анализирует, обрабатывает и хранит данные, а также предоставляет отчеты об инцидентах и рекомендации по их устранению, отображает работу системы, используя дэшборды и графики, выявляет инциденты по настроенным правилам корреляции, а также оповещает специалистов о случившихся событиях и инцидентах. ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ Принцип работы SIEM ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ Система SIEM работает по следующему принципу: ведет сбор информации с различных источников, анализирует события в них и, согласно разработанным правилам, выявляет аномалии, формирует инциденты и оповещает о них администраторов ИБ. ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ В качестве источников информации SIЕM-система может использовать рабочие станции, серверы, сетевое оборудование, прикладные системы и даже периферийные устройства. Кроме того, информация собирается со средств защиты информации - антивирусные решения, файерволы, системы управления доступом, контроллеры домена, IPS- и IDS-системы, которые отвечают за обнаружение и предотвращение вторжений, системы предотвращения утечек информации (DLP) и т.д. Некоторые SIEM-системы проводят инвентаризацию инфраструктуры заказчика, а также интегрируются с NTA-системами (Network traffic analyzer), XDR-системами (Extended Detection and Respons), что позволяет расширить возможности обнаружения злоумышленников в сети предприятия. ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ Функции SIEM ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ SIEM-системы выполняют широкий спектр функций, которые помогают организациям улучшить свою безопасность, некоторые из которых: ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ - Базовый мониторинг безопасности. SIEM-системы могут использоваться для мониторинга основных показателей безопасности, таких как количество событий безопасности, уровень использования ресурсов и т. д. - Расширенное обнаружение угроз и инцидентов. SIEM-системы могут использоваться для обнаружения потенциальных угроз и инцидентов безопасности с помощью различных методов анализа. - Криминалистика и реагирование на угрозы. SIEM-системы могут использоваться для расследования инцидентов безопасности и принятия мер по их устранению. - Нормализация. SIEM-системы могут нормализовать данные из различных источников, что упрощает их анализ. - Уведомления и предупреждения. SIEM-системы могут отправлять уведомления и предупреждения о потенциальных угрозах и инцидентах. - Сбор журнала, ответов и отчетов. SIEM-системы могут собирать данные из журналов, создавать отчеты и отвечать на запросы. ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ Так ли нужна SIEM-система? ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ Преимущества внедрения и использования системы SIEM заключаются в значительном ускорении обработки инцидентов информационной безопасности и получении необходимой информации. Аналитику больше не требуется подключаться к каждому средству защиты информации отдельно и анализировать данные, так как вся информация представлена в едином, удобном интерфейсе, обеспечивая упрощенный доступ и обзор информации. Также SIEM-системы позволяют организациям выявлять потенциальные угрозы и инциденты безопасности на ранней стадии, что дает возможность принять меры по их устранению до того, как они причинят ущерб. ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ Кроме того, финансовым организациям для соответствия требованию регулятора к процессу ведения аудиторского следа в информационных системах (Постановление Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48. “Об утверждении Требований к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан”, параграф 8), важно иметь SIEM-системы. ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ Результат внедрения SIEM-системы ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ Внедрение SIEM-системы позволяет достичь таких результатов, как: ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ - повышение уровня защищенности информационной инфраструктуры за счет оперативной реакции на инциденты ИБ; - ускорение и автоматизация процесса идентификации и последующего расследования инцидентов; - централизованный подход к задачам обработки и хранения событий ИБ; - выполнение требований отраслевых и государственных регуляторов. ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ Однако, важно понимать, что SIEM-система не противодействует хакерам напрямую, а лишь анализирует большое количество входящей информации и предоставляет отчет и доводы о небезопасности определенной области, уведомляя об этом пользователя. Это значит, что SIEM-системы нужно добавлять в комплексный подход для обеспечения информационной безопасности. ⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀ Мы предлагаем полный комплекс услуг по обеспечению комплексной кибербезопасности в организациях любого типа и масштаба, в том числе наши специалисты готовы подобрать и сконфигурировать SIEM-решение, которое полностью удовлетворит потребностям заказчика, кроме того мы можем обеспечить подключение на мониторинг практически любого источника информации. Для получения бесплатной консультации по подбору SIEM-системы обращайтесь в наш отдел продаж по номерам: +7 (727) 331 11 44 или +7 (727) 331 11 41.