SIEM

SIEM (Security information and event management) у комп'ютерній безпеці є програмними продуктами, які об'єднують управління інформаційною безпекою SIM (англ. Security information management) та управління подіями безпеки SEM (англ. Security event management). Технологія SIEM забезпечує аналіз в реальному часі подій (тривог) безпеки, отриманих від мережевих пристроїв і додатків. SIEM представлено додатками, приладами або послугами, і використовується також для журналювання даних і генерації звітів в цілях сумісності з іншими бізнес-даними.

Постачальники продають SIEM як програмне забезпечення, як прилади або як керовані послуги; ці продукти також використовуються для реєстрації даних безпеки та створення звітів для цілей відповідності[1].

Огляд

Акроніми SEM, SIM і SIEM іноді використовуються в контексті взаємозамінності[2]. Сегмент систем управління безпекою, що має справу з моніторингом в реальному часі, кореляцією подій, оголошеннями і відображенням на кінцевих пристроях зазвичай називають управлінням подіями (SEM). Друга область забезпечує довготривале зберігання, аналіз і звітність за накопиченими даними відома як управління ІБ (security information management — SIM)[3]. У міру зростання потреб у додаткових можливостях безперервно розширюється і доповнюється функціональність даної категорії продуктів. Організації орієнтуються на системи великих даних, таких як Apache Hadoop, для збільшення можливостей SIEM через збільшення сховищ даних та більш гнучної аналітики[4][5]. Наприклад, потреба голосової орієнтації або vSIEM (англ. (voice security information and event management)) є свіжим прикладом розвитку у цьому напрямку.

Поняття управління подіями інформаційної безпеки (SIEM), введене Марком Николеттом і Амритом Вільямсом з компанії Gartner в 2005 р.[6], описує

  • можливості продукту по збору, аналізу та поданню інформації від мережевих пристроїв і пристроїв безпеки,
  • додатків ідентифікації (управління обліковими даними) і управління доступом,
  • інструментів підтримки політики безпеки і відстеження вразливостей, операційних систем, баз даних та журналів додатків,
  • відомостей про зовнішні загрози.

Основна увага приділяється управлінню привілеями користувачів і служб, служб каталогів і іншим змінам конфігурації, а також забезпечення аудиту та огляду журналів, реакцій на інциденти[3].

Функціональність
  • Агрегація даних: управління журналами даних; дані збираються з різних джерел: мережеві пристрої та сервіси, датчики систем безпеки, сервери, бази даних, програми; забезпечується консолідація даних з метою пошуку критичних подій.
  • Кореляція: пошук спільних атрибутів, зв'язування подій у вагомі кластери. Технологія забезпечує застосування різних технічних заходів для інтеграції даних з різних джерел для перетворення вихідних даних в значущу інформацію. Кореляція є типовою функцією підмножини Security Event Management.[7]
  • Сповіщення: автоматизований аналіз корелюючих подій і генерація повідомлень (сигналів) про поточні проблеми. Оповіщення може виводитися на "приладову панель самого додатка, так і бути направлено в інші сторонні канали: e-mail, GSM-шлюз і т. ін.
  • Засоби відображення (інформаційні панелі): відображення діаграм, які допомагають ідентифікувати патерни відмінні від стандартної поведінки.[8]
  • Сумісність (трансформування): застосування додатків для автоматизації збору даних, формування звітності для адаптації агрегованих даних до чинних процесів управління інформаційною безпекою та аудиту.[9]
  • Зберігання даних: застосування довготривалого зберігання даних в історичному порядку для кореляції даних за часом та для забезпечення трансформування. Довготривале зберігання даних критично для проведення комп'ютерно-технічних експертиз, оскільки розслідування мережевого інциденту, зазвичай, відбувається з часовою затримкою від моменту порушення.[10]
  • Експертний аналіз: можливість пошуку по безлічі журналів на різних вузлах; може виконуватися в рамках програмно-технічної експертизи.[9]

Приклади використання

Дослідник комп'ютерної безпеки Кріс Кубечка визначив наступні випадки використання SIEM, представлені на хакерській конференції 28C3 (Chaos Communication Congress)[11].

  • SIEM може виявити вразливість нульового дня та поліморфні віруси. Передусім це пов'язано з низькими показниками антивірусного виявлення проти цього типу швидкозмінних шкідливих програм.
  • Автоматичний парсинг, нормалізація та класифікація журналів може відбуватися автоматично. Незалежно від типу комп'ютера або мережевого пристрою, аби пристрій міг журналювати події.
  • Візуалізація з SIEM, разом з використанням подій безпеки та журналом збоїв, може допомогти у виявленні шаблонів.
  • Протокол відхилень може вказати на неправильну конфігурацію або проблему безпеки. Що може бути виявлено з допомогою SIEM, якщо використовувати розпізнавання шаблонів, оповіщення та інформаційні панелі.
  • SIEM може виявити секретні, шкідливі повідомлення та зашифровані канали.
  • Кібератака може бути виявлена за допомогою SIEM з точністю, яка дозволяє визначити як нападника так і жертву.

Приклади оповіщень

Девід Свіфт (англ. David Swift) інституту SANS зазначив види діяльності, яку можна відстежувати та індивідуальні правила, які можуть бути створені для кореляції подій для запуску сповіщень за наявності певних умов отримані з різних журналів таких пристроїв як мережеве обладнання, безпекове обладнання, сервера та антивіруси. Деякі приклади індивідуальних правил для сповіщення за наявності певних подій включать правила автентифікації користувача, визначення атак і вторгнень. Пороги реагування налаштовуються на утворення (англ. Trigger) оповіщень небезпеки відповідно до кількості подій, що спостерігаються.[12]

ПравилоМетаТрігерПодія
Повторювана атака на логуванняВчасне попередження про атаки повного перебору, вгадування паролю та неправильної конфігурації застосунків.Оповіщення при 3 і більше невдалих спробах залогінитись на хост протягом 1 хвилини.Active Directory, Syslog (хости Unix Hosts, комутатори, маршрутизатори, VPN), RADIUS, TACACS, Monitored Applications.
Повторювана атака на мережевий екранВчасне попередження про сканування, розповсюдження хробаків, тощо.Оповіщення при 15 і більше відмов мережевого екрану одній IP-адресі за хвилину. Мережеві екрани, комутатори та маршрутизатори.
Повторювана мережева атака IPSВчасне попередження про сканування, розповсюдження хробаків, тощо.Оповіщення при 7 і більше оповіщеннях від IDS від однієї IP-адреси за хвилину.Пристрої виявлення та запобігання мережевого вторгнення
Повторювана атака на хост IPSВиявлення хостів, які можуть бути інфіковані або скомпрометовані (їх поведінка вказує на те, що вони інфіковані)Оповіщення при 3 і більше оповіщеннях від однієї IP-адреси за 10 хвилин.Оповіщення від HIPS (Host Intrusion Prevention System)
Виявлення/видалення вірусівОповіщення коли вірус, шпигунське ПЗ або інше шкідливе ПЗ знайдено на хостіПопередження, коли один хост бачить ідентифікований шматок зловмисного ПЗАнтивіруси, HIPS, Детектори аномальної поведінки в мережі/системі
Виявлено вірус або шпигунське ПЗ, проте не вдалось його видалитиПопередження коли >1 години пройшло відтоді, як шкідливе ПЗ було виявлено, проте повідомлення про успішне видалення відсутнєПопередження, коли один хост не зможе автоматично очистити шкідливе ПЗ протягом 1 години після його виявленняДжерела подій: Firewall, NIPS, Антивірус, HIPS, Події не вдалого залогінювання

Див. також

Примітки
  1. SIEM: A Market Snapshot. Dr.Dobb's Journal. 5 лютого 2007. Архів оригіналу за 25 червня 2012. Процитовано 24 квітня 2018.
  2. Swift, David (26 грудня 2006). A Practical Application of SIM/SEM/SIEM, Automating Threat Identification (PDF). SANS Institute. с. 3. Процитовано 14 травня 2014. «...the acronym SIEM will be used generically to refer...»
  3. Jamil, Amir (29 березня 2010). The difference between SEM, SIM and SIEM.
  4. Cybersecurity at petabyte scale.
  5. Hayes, Justin (6 травня 2015). Cybersecurity and the Big Yellow Elephant. Cloudera Vision Blog. Процитовано 13 липня 2016.
  6. Williams, Amrit (2 травня 2005). Improve IT Security With Vulnerability Management. Процитовано 9 квітня 2016. «Security information and event management (SIEM)»
  7. Correlation Архівовано 2014-10-19 у Wayback Machine.
  8. Lane, Rich Mogull, Mike Rothman, Adrian. Securosis - Blog - Understanding and Selecting SIEM/LM: Use Cases, Part 1. securosis.com (англ.). Процитовано 2 травня 2018.
  9. Compliance Management and Compliance Automation – How and How Efficient, Part 1. accelops.net. Архів оригіналу за 23 липня 2011. Процитовано 2 травня 2018.
  10. 2018 Data Breach Investigations Report | Verizon Enterprise Solutions. Verizon Enterprise Solutions (амер.). Процитовано 2 травня 2018.
  11. 28c3: Security Log Visualization with a Correlation Engine. 29 грудня 2011. Процитовано 4 листопада 2017.
  12. Swift, David (2010). Successful SIEM and Log Management Strategies for Audit and Compliance. SANS Institute.
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.