SIEM-системы
SIEM — класс программных продуктов, которые предназначены для сбора и анализа данных о событиях безопасности. Аббревиатура SIEM расшифровывается как Security Information and Event Management. В переводе это значит «управление событиями и информацией о безопасности».
В SIEM объединяются классы SEM и SIM. Решения SEM — Security Event Management — применяются, чтобы мониторить события безопасности в режиме реального времени. Системы SIM — Security Information Management — предназначены для хранения и анализа информации с объектов, которые входят в инфраструктуру компании. SIEM-решения помогают выполнять обе задачи.
Функции SIEM-систем
SIEM-решения помогают:
- В онлайн-режиме отслеживать сигналы тревоги, которые поступают от сетевых устройств и приложений.
- Обрабатывать полученную информацию и устанавливать взаимосвязь между этими данными.
- Обнаруживать отклонения от нормального функционирования подконтрольных систем.
- Уведомлять операторов о выявленных инцидентах.
В традиционном представлении SIEM-системы собирают и обрабатывают информацию, а также оповещают об опасности. Их функционал не включает блокирование подозрительных действий, отправку файлов на карантин и другие меры реагирования. Однако сегодня термин «SIEM-решение» объединяет системы сбора и обработки информации с системами, которые реагируют на полученные данные и позволяют предпринимать необходимые действия.
Применение SIEM
С помощью SIEM-решений сотрудники ИБ-служб могут своевременно обнаруживать кибератаки и нарушения безопасности, что минимизирует ущерб от злонамеренных действий. Кроме того, такие продукты можно применять, чтобы оценивать защищенность информационных систем и актуальные для компании риски. Сведения, которые предоставляют SIEM, используются, чтобы расследовать инциденты и формировать отчетность.
Сбор информации в SIEM-системах
Такие решения могут собирать информацию о событиях безопасности четырьмя разными способами:
- С помощью специализированных приложений. Это наиболее распространенный метод.
- Прямым путем из файлов с логами.
- Напрямую с сетевых устройств.
- Через протоколы передачи данных, например, Netflow, IPFIX и т.д.
Источники информации для SIEM:
- программы-антивирусники;
- системы авторизации и аутентификации;
- DLP-системы;
- IDS/IPS-системы;
- межсетевые экраны;
- контроллеры домена;
- программы для контроля активов и инвентаризации;
- журналы сетевого оборудования, серверов и рабочих станций.
Выбор SIEM-решения
Рынок предлагает SIEM-системы, которые представляют собой технические вариации вендоров. У каждого продукта — своя структура, функционал, способности масштабирования и количество решаемых задач.
Анализ характеристик того или иного решения помогает оценить его преимущества.
Источники и обработка событий
Эффективность защиты напрямую зависит от количества источников, которое поддерживает система. Важно, чтобы она обеспечивала индивидуальный подход к нормализации разных событий.
Разделение событий на категории упрощает работу. Парсинг, т.е. синтаксический анализ информационных потоков, в таких решениях реализуется через обозначение наиболее критичных полей. Обычно парсеры обновляются при внедрении дополнений или при изменениях системы.
Эксперты считают преимуществом автоматическое нахождение и обновление источников, но единого мнения по этому вопросу нет. Иногда вендоры связывают отсутствие автообновлений с защитой логики анализа и в качестве выхода предлагают изменять SIEM под наблюдением собственных специалистов. Это повышает стоимость обслуживания платформы.
Лучше выбирать решение, которое совместимо с максимально возможным количеством разнородных систем. Многоуровневая платформа обработки событий ускоряет взаимодействие с источниками и быстро адаптируется к ПО. Невысокие требования к аппаратно-программным средствам в таком случае становятся дополнительным преимуществом. SIEM-решения от российских разработчиков поддерживают отечественные источники событий. У иностранных продуктов нет такого преимущества.
Сбор инцидентов
Качественное SIEM-решение нормализует, объединяет и фильтрует инциденты, опционально — обрабатывает и сохраняет raw-событий. При этом функциональность не зависит от скорости процессов. К вспомогательным опциям относится маскирование данных и мониторинг сетевого трафика.
Тестирование продукта в «боевом» режиме помогает проверить, насколько корректна нормализация, фильтрация и агрегация. По этой причине производители, которые предлагают бесплатный тест-драйв полноценной версии решения, вызывают больше доверия.
Корреляция
Хорошая SIEM-система сопоставляет информацию о событиях в онлайн-режиме, а также проводит поведенческий анализ и сравнение исторических данных.
Удачное решение отличается гибкими настройками корреляции, наличием ручной проверки, возможностью работать со всеми механизмами одновременно и обогащением инцидентов в коннекторе или консоли управления.
Визуализация
Отчетность систем обычно формируется в виде таблиц, графиков и гистограмм. Основная часть отчетов экспортируется в файлы формата MS Excel, RTF, HTML и др.
Русифицированный интерфейс упрощает работу сотрудников ИБ-службы. Его наличие не относится к принципиальным критериям выбора, но при прочих равных условиях лучше купить более удобный для русскоязычных пользователей продукт.
Общие настройки и встроенные функции
Удобство применения SIEM-решения в первую очередь зависит от наличия встроенных условий корреляции событий, шаблонов для составления отчетов и графических панелей.
Чем шире диапазон встроенных ресурсов, тем ниже потребность в помощи сторонних специалистов. Это удешевляет обслуживание платформы.
Удобство использования
Один из маркеров удобства — централизованное координирование компонентов платформы из единой консоли, а также автообновление предустановленных политик и шаблонов отчетов. Наличие таких функций облегчает работу ИБ-службы. Кроме того, имеет значение оперативность и качество техподдержки. В этом отношении, как правило, выигрывают российские производители, которые предлагают программные продукты по доступной стоимости.
Вывод
Оценка решений по ключевым характеристикам помогает определить несколько удобных вариантов. При более глубоком сравнении продуктов учитываются потребности и особенности IT-инфраструктуры в конкретной организации. В таком случае параметры и функции оцениваются индивидуально. В ходе тестирования покупатель понимает, какое решение станет для него лучшим. Определить специфические параметры позволяет только повседневное использование.
