CC BY
0УДК 004.056.5 Перекотий З.А., Демкин Д.А.
Перекотий З.А.
студент кафедры информационная безопасность в вычислительных системах и сетях Донской государственный технический университет (г. Ростов-на-Дону, Россия)
Демкин Д.А.
студент кафедры информационная безопасность в вычислительных системах и сетях Донской государственный технический университет (г. Ростов-на-Дону, Россия)
РОЛЬ SIEM-СИСТЕМ
В ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Аннотация: статья рассматривает роль SIEM-систем в обеспечении информационной безопасности организаций. SIEM-системы представляют собой интегрированное решение, сочетающее в себе функции управления событиями безопасности и управления информацией о безопасности. Статья описывает схему работы SIEM-системы, ключевые функции и методы сбора данных.
Ключевые слова: информационная безопасность, SIEM-системы, события безопасности.
В современном цифровом мире информационная безопасность является одной из наиболее важных задач для организаций всех уровней. Постоянно возрастающая сложность и частота киберугроз требуют эффективных систем мониторинга и реагирования на инциденты безопасности. В этом контексте системы управления информационной безопасностью и событиями (SIEM -Security Information and Event Management) играют решающую роль в
обеспечении защиты информационных активов и предотвращения утечек данных.
SIEM-системы представляют собой интегрированное решение, сочетающее в себе функции управления событиями безопасности (SEM) и управления информацией о безопасности (SIM). Если SEM-решения ориентированы на мониторинг событий безопасности в режиме реального времени, то SIM-системы обеспечивают долгосрочное хранение и анализ данных из различных источников инфраструктуры организации. SIEM-системы, таким образом, объединяют эти две функции в одном решении, обеспечивая комплексный подход к управлению информационной безопасностью [1].
SIEM-система работает по следующей схеме: сначала она собирает журналы событий с различных устройств и служб организации, обрабатывает и нормализует собранные данные. Затем она анализирует и коррелирует данные для выявления потенциальных угроз и аномальной активности, определяет и классифицирует выявленные угрозы и аномальную активность, присваивая им уровни опасности и приоритеты.
После выявления инцидентов безопасности SIEM-система отправляет оповещения и уведомления, а также реагирует на инциденты, блокируя угрозы, изолируя зараженные устройства и т.д. Все собранные данные и результаты анализа хранятся в системе для последующего аудита и анализа, обеспечивая соблюдение требований нормативных органов и стандартов информационной безопасности.
SIEM-система собирает и обрабатывает журналы событий с различных устройств и служб организации, обеспечивая структурирование и контекстуализацию данных для эффективного анализа.
Управление инцидентами безопасности в организации с помощью SIEM включает в себя следующие ключевые функции [2]:
выявление потенциальных угроз, включая неудачные попытки входа в систему, вредоносное ПО и другие виды киберугроз,
определение нормальной активности системы и ее компонентов, обнаружение аномальной и подозрительной активности, которая может указывать на угрозы безопасности,
централизованное хранение журналов событий для последующего анализа и аудита,
отправка оповещений и уведомлений для быстрой диагностики и реагирования на инциденты безопасности. SIEM осуществляет мониторинг: журнала приложений, активности пользователей, целостности файлов, системы и журнала устройств.
SIEM-системы могут собирать данные о событиях безопасности из различных источников, используя четыре основных метода: через специальные приложения, напрямую из файлов с логами, напрямую с сетевых устройств или с помощью протоколов потоковой передачи данных, таких как SNMP, Netflow или IPFIX.
В качестве источников информации для SIEM-решений могут выступать различные системы и устройства, включая антивирусные программы, системы авторизации и аутентификации, межсетевые экраны, журналы сетевого оборудования, серверов и рабочих станций, контроллеры домена, системы обнаружения и предотвращения вторжений, системы предотвращения утечки информации и решения для контроля активов и инвентаризации.
Внедрение SIEM-системы позволяет достичь высокой полной автоматизации процесса выявления угроз, что существенно повышает эффективность работы политики информационной безопасности. Благодаря SIEM, специалисты могут сосредоточиться на действительно критических и важных угрозах, а не тратить время на анализ отдельных событий. Это позволяет своевременно выявлять аномалии и риски, предотвращать
финансовые потери и повышать общий уровень безопасности и эффективности работы компании [3].
СПИСОК ЛИТЕРАТУРЫ:
1. SIEM (Security information and event management) / Encyclopedia by Kaspersky [Электронный ресурс] — URL: https://encyclopedia.kaspersky.ru/glossary/siem/ (дата обращения 18.08.2024);
2. SIEM — управление событиями и инцидентами информационной безопасности/ Cloud Networks [Электронный ресурс] — URL: https://cloudnetworks.ru/inf-bezopasnost/siem-log-management/ (дата обращения 19.08.2024);
3. Быков А.А. SIEM СИСТЕМА - УНИВЕРСАЛЬНЫЙ ИНСТРУМЕНТ СЛУЖБЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ // СОВРЕМЕННЫЕ ИННОВАЦИИ № 6(20) 2017. - С. 46-48. (дата обращения 20.08.2024)
Perekotii Z.A., Demkin D.A.
Perekotii Z.A.
Don State Technical University (Rostov-on-Don, Russia)
Demkin D.A.
Don State Technical University (Rostov-on-Don, Russia)
ROLE OF SIEM SYSTEMS IN INFORMATION SECURITY
Abstract: article examines the role of SIEM systems in ensuring information security of organizations. SIEM systems are an integrated solution that combines the functions of security event management and security information management. The article describes the scheme of operation of the SIEM system, key functions and methods of data collection.
Keywords: information security, SIEM systems, security events.
