CC BY
39
SIEM - СИСТЕМЫ УПРАВЛЕНИЯ СОБЫТИЯМИ БЕЗОПАСНОСТИ: ОБЗОР,
АНАЛИЗ
12 3
Джуракулов Т. Х. , Петросян А. А. , Логинова Л. Н.
1Джуракулов Темур Хайруллаевич - студент 2Петросян Арутюн Артурович - студент 3Логинова Людмила Николаевна- доцент, кандидат технических наук
Кафедра «Управление и защита информации», институт пути, строительства и сооружений Российского
университета транспорта (МИИТ), г. Москва
Аннотация: В работе представлен анализ систем SIEM на рынке и анализ необходимости этой системы в настоящее время.
Ключевые слова: Коллекторы, нормализация, агрегация событий, инцидент, угроза.
SIEM - SECURITY EVENT MANAGEMENT SYSTEMS: OVERVIEW, ANALYSIS
1 2 3
Dzhurakulov T. Kh. , Petrosyan H. A. , Loginova L. N.
1Dzhurakulov Temur Khairullaevich - student 2Petrosyan Harutyun Arturovich- student 3Loginova Lyudmila Nikolaevna- Associate Professor, Candidate of Technical Sciences DEPARTMENT OF INFORMATION MANAGEMENT AND PROTECTION, INSTITUTE OF ROAD, CONSTRUCTION AND STRUCTURES OF THE RUSSIAN UNIVERSITY OF TRANSPORT (MIIT), MOSCOW
Abstract: The paper presents an analysis of SIEM systems on the market and an analysis of the need for this system at the present time
Keywords: Collectors, normalization, aggregation of events, incident, threat.
Важность информационной безопасности невозможно переоценить. Увеличение числа инцидентов информационной безопасности означает, что предприятия больше, чем когда-либо подвергаются цифровым атакам. Компании должны следить за состоянием безопасности данных и быть готовыми реагировать на возникающие угрозы, а также обеспечивать безопасность своих данных [1].
SIEM - Security information and event management - система сбора, мониторинга и анализа событий безопасности в режиме реального времени и выявления инцидентов информационной безопасности. Главная задача системы - следить за состоянием IT-инфраструктуры и обнаруживать актуальные и потенциальные угрозы. Подобные задачи стоят в любой организации, т.к. в настоящее время организации построены с использованием информационных технологий [2].
Основной принцип работы любой SIEM системы делится на несколько этапов. В первую очередь происходит сбор событий от разнообразных источников данных, которые есть в защищаемой информационной системе. События поступают на коллекторы системы в «сыром», необработанном виде. Предварительно над ними производится операция фильтрации, т.е. отбрасываются ненужные события, которых не должно быть в SIEM.
Следующим шагом при обработке событий информационной безопасности является нормализация событий перед тем, как произвести запись в базу данных (БД). Под нормализацией понимается приведение всех событий к единому виду. В БД обязательно хранится сырое событие, в том виде в котором оно пришло в систему, фиксируется метка времени и ip-адрес, с которого получено данное событие.
Далее проводится агрегация событий - интересный и полезный момент (не все SIEM поддерживают эту функцию), который позволяет сократить количество «мусора» в логах. Агрегация представляет собой «схлопывание» нескольких одинаковых событий в одно. Агрегация наиболее эффективна для логов межсетевых экранов, веб серверов.
Следующим шагом после того, как события прошли агрегацию и были сохранены в базу данных, является корреляция событий — выявление инцидентов в потоке событий. Инцидентом может быть как одно событие, так и цепочка из последовательности событий. Любые типы события могут в ней участвовать, вне зависимости от того, к какому типу они относятся. Например, в одном правиле корреляции может быть задействованы события как от операционной системы, так и от средств защиты. В результате корреляции происходит формирование инцидента.
Когда инцидент сформирован, он записывается точно так же в базу данных, как и потоки информации. В дальнейшем автоматически или вручную происходит приоритезация этих инцидентов в зависимости от их рисков. События, приходящие от более критичных узлов информационной системы,
будут иметь высокий риск. Выставлять приоритеты может администратор вручную, если считает, что данный инцидент должен иметь более высокий статус.
Следующим шагом является оповещение учета инцидентов. Информация об инцидентах поступает к администратору безопасности посредством электронной почты, в виде СМС, а также выводится на экран мониторинга интерфейса системы.
В нынешних экономических и политических условиях рынок отечественных SIEM активно развивается. Поддерживая курс импортозамещения, российские компании адаптируют продукты к потребностям отечественных предприятий и организаций, подтверждают их соответствие требованием регуляторов, что в свою очередь повышает уровень доверия к российским средствам защиты в целом и к SIEM-системам в частности.
Одной из наиболее востребованных отечественных SIEM систем является НПО «Эшелон» КОМРАД. Преимуществами использования данной системы можно считать [3]:
• поддержка большого количества платформ;
• своевременное информирование и реагирование на различные виды угроз;
• возможность гибкой настройки;
• удаленное управление конфигурациями;
• сбор информации с нестандартных источников событий.
Исходя из вышеизложенного, можно с уверенностью сказать, что SIEM система помогает добиться нового уровня выявления угроз, что позволяет акцентировать внимание на важных угрозах и своевременно выявлять инциденты.
Список литературы/References
1. Региональные системы. Инжиниринговый центр. [Электронный ресурс]. Режим доступа: https://www.ec-rs.ru/(дата обращения: 08.09.2022)
2. НПО «ЭШЕЛОН». [Электронный ресурс]. Режим доступа: https://npo-echelon.ru/(дата обращения: 08.09.2022)
3. Информационная безопасность для профессионалов. [Электронный ресурс]. Режим доступа: https://www.anti-malware.ru/(дата обращения: 08.09.2022)
