SIEM

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку

SIEM (Security information and event management) у комп'ютерній безпеці є програмними продуктами, які об'єднують управління інформаційною безпекою SIM (англ. Security information management) та управління подіями безпеки[en] SEM (англ. Security event management). Технологія SIEM забезпечує аналіз в реальному часі подій (тривог) безпеки, отриманих від мережевих пристроїв і додатків. SIEM представлено додатками, приладами або послугами, і використовується також для журналювання даних і генерації звітів в цілях сумісності з іншими бізнес-даними.

Постачальники продають SIEM як програмне забезпечення, як прилади або як керовані послуги; ці продукти також використовуються для реєстрації даних безпеки та створення звітів для цілей відповідності[en][1].

Огляд[ред. | ред. код]

Акроніми SEM, SIM і SIEM іноді використовуються в контексті взаємозамінності[2]. Сегмент систем управління безпекою, що має справу з моніторингом в реальному часі, кореляцією подій, оголошеннями і відображенням на кінцевих пристроях зазвичай називають управлінням подіями (SEM). Друга область забезпечує довготривале зберігання, аналіз і звітність за накопиченими даними відома як управління ІБ (security information management - SIM)[3]. У міру зростання потреб у додаткових можливостях безперервно розширюється і доповнюється функціональність даної категорії продуктів. Організації орієнтуются на системи великих даних, таких як Apache Hadoop, для збільшення можливостей SIEM через збільшення сховищ даних та більш гнучної аналітики[4][5]. Наприклад, потреба голосової орієнтації або vSIEM (англ. (voice security information and event management)) є свіжим прикладом розвитку у цьому напрямку.

Поняття управління подіями інформаційної безпеки (SIEM), введене Марком Николеттом і Амритом Вільямсом з компанії Gartner в 2005 р.[6], описує

  • можливості продукту по збору, аналізу та поданню інформації від мережевих пристроїв і пристроїв безпеки,
  • додатків ідентифікації (управління обліковими даними) і управління доступом,
  • інструментів підтримки політики безпеки і відстеження вразливостей, операційних систем, баз даних та журналів додатків,
  • відомостей про зовнішні загрози.

Основна увага приділяється управлінню привілеями користувачів і служб, служб каталогів і іншим змінам конфігурації, а також забезпечення аудиту та огляду журналів, реакцій на інциденти[3].

Функціональність[ред. | ред. код]

  • Агрегація даних: управління журналами даних[en]; дані збираються з різних джерел: мережеві пристрої та сервіси, датчики систем безпеки, сервери, бази даних, програми; забезпечується консолідація даних з метою пошуку критичних подій.
  • Кореляція: пошук спільних атрибутів, зв'язування подій у вагомі кластери. Технологія забезпечує застосування різних технічних заходів для інтеграції даних з різних джерел для перетворення вихідних даних в значущу інформацію. Кореляція є типовою функцією підмножини Security Event Management.[7]
  • Сповіщення: автоматизований аналіз корелюючих подій і генерація повідомлень (сигналів) про поточні проблеми. Оповіщення може виводитися на "приладову панель самого додатка, так і бути направлено в інші сторонні канали: e-mail, GSM-шлюз і т. ін.
  • Засоби відображення (інформаційні панелі): відображення діаграм, які допомагають ідентифікувати патерни відмінні від стандартної поведінки.[8]
  • Сумісність (трансформування)[en]: застосування додатків для автоматизації збору даних, формування звітності для адаптації агрегованих даних до чинних процесів управління інформаційною безпекою та аудиту.[9]
  • Зберігання даних: застосування довготривалого зберігання даних в історичному порядку для кореляції даних за часом та для забезпечення трансформування. Довготривале зберігання даних критично для проведення комп'ютерно-технічних експертиз, оскільки розслідування мережевого інциденту, зазвичай, відбувається з часовою затримкою від моменту порушення.[10]
  • Експертний аналіз: можливість пошуку по безлічі журналів на різних вузлах; може виконуватися в рамках програмно-технічної експертизи.[9]

Приклади використання[ред. | ред. код]

Дослідник комп'ютерної безпеки Кріс Кубечка визначив наступні випадки використання SIEM, представлені на хакерській конференції 28C3 (Chaos Communication Congress[en])[11].

  • SIEM може виявити вразливість нульового дня та поліморфні віруси. Передусім це пов'язано з низькими показниками антивірусного виявлення проти цього типу швидкозмінних шкідливих програм.
  • Автоматичний парсинг, нормалізація та класифікація журналів може відбуватися автоматично. Незалежно від типу комп'ютера або мережевого пристрою, аби пристрій міг журналювати події.
  • Візуалізація з SIEM, разом з використанням подій безпеки та журналом збоїв, може допомогти у виявленні шаблонів.
  • Протокол відхилень може вказати на неправильну конфігурацію або проблему безпеки. Що може бути виявлено з допомогою SIEM, якщо використовувати розпізнавання шаблонів, оповіщення та інформаційні панелі.
  • SIEM може виявити секретні, шкідливі повідомлення та зашифровані канали.
  • Кібератака може бути виявлена за допомогою SIEM з точністю, яка дозволяє визначити як нападника так і жертву.

Приклади оповіщень[ред. | ред. код]

Девід Свіфт (англ. David Swift) інституту SANS зазначив види діяльності, яку можна відстежувати та індивідуальні правила, які можуть бути створені для кореляції подій для запуску сповіщень за наявності певних умов отримані з різних журналів таких пристроїв як мережеве обладнання, безпекове обладнання, сервера та антивіруси. Деякі приклади індивідуальних правил для сповіщення за наявності певних подій включать правила автентифікації користувача, визначення атак і вторгнень. Пороги реагування налаштовуються на утворення (англ. Trigger) оповіщень небезпеки відповідно до кількості подій, що спостерігаються.[12]

Правило Мета Трігер Подія
Повторювана атака на логування Вчасне попередження про атаки повного перебору, вгадування паролю та неправильної конфігурації застосунків. Оповіщення при 3 і більше невдалих спробах залогінитись на хост протягом 1 хвилини. Active Directory, Syslog (хости Unix Hosts, комутатори, маршрутизатори, VPN), RADIUS, TACACS, Monitored Applications.
Повторювана атака на мережевий екран Вчасне попередження про сканування, розповсюдження хробаків, тощо. Оповіщення при 15 і більше відмов мережевого екрану одній IP-адресі за хвилину. Мережеві екрани, комутатори та маршрутизатори.
Повторювана мережева атака IPS Вчасне попередження про сканування, розповсюдження хробаків, тощо. Оповіщення при 7 і більше оповіщеннях від IDS від однієї IP-адреси за хвилину. Пристрої виявлення та запобігання мережевого вторгнення
Повторювана атака на хост IPS Виявлення хостів, які можуть бути інфіковані або скомпрометовані (їх поведінка вказує на те, що вони інфіковані) Оповіщення при 3 і більше оповіщеннях від однієї IP-адреси за 10 хвилин. Оповіщення від HIPS (Host Intrusion Prevention System)
Виявлення/видалення вірусів Оповіщення коли вірус, шпигунське ПЗ або інше шкідливе ПЗ знайдено на хості Попередження, коли один хост бачить ідентифікований шматок зловмисного ПЗ Антивіруси, HIPS, Детектори аномальної поведінки в мережі/системі
Виявлено вірус або шпигунське ПЗ, проте не вдалось його видалити Попередження коли >1 години пройшло відтоді, як шкідливе ПЗ було виявлено, проте повідомлення про успішне видалення відсутнє Попередження, коли один хост не зможе автоматично очистити шкідливе ПЗ протягом 1 години після його виявлення Джерела подій: Firewall, NIPS, Антивірус, HIPS, Події не вдалого залогінювання

Див. також[ред. | ред. код]

Примітки[ред. | ред. код]

  1. SIEM: A Market Snapshot. Dr.Dobb's Journal. 5 February 2007. 
  2. Swift, David (26 December 2006). A Practical Application of SIM/SEM/SIEM, Automating Threat Identification (PDF). SANS Institute. с. 3. Процитовано 14 May 2014. «...the acronym SIEM will be used generically to refer...» 
  3. а б Jamil, Amir (29 March 2010). The difference between SEM, SIM and SIEM. 
  4. Cybersecurity at petabyte scale. 
  5. Hayes, Justin (6 May 2015). Cybersecurity and the Big Yellow Elephant. Cloudera Vision Blog. Процитовано 13 July 2016. 
  6. Williams, Amrit (2005-05-02). Improve IT Security With Vulnerability Management. Процитовано 2016-04-09. «Security information and event management (SIEM)» 
  7. Correlation Архівовано 2014-10-19 у en:Wayback Machine.
  8. Lane, Rich Mogull, Mike Rothman, Adrian. Securosis - Blog - Understanding and Selecting SIEM/LM: Use Cases, Part 1. securosis.com (en). Процитовано 2018-05-02. 
  9. а б Compliance Management and Compliance Automation – How and How Efficient, Part 1. accelops.net. Архів оригіналу за 2011-07-23. Процитовано 2018-05-02.  Проігноровано невідомий параметр |dead-url= (довідка)
  10. 2018 Data Breach Investigations Report | Verizon Enterprise Solutions. Verizon Enterprise Solutions (en-US). Процитовано 2018-05-02. 
  11. 28c3: Security Log Visualization with a Correlation Engine. December 29, 2011. Процитовано November 4, 2017. 
  12. Swift, David (2010). Successful SIEM and Log Management Strategies for Audit and Compliance. SANS Institute.