SIEM
SIEM (Security information and event management) у комп'ютерній безпеці є програмними продуктами, які об'єднують управління інформаційною безпекою SIM (англ. Security information management) та управління подіями безпеки[en] SEM (англ. Security event management). Технологія SIEM забезпечує аналіз в реальному часі подій (тривог) безпеки, отриманих від мережевих пристроїв і додатків. SIEM представлено додатками, приладами або послугами, і використовується також для журналювання даних і генерації звітів в цілях сумісності з іншими бізнес-даними.
Постачальники продають SIEM як програмне забезпечення, як прилади або як керовані послуги; ці продукти також використовуються для реєстрації даних безпеки та створення звітів для цілей відповідності[1].
Огляд[ред. | ред. код]
Акроніми SEM, SIM і SIEM іноді використовуються в контексті взаємозамінності[2]. Сегмент систем управління безпекою, що має справу з моніторингом в реальному часі, кореляцією подій, оголошеннями і відображенням на кінцевих пристроях зазвичай називають управлінням подіями (SEM). Друга область забезпечує довготривале зберігання, аналіз і звітність за накопиченими даними відома як управління ІБ (security information management — SIM)[3]. У міру зростання потреб у додаткових можливостях безперервно розширюється і доповнюється функціональність даної категорії продуктів. Організації орієнтуються на системи великих даних, таких як Apache Hadoop, для збільшення можливостей SIEM через збільшення сховищ даних та більш гнучної аналітики[4][5]. Наприклад, потреба голосової орієнтації або vSIEM (англ. (voice security information and event management)) є свіжим прикладом розвитку у цьому напрямку.
Поняття управління подіями інформаційної безпеки (SIEM), введене Марком Николеттом і Амритом Вільямсом з компанії Gartner в 2005 р.[6], описує
- можливості продукту по збору, аналізу та поданню інформації від мережевих пристроїв і пристроїв безпеки,
- додатків ідентифікації (управління обліковими даними) і управління доступом,
- інструментів підтримки політики безпеки і відстеження вразливостей, операційних систем, баз даних та журналів додатків,
- відомостей про зовнішні загрози.
Основна увага приділяється управлінню привілеями користувачів і служб, служб каталогів і іншим змінам конфігурації, а також забезпечення аудиту та огляду журналів, реакцій на інциденти[3].
Функціональність[ред. | ред. код]
- Агрегація даних: управління журналами даних[en]; дані збираються з різних джерел: мережеві пристрої та сервіси, датчики систем безпеки, сервери, бази даних, програми; забезпечується консолідація даних з метою пошуку критичних подій.
- Кореляція: пошук спільних атрибутів, зв'язування подій у вагомі кластери. Технологія забезпечує застосування різних технічних заходів для інтеграції даних з різних джерел для перетворення вихідних даних в значущу інформацію. Кореляція є типовою функцією підмножини Security Event Management.[7]
- Сповіщення: автоматизований аналіз корелюючих подій і генерація повідомлень (сигналів) про поточні проблеми. Оповіщення може виводитися на "приладову панель самого додатка, так і бути направлено в інші сторонні канали: e-mail, GSM-шлюз і т. ін.
- Засоби відображення (інформаційні панелі): відображення діаграм, які допомагають ідентифікувати патерни відмінні від стандартної поведінки.[8]
- Сумісність (трансформування): застосування додатків для автоматизації збору даних, формування звітності для адаптації агрегованих даних до чинних процесів управління інформаційною безпекою та аудиту.[9]
- Зберігання даних: застосування довготривалого зберігання даних в історичному порядку для кореляції даних за часом та для забезпечення трансформування. Довготривале зберігання даних критично для проведення комп'ютерно-технічних експертиз, оскільки розслідування мережевого інциденту, зазвичай, відбувається з часовою затримкою від моменту порушення.[10]
- Експертний аналіз: можливість пошуку по безлічі журналів на різних вузлах; може виконуватися в рамках програмно-технічної експертизи.[9]
Приклади використання[ред. | ред. код]
Дослідник комп'ютерної безпеки Кріс Кубечка визначив наступні випадки використання SIEM, представлені на хакерській конференції 28C3 (Chaos Communication Congress[en])[11].
- SIEM може виявити вразливість нульового дня та поліморфні віруси. Передусім це пов'язано з низькими показниками антивірусного виявлення проти цього типу швидкозмінних шкідливих програм.
- Автоматичний парсинг, нормалізація та класифікація журналів може відбуватися автоматично. Незалежно від типу комп'ютера або мережевого пристрою, аби пристрій міг журналювати події.
- Візуалізація з SIEM, разом з використанням подій безпеки та журналом збоїв, може допомогти у виявленні шаблонів.
- Протокол відхилень може вказати на неправильну конфігурацію або проблему безпеки. Що може бути виявлено з допомогою SIEM, якщо використовувати розпізнавання шаблонів, оповіщення та інформаційні панелі.
- SIEM може виявити секретні, шкідливі повідомлення та зашифровані канали.
- Кібератака може бути виявлена за допомогою SIEM з точністю, яка дозволяє визначити як нападника так і жертву.
Приклади оповіщень[ред. | ред. код]
Девід Свіфт (англ. David Swift) інституту SANS зазначив види діяльності, яку можна відстежувати та індивідуальні правила, які можуть бути створені для кореляції подій для запуску сповіщень за наявності певних умов отримані з різних журналів таких пристроїв як мережеве обладнання, безпекове обладнання, сервера та антивіруси. Деякі приклади індивідуальних правил для сповіщення за наявності певних подій включать правила автентифікації користувача, визначення атак і вторгнень. Пороги реагування налаштовуються на утворення (англ. Trigger) оповіщень небезпеки відповідно до кількості подій, що спостерігаються.[12]
| Правило | Мета | Тригер | Подія |
|---|---|---|---|
| Повторювана атака на логування | Вчасне попередження про атаки повного перебору, вгадування паролю та неправильної конфігурації застосунків. | Оповіщення при 3 і більше невдалих спробах залогінитись на хост протягом 1 хвилини. | Active Directory, Syslog (гости Unix Hosts, комутатори, маршрутизатори, VPN), RADIUS, TACACS, Monitored Applications. |
| Повторювана атака на мережевий екран | Вчасне попередження про сканування, розповсюдження хробаків, тощо. | Оповіщення при 15 і більше відмов мережевого екрану одній IP-адресі за хвилину. | Мережеві екрани, комутатори та маршрутизатори. |
| Повторювана мережева атака IPS | Вчасне попередження про сканування, розповсюдження хробаків, тощо. | Оповіщення при 7 і більше оповіщеннях від IDS від однієї IP-адреси за хвилину. | Пристрої виявлення та запобігання мережевого вторгнення |
| Повторювана атака на хост IPS | Виявлення хостів, які можуть бути інфіковані або скомпрометовані (їх поведінка вказує на те, що вони інфіковані) | Оповіщення при 3 і більше оповіщеннях від однієї IP-адреси за 10 хвилин. | Оповіщення від HIPS (Host Intrusion Prevention System) |
| Виявлення/видалення вірусів | Оповіщення коли вірус, шпигунське ПЗ або інше шкідливе ПЗ знайдено на хості | Попередження, коли один хост бачить ідентифікований шматок зловмисного ПЗ | Антивіруси, HIPS, Детектори аномальної поведінки в мережі/системі |
| Виявлено вірус або шпигунське ПЗ, проте не вдалось його видалити | Попередження коли >1 години пройшло відтоді, як шкідливе ПЗ було виявлено, проте повідомлення про успішне видалення відсутнє | Попередження, коли один хост не зможе автоматично очистити шкідливе ПЗ протягом 1 години після його виявлення | Джерела подій: Firewall, NIPS, Антивірус, HIPS, Події не вдалого залогінювання |
Див. також[ред. | ред. код]
- Ризик (інформаційна безпека)
- Управління журналюванням[en]
- Управління подіями безпеки[en]
- Управління інформаційною безпекою
Примітки[ред. | ред. код]
- ↑ SIEM: A Market Snapshot. Dr.Dobb's Journal. 5 лютого 2007. Архів оригіналу за 25 червня 2012. Процитовано 24 квітня 2018.
- ↑ Swift, David (26 грудня 2006). A Practical Application of SIM/SEM/SIEM, Automating Threat Identification. SANS Institute. с. 3. Архів оригіналу (PDF) за 14 травня 2014. Процитовано 14 травня 2014.
...the acronym SIEM will be used generically to refer...
- ↑ а б Jamil, Amir (29 березня 2010). The difference between SEM, SIM and SIEM. Архів оригіналу за 3 лютого 2017. Процитовано 24 квітня 2018.
- ↑ Cybersecurity at petabyte scale. Архів оригіналу за 13 липня 2016.
- ↑ Hayes, Justin (6 травня 2015). Cybersecurity and the Big Yellow Elephant. Cloudera Vision Blog. Архів оригіналу за 28 серпня 2016. Процитовано 13 липня 2016.
- ↑ Williams, Amrit (2 травня 2005). Improve IT Security With Vulnerability Management. Архів оригіналу за 26 червня 2018. Процитовано 9 квітня 2016.
Security information and event management (SIEM)
- ↑ Correlation [Архівовано 2014-10-19 у Wayback Machine.]
- ↑ Lane, Rich Mogull, Mike Rothman, Adrian. Securosis - Blog - Understanding and Selecting SIEM/LM: Use Cases, Part 1. securosis.com (англ.). Архів оригіналу за 26 липня 2018. Процитовано 2 травня 2018.
- ↑ а б Compliance Management and Compliance Automation – How and How Efficient, Part 1. accelops.net. Архів оригіналу за 23 липня 2011. Процитовано 2 травня 2018.
{{cite web}}: Cite має пустий невідомий параметр:|df=(довідка) - ↑ 2018 Data Breach Investigations Report | Verizon Enterprise Solutions. Verizon Enterprise Solutions (амер.). Архів оригіналу за 5 лютого 2013. Процитовано 2 травня 2018.
- ↑ 28c3: Security Log Visualization with a Correlation Engine. 29 грудня 2011. Архів оригіналу за 21 січня 2022. Процитовано 4 листопада 2017.
- ↑ Swift, David (2010). Successful SIEM and Log Management Strategies for Audit and Compliance. SANS Institute. Архів оригіналу за 28 липня 2018.