2022/09/12 20:43:39

Security Information and Event Management (SIEM)

Security Information and Event Management (SIEM) - Управление информацией и событиями в системе безопасности - общее название программных продуктов, ранее используемых по отдельности друг от друга, категории SIM (Security Information Management - управление информацией в системе безопасности) и SEM (Security Event Management - управление событиями в системе безопасности).

Содержание

Программные продукты категории SIEM способны анализировать состояние информационной безопасности в ИТ-системах, в реальном времени, генерировать оповещения, реагировать на работу сетевого оборудования и приложений.

Общая задача продуктов этой категории: помощь компаниям в вопросе оперативного реагирования на совершаемые атаки, инциденты в системах безопасности и упорядочение сведений, обрабатываемых в рамках этой задачи.

Рынок SIEM

2021: SIEM-системами в России были оснащены только от 14% до 25% компаний

Компания «СёрчИнформ» 12 сентября 2022 года сообщила о проведении исследования практического применения систем мониторинга и управления событиями информационной безопасности (SIEM) в российском бизнесе. В опросе приняли участие 300 коммерческих, государственных и некоммерческих организаций из разных отраслей экономики.

По данным «СёрчИнформ», SIEM-системами в 2021 году были оснащены только от 14% до 25% компаний. Основной акцент во время опроса делался на проблемы эксплуатации и внедрения систем, в т.ч. на субъектах КИИ (58% опрошенных), где применение софта фактически обязательно.Как Threat Intelligence помогает бизнесу бороться с таргетированными кибератаками 3.4 т

Как показал опрос, две трети из них не оснащены SIEM-системой.

Представители некоторых субъектов КИИ заявляют, что не нуждаются в системах мониторинга событий. Например, большинство (56%) респондентов из здравоохранения заявляют об отсутствии задач для SIEM в своих организациях и не знают, что внедрять такие системы их как субъекты КИИ обязывают нормативные требования. Среди всех опрошенных об отсутствии задач для SIEM заявили 19% компаний.

Еще 12% участников опроса уверены, что имеющиеся у них средства ИБ вполне компенсируют отсутствие SIEM. Это субъективные оценки: на деле у организаций практически нет инструментов, которые потенциально могли бы составить альтернативу SIEM и решать схожие задачи. Так, например, SOC/SOAR используют 6% опрошенных, EDR/XDR – 3%. Лучше ситуация со сканерами уязвимостей, они установлены в 47% компаний. Однако даже этот инструмент в отдельности не отвечает всем задачам по оперативному мониторингу угроз.

*можно было выбрать несколько вариантов ответа

Но главные причины, которые тормозят внедрения – это отсутствие бюджетов, сложность внедрения и отсутствие кадров для работы с SIEM.

37% опрошенных сообщили, что считают SIEM слишком дорогой – они не смогли найти средства на закупку и отказались от идеи. Даже среди компаний, где SIEM установлена, 47% назвали согласование бюджета на закупку самой большой сложностью, связанной с решением.

Ситуацию усложняет то, что эксплуатация SIEM может предполагать дополнительные затраты: на профильного специалиста для работы с ней, для оплаты технической поддержки и доработок, на расширение числа лицензий, если они рассчитываются по пиковому трафику (число событий от источников в единицу времени), а лимиты были превышены.

Совокупно более 70% респондентов считают работу с SIEM сложной – опасаются чрезмерных трудозатрат на внедрение, настройку и кастомизацию. Для 14% опрошенных компаний без SIEM потенциальные трудозатраты на внедрение стали главной причиной отказа от закупки.

Те компании, которые уже владеют системой, жалуются на сложности кастомизации. Недостаточно функционала, доступного «из коробки»: готовых коннекторов для подключения источников не хватает трети, правил корреляции, т.е. вычленения инцидента – 17% респондентов. Справиться с проблемой самостоятельно удается только 46% компаний, большинство же прибегает к помощи вендоров и интеграторов. Это наглядно демонстрирует еще одну проблему – нехватку компетентных кадров для работы с SIEM.

Для каждой пятой организации отсутствие профильных специалистов послужило причиной для отказа от закупки решения. На нехватку кадров пожаловались и 58% компаний, где SIEM уже внедрена.

*можно было выбрать несколько вариантов ответа, % от числа компаний с SIEM

Исследование показало, что только 11% компаний смогли выделить для работы с SIEM профильного специалиста. В подавляющем большинстве случаев это дополнительная нагрузка на ИБ-специалистов.

*можно было выбрать несколько вариантов ответа, % от числа компаний с SIEM

При всех сложностях никто из респондентов не сомневается в эффективности SIEM – даже те, у кого решение не внедрено, признают его пользу. Компании понимают, что это важная система, чтобы противостоять растущему количеству угроз – для 41% владельцев решения это стало главным мотиватором внедрения. Другая популярная причина, почему компании решаются на закупку – расширение инфраструктуры и наличие в ней специфических источников, например, отечественного ПО и оборудования (40%). Еще 36% на это мотивируют требования регулятора.

«
Широкое внедрение SIEM тормозит скорее имидж этого класса продуктов как «дорогих и сложных», предназначенных исключительно для крупных компаний. Однако на деле все зависит от конкретного решения. Так, идеальная SIEM, судя по нашему опросу, должна быть недорогой на старте и в эксплуатации, с хорошим функционалом и соответствующей требованиям регуляторов. SIEM регулярно используют не только ИТ-специалисты, но и специалисты других профилей, которые могут не иметь специальной подготовки администратора или разработчика. Поэтому большинство респондентов рассчитывают на расширенную поддержку вендора: помощь в обучении, доступ к базе знаний, помощь в кастомизации и настройке системы. В этом смысле разворот рынка к отечественным SIEM заказчикам только на руку: российские разработчики ближе к клиенту и лучше понимают его запрос, – отметил системный аналитик «СёрчИнформ» Павел Пугач.

»

*можно было выбрать несколько вариантов ответа

2020: Positive Technologies назвала главные технологические тренды развития SIEM-систем

Наиболее перспективными направлениями, которые помогут SIEM-системам лучше выявлять киберинциденты и предотвращать их последствия, эксперты Positive Technologies назвали развитие экспертизы в области управления системой, автоматизацию реагирования на инциденты, расширение возможностей SIEM за счет технологий анализа трафика, анализа происходящего на конечных узлах, мониторинга поведения пользователей и сущностей, а также использование облачных вычислений как источника данных и предоставления SIEM по сервисной (as a service) модели.

В числе технологий, влияющих на развитие SIEM-систем, специалисты Positive Technologies отметили развитие экспертизы в области управления системой. Последние 15 лет о SIEM принято говорить как о средстве для сбора логов с разных систем и средств корреляции, а анализ собранных массивов данных ограничивается маппингом правил корреляции по матрице MITRE ATT&CK. Для повышения качества мониторинга событий безопасности SIEM этого недостаточно: нужны правила нормализации, способы настройки источников, пакеты с правилами обнаружения угроз, инструкции по активации источников, описания правил детектирования, рекомендации о том, что делать, если сработало правило. Доля покрытия этой технологии (глубина проникновения) составляет 50―60%, качество реализации — среднее (3 балла).

Еще один тренд развития SIEM-систем ― это автоматизация реагирования на инциденты. Согласно проведенному Positive Technologies опросу, 25% специалистов по ИБ проводят в SIEM-системе от двух до четырех часов ежедневно. К наиболее трудоемким задачам участники опроса отнесли работу с ложными срабатываниями (донастройку правил корреляции) и разбор инцидентов: их отметили 58% и 52% респондентов соответственно. У 30% специалистов по ИБ много времени отнимают настройка источников данных и отслеживание их работоспособности. Этот тренд дает толчок развитию SIEM-систем в область другого класса продуктов — SOAR. Доля покрытия технологии составляет 60–70%, а качество реализации — 3.

Третий тренд связан с конвергенцией технологий анализа трафика (NTA-систем), логов (SIEM) и происходящего на конечных узлах (EDR). Без глубокого анализа сети и возможностей EDR мониторинг не будет полным. В ближайшие три года анализ трафика будет рассматриваться как обязательное условие будущего SIEM, а анализ событий на конечных узлах — как дополняющая функциональная возможность. Покрытие технологии 60–70%, качество реализации — 2 балла.

Стремление получить на одном экране единую картину происходящего в инфраструктуре будет способствовать добавлению к возможностям SIEM инструментов UEBA — поведенческого анализа пользователей и сущностей (процессов, узлов сети, сетевых активностей). Главное отличие SIEM от UEBA в том, что SIEM-система выступает в качестве своего рода конструктора для сбора логов, а решение UEBA строит поведенческие модели. Алгоритмы поиска и обработки аномалий могут включать различные методы: статистический анализ, машинное обучение (machine learning), глубокое обучение (deep learning) и др., которые подсказывают оператору, какие пользователи и сущности в сети стали вести себя нетипично и почему это поведение для них нетипично. Это четвертая технология, покрытие которой оценивается в 70―80%, а качество реализации на 4 балла.

Пятое направление развития SIEM-систем связано с облаками. Согласно исследованию, проведенному Enterprise Strategy Group по заказу Dell Technologies и Intel, в 2019 г. примерно две трети (64%) предприятий планировали увеличить расходы на публичные облачные платформы по сравнению с предшествующим годом. Такой подход, с одной стороны, заставляет вендоров добавлять самые популярные облачные сервисы (AWS, Google Cloud Platform, Microsoft Azure) в список поддерживаемых SIEM источников — за счет подключения коннекторов к облакам а с другой, научиться и самим предоставлять SIEM по модели as a service — посредством добавления специфичных для облачной инфраструктуры способов разворачивания, конфигурирования и дирижирования SIEM (виртуальных, облачных аплайнсов). По экспертным оценкам Positive Technologies, доля покрытия этой технологии составляет 60―70%, а качество реализации — 3 балла.

2017 Данные Gartner

Gartner оценивает затраты в мире в 2017 году на ПО SIEM – около $2,4млрд[1]. Исследовательская компания предсказывает рост затрат на SIEM до уровня около $2,6млрд – в 2018 году, $3,4 млрд – в 2021 году.

2009-2015 годы (прогноз Frost & Sullivan)

Стоит отметить, что из года в год SIEM-системы делают значимые шаги вперед, становясь необходимым ИТ-инструментом современных предприятий. Связано это прежде всего с двумя векторами, по которым идет развитие ИТ-технологий в целом: централизацией и виртуализацией. SIEM-системы централизуют хранение информации о событиях, происходящих в ИТ-инфраструктуре, и управление ею, также многие производители предлагают версии, доступные для развертывания в виртуальной среде.

По отчету аналитического агентства Frost & Sullivan за 2011 год, мировой рынок SIEM-решений с 2009 по 2015 год возрастет практически вдвое.

Рисунок 3. Мировой рынок SIEM

Положение дел на мировом рынке вполне проецируется на российский рынок.

Рисунок 4. Российский рынок SIEM

2012

Основные игроки на рынке:

По результатам проведенного исследования с привлечением специалистов, работающих в вендорах и дистрибьюторах решений SIEM, доли рынка распределились следующим образом.

Рисунок 1. Доли игроков на российском рынке

HP Arcsight одной из первых пришла на наш рынок и, несмотря на возрастающую конкуренцию, продолжает удерживать лидирующие позиции в своем сегменте.

Идущие следом вендоры предлагают широкую линейку продуктов, известную российскому рынку, имеют представительства, вкладываются в развитие своих продуктов, что в совокупности приводит к росту продаж и увеличению доли рынка.

К «другим» относятся такие вендоры, как Splunk и Tibco Loglogic, имеющие качественные продукты и специализирующиеся исключительно на SIEM. Данные вендоры делают первые шаги на российском рынке, но ценовая политика, функционал и линейка, рассчитанная на организации любого размера, позволяют данным производителям рассчитывать на успешное продвижение.


Рисунок 2. Основные игроки рынка SIEM

Долгое время SIEM-системы могли позволить себе только крупные компании с хорошим годовым ИТ-бюджетом. Однако в последние годы появились системы all-in-one. В данных продуктах механизмы сбора, хранения, поиска, нормализации и корреляции информации реализованы в рамках одной коробки. Такие продукты, как HP ArcSight express, Tibco Loglogic MX, McAfee Nitro ESM, QRadar 2100 All-In-One Appliance, обеспечивают функционал SIEM, исходя из потребностей небольших и средних по величине компаний.

Также в этом году произошло много громких слияний. Это обусловлено тем, что изначально системы делились на SEM и SIM и, следовательно, тяготели к соответствующему функционалу, частично реализуя другой. В 2011–2012 годах крупные игроки SIEM-рынка старались максимально наполнить свои SIEM-системы функционалом SIM и SEM.

McAfee поглотила Nitro и усилила свою SIEM-систему функционалом SEM. Лидер рынка ИТ-технологий HP приобрел Arcsight, инвестируя новые средства в продукты этого вендора, с целью поддержания лидерства на рынке. В продукты IBM гармонично влился Q1 Radar, придя на смену устаревшей линейке Tivoli. Tibco приобрел Loglogic, внеся в функционал SIEM новые аналитические возможности, визуализируя все происходящее в сети и позволяя расследовать инциденты информационной безопасности в режиме реального времени.

2007

В 2007 году исследовательская компания IDC предсказала мировой рост рынка SIEM с $380 млн. до $873 млн. в 2010 году. RSA Security в то же время оценила ежегодное расширение рынка между 25% и 35%.

В 2007 году аналитики видели в перспективе развития SIEM-решений, что эта технология идеально подходит для реализации требований по соответствию (compliance), подготовки отчетов. Она помогает получить представление о внутренних и внешних угрозах ИТ-структурам. Продукты этой категории повышают эффективность взаимодействия людей и систем, содействуют сокращению расходов на администрирование. SIEM гибко управляется и может стать монетизируемым сервисом.

Задачи и функции SIEM

Аналитики Gartner считают, что сегодня компании сталкиваются с двумя важными проблемами при внедрении SIEM-решений: дефицит инвестиций на начальном этапе и в дальнейшем — поиск бюджета для использования новых возможностей системы для решения актуальных задач или покупки лишних функций, что в итоге приводит к переплатам поставщику за неиспользованное решение и техническое обслуживание.

Аналитики Gartner советуют руководителям отделов информационной безопасности и управления рисками придерживаться нескольких важных правил:

  • использовать CLM-инструменты (централизованный лог-менеджмент), чтобы следить за инцидентами безопасности даже в условиях ограниченного бюджета на внедрение SIEM;
  • использовать существующие информационные системы и инструменты для сбора и управления событиями информационной безопасности в компаниях среднего и малого бизнеса;
  • придерживаться поэтапного и многоуровнего подхода, используя CLM-инструменты при планировании внедрения SIEM-систем, чтобы избежать ненужных финансовых вложений в лишние функции и покупку неприоритетных дополнительных лицензий еще на старте работ;
  • использовать CLM-инструменты для лучшего управления инвестициями в SIEM, если в существующем инструменте нельзя масштабировать функции сбора и анализа информации из-за бюджетных ограничений.


Перечень задач для SIEM:

  • сбор информации, объединение, хранение журналов событий, получаемых из различных источников: сетевых устройств, приложений, логов ОС, средств и систем защиты
  • наличие инструментов анализа событий и разбора инцидентов безопасности
  • корреляция и обработка согласно правилам
  • автоматическое оповещение и управление инцидентами

Современные системы и продукты этой категории способны выявлять:

  • сетевые атаки во внутреннем и внешнем периметрах сети
  • вирусную активность или отдельные заражения, не удаленные вирусы, бэкдоры (backdoor) и троянцев
  • попытки несанкционированного доступа
  • фрод и мошенничество
  • ошибки и сбои в работе информационных систем
  • уязвимости
  • ошибки конфигураций в средствах защиты и информационных системах

Этапы использования SIEM-SOC

Наиболее часто российскими пользователями инструментов SIEM применяются готовые (разработанные вендорами) правила и отчеты, связанные с корреляцией событий в платформе Windows, в сетевом трафике, контролируемом протоколом NetFlow, связанные с контролем соответствия стандарту PCI DSS, а в последнее время также с контролем выполнения требований стандарта NERC CIP, относящегося к ИБ инфраструктуры энергоснабжения.

Следующим за внедрением и эксплуатацией систем SIEM логическим этапом повышения киберзащищенности для компаний является этап построения собственного центра мониторинга и реагирования на ИБ-инциденты (SOC), или обращение за услугами SOC к внешним провайдерам соответствующих услуг. Рынок SOC примерно двое моложе рынка SIEM. Еще моложе рынок коммерческих SOC, предоставляющих услуги по мониторингу и реагированию на инциденты ИБ[2].

Строить собственный SOC для компании имеет смысл, только если уровень зрелости ее корпоративной ИБ достаточно высок для того, чтобы добиться определенности в целях и режиме работы SOC, чтобы обеспечить документированность его функционирования, взаимодействие участников процессов SOC, управление этими процессами, оценку эффективности и, наконец, анализ результатов и его развитие. Нередко для компании оказывается правильнее положиться на компетенции провайдера услуг SOC.

Источники и правила SIEM

Универсальная логика работы продуктов SIEM требует наличия источников и правил корреляции, поскольку любое событие может быть подано для обработки SIEM.

Выбор источника определяется на основании факторов:

  • критичности (значимости) системы и информации
  • достоверности и информативности источника
  • охвата каналов передачи информации
  • спектра задач ИТ и ИБ (непрерывность, расследование инцидентов, соблюдение политик, предотвращение утечек информации и т.п.)

Эксперты по системам безопасности таким видят набор источников информации для SIEM:

  • системы контроля, аутентификации — для мониторинга контроля доступа к информационным системам и использования привилегий
  • журналы (логи) событий серверов и рабочих станций — для контроля доступа, обеспечения непрерывности, соблюдения политик информационной безопасности
  • активное сетевое оборудование (контроль изменений и доступа, параметров сетевого трафика)
  • IDS/IPS - системы обнаружения/предотвращения вторжения. События о сетевых атаках, изменение конфигураций и доступ к устройствам
  • антивирусная защита. События о работоспособности ПО, базах данных, изменении конфигураций и политик, вредоносных программах
  • сканеры уязвимостей. Инвентаризация активов, сервисов, программного обеспечения, уязвимостей, поставка инвентаризационных данных и топологической структуры
  • GRC-системы для учета рисков, критичности угрозы, определение приоритета инцидента
  • прочие системы защиты и контроля политик ИБ
  • системы инвентаризации и управления программными активами. С целью контроля активов в инфраструктуре и выявления новых
  • netflow и системы учета трафика

Примеры событий

  • Сетевые атаки
  • Фрод и мошенничество
  • Откуда и когда блокировались учетные записи
  • Изменение конфигураций «не админами»
  • Повышение привилегий
  • Выявление несанкционированных сервисов
  • Обнаружение НСД (вход под учетной записью уволенного сотрудника)
  • Отсутствие антивирусной защиты на новом установленном компьютере
  • Изменение критичных конфигураций с VPN подключений
  • Контроль выполняемых команд на серверах и сетевом оборудовании
  • Аудит изменений конфигураций (сетевых устройств, приложений, ОС)
  • Выполнение требований Законодательства и регуляторов (PCI СТО БР, ISO 27xx)
  • Аномальная активность пользователя (массовое удаление/копирование)
  • Обнаружение вирусной эпидемии
  • Обнаружение уязвимости по событию об установке софта
  • Оповещение об активной уязвимости по запуску ранее отключенной службы
  • Обнаружение распределенных по времени атаках
  • Влияние отказа в инфраструктуре на бизнес процессы

Компоненты SIEM

  • агенты, устанавливаемые на инспектируемую информационную систему (актуально для операционных систем (агент представляет собой резидентную программу (сервис, демон), которая локально собирает журналы событий и по возможности передает их на сервер)
  • коллекторы на агентах, которые, по сути, представляют собой модули (библиотеки) для понимания конкретного журнала событий или системы
  • серверы-коллекторы, предназначенные для предварительной аккумуляции событий от множества источников
  • сервер-коррелятор, отвечающий за сбор информации от коллекторов и агентов и обработку по правилам и алгоритмам корреляции
  • сервер баз данных и хранилища, отвечающий за хранение журналов событий


SIEM способен коррелировать:

  • известную, описанную правилами корреляции угрозу
  • угрозу на основе общего типового шаблона
  • аномалию в случае отклонения от основного направления в системе защиты
  • отклонение от политики по принципу «все, что не разрешено — запрещено» (это возможно не во всех SIEM)
  • причинно-следственную связь

Способы оптимизации издержек и производительности SIEM-систем

Системы управления событиями информационной безопасности (SIEM) часто выступают в качестве нервного центра корпоративных систем и становятся ключевой частью успешной ИБ-стратегии. Однако огромный объем данных, которые компании собирают, хранят и обрабатывают, быстро выходит из-под контроля. Он настолько велик, что приходится постоянно увеличивать свои бюджеты на SIEM или надеяться на то, что серьезные вирусные атаки обойдут стороной. Также необходимо помнить, что SIEM-системы главным образом хороши для анализа и составления отчетов на основе фундамента любой SIEM-системы — логов[3].

Оптимизацию SIEM-системы (для сокращения издержек или повышения эффективности) удобнее и продуктивнее всего организовать, повысив эффективность процесса управления логами. Следуя нашим советам, вы сможете улучшить работу SIEM-систем и упростить работу вашей службы безопасности.

Совет № 1. Избегайте проблем с совместимостью: качество анализа ИБ-событий напрямую зависит от качества исходных данных. Поскольку большинство организаций имеют самый разнообразный парк оборудования, среди инструментов для сбора и управления логами лучше выбрать те решения, которые имеют наиболее широкую поддержку разных форматов логов (включая простые текстовые файлы, файлы баз данных типа SQL, Oracle и SNMP-трапы, помимо привычных форматов syslog).

Совет № 2. Передавайте в SIEM только ценную информацию. Инструмент для «подачи» в SIEM информации должен также уметь обрабатывать и передавать структурированные и неструктурированные данные. Кроме этого, в его в распоряжении должны быть универсальные функции вроде фильтрации, парсинга, преобразования логов и их классификации. С таким набором характеристик вы будете направлять в SIEM только самую ценную информацию о событиях информационной безопасности. Таким образом, значительно сократятся расходы на оплату лицензии SIEM, основанной на количестве событий (реальные случаи эксплуатации говорят об экономии порядка 40% за год), и вы сможете предоставлять специалистам компактный и переформатированный поток журнальных данных для более легкого анализа.

Совет № 3. Обеспечьте соответствие хранения ваших логов регулирующим правилам по умолчанию. Преобразовывающие функции, такие как анонимизация и псевдонимизация, очень важны для соблюдения международных стандартов обращения с данными и обеспечения приватности, таких как PCI-DSS, HIPAA и новый GDPR в Евросоюзе.

Совет № 4. Сжимайте ваши логи при передаче по сети с узкой полосой пропускания. В зависимости от пропускной способности Интернета и интранета ваш инструмент для управления логами должен уметь работать даже в условиях очень ограниченной скорости соединения и передачи данных. Мгновенное сжатие логов может значительно уменьшить потребление трафика и ускорить работу центрального лог-сервера. Это увеличит скорость отклика на потенциальные риски безопасности или эксплуатации.

Совет № 5. Убедитесь в том, что теряете только «нулевые» логи. Что произойдет, если вы потеряете одно событие? Скорее всего, ничего, если это не будет единичным признаком происходящей утечки. Функции предотвращения потери сообщений — буферизация, поддержка доставки в виде автоматического переключения на резерв при сбое, контроль скорости передачи сообщений и подтверждение приема на уровне приложения — очень важны. Важно вовремя заметить, что неполученное сообщение сигнализирует о временном сбое инфраструктуры сбора логов или ее неспособности справиться с задачей.

Совет № 6. Богатый функционал должен поддерживаться высоко масштабируемой и надежной производительностью. Специализированные инструменты с устойчивыми к сбоям архитектурами могут обслуживать трафик от нескольких сотен сообщений до сотен тысяч событий в секунду. Здесь задействовано огромное количество движущихся элементов, зависимостей и переменных, но в самом общем случае, если вы не гигант вроде Amazon или Facebook, проблем с объемами обрабатываемых данных, даже при включенном активном индексировании, возникнуть не должно.

Совет № 7. Интегрируйте данные мониторинга действий привилегированных пользователей и поддерживайте их в актуальном состоянии. Хотя большинство действий пользователей оставляют след в логах, некоторые из них (особенно те, которые выполняют привилегированные пользователи через управляющие протоколы SSH или RDP) не находят отражение в журналах или данных аналитики SIEM. Интегрируя SIEM с решением для мониторинга привилегированных действий, вы сможете анализировать действия сотрудников, которые больше всего подвержены риску в режиме реального времени. Тем самым вы предотвратите кибератаки с самыми тяжелыми последствиями и нецелевое использование привилегированных учетных записей.

Совет № 8. Расставьте приоритеты SIEM-оповещений. Ваша компания получает слишком много логов? SIEM-система часто выдаёт ложно-положительные срабатывания? Небольшая команда безопасности перегружена работой и не в состоянии немедленно расследовать все случаи взлома? У любого профессионала в области безопасности есть только семь минут на работу с каждым SIEM-оповещением, чтобы найти источник утечки — будь то APT-атака или фишинговое письмо. Опираясь на уровень привилегий пользователя, активировавшего сигнал, и то, отличается ли его поведение в этой ситуации от обычной ежедневной деятельности, можно определить самые серьезные бреши в безопасности ИТ-инфраструктуры. Именно для этого ваша компания и внедрила SIEM-решение, чтобы значительно уменьшить время, необходимое для обнаружения, отклика и исследования потенциальных угроз и для возвращения предприятию состояния полной защиты.

Пример иерархии на основе SIEM

Отечественная компания предлагает собственную разработку.

Иерархическая система управления событиями ИБ на основе SIEM

Смотрите также: AMTSOC Сервисная модель SIEM

Смотрите также