SIEM

SIEM (Security information and event management) у комп'ютерній безпеці є програмними продуктами, які об'єднують управління інформаційною безпекою SIM (англ. Security information management) та управління подіями безпеки^[en] SEM (англ. Security event management). Технологія SIEM забезпечує аналіз в реальному часі подій (тривог) безпеки, отриманих від мережевих пристроїв і додатків. SIEM представлено додатками, приладами або послугами, і використовується також для журналювання даних і генерації звітів в цілях сумісності з іншими бізнес-даними.

Постачальники продають SIEM як програмне забезпечення, як прилади або як керовані послуги; ці продукти також використовуються для реєстрації даних безпеки та створення звітів для цілей відповідності^[1].

Огляд

Акроніми SEM, SIM і SIEM іноді використовуються в контексті взаємозамінності^[2]. Сегмент систем управління безпекою, що має справу з моніторингом в реальному часі, кореляцією подій, оголошеннями і відображенням на кінцевих пристроях зазвичай називають управлінням подіями (SEM). Друга область забезпечує довготривале зберігання, аналіз і звітність за накопиченими даними відома як управління ІБ (security information management — SIM)^[3]. У міру зростання потреб у додаткових можливостях безперервно розширюється і доповнюється функціональність даної категорії продуктів. Організації орієнтуються на системи великих даних, таких як Apache Hadoop, для збільшення можливостей SIEM через збільшення сховищ даних та більш гнучної аналітики^[4]^[5]. Наприклад, потреба голосової орієнтації або vSIEM (англ. (voice security information and event management)) є свіжим прикладом розвитку у цьому напрямку.

Поняття управління подіями інформаційної безпеки (SIEM), введене Марком Николеттом і Амритом Вільямсом з компанії Gartner в 2005 р.^[6], описує

можливості продукту по збору, аналізу та поданню інформації від мережевих пристроїв і пристроїв безпеки,
додатків ідентифікації (управління обліковими даними) і управління доступом,
інструментів підтримки політики безпеки і відстеження вразливостей, операційних систем, баз даних та журналів додатків,
відомостей про зовнішні загрози.

Основна увага приділяється управлінню привілеями користувачів і служб, служб каталогів і іншим змінам конфігурації, а також забезпечення аудиту та огляду журналів, реакцій на інциденти^[3].

Функціональність

Агрегація даних: управління журналами даних^[en]; дані збираються з різних джерел: мережеві пристрої та сервіси, датчики систем безпеки, сервери, бази даних, програми; забезпечується консолідація даних з метою пошуку критичних подій.
Кореляція: пошук спільних атрибутів, зв'язування подій у вагомі кластери. Технологія забезпечує застосування різних технічних заходів для інтеграції даних з різних джерел для перетворення вихідних даних в значущу інформацію. Кореляція є типовою функцією підмножини Security Event Management.^[7]
Сповіщення: автоматизований аналіз корелюючих подій і генерація повідомлень (сигналів) про поточні проблеми. Оповіщення може виводитися на "приладову панель самого додатка, так і бути направлено в інші сторонні канали: e-mail, GSM-шлюз і т. ін.
Засоби відображення (інформаційні панелі): відображення діаграм, які допомагають ідентифікувати патерни відмінні від стандартної поведінки.^[8]
Сумісність (трансформування): застосування додатків для автоматизації збору даних, формування звітності для адаптації агрегованих даних до чинних процесів управління інформаційною безпекою та аудиту.^[9]
Зберігання даних: застосування довготривалого зберігання даних в історичному порядку для кореляції даних за часом та для забезпечення трансформування. Довготривале зберігання даних критично для проведення комп'ютерно-технічних експертиз, оскільки розслідування мережевого інциденту, зазвичай, відбувається з часовою затримкою від моменту порушення.^[10]
Експертний аналіз: можливість пошуку по безлічі журналів на різних вузлах; може виконуватися в рамках програмно-технічної експертизи.^[9]

Приклади використання

Дослідник комп'ютерної безпеки Кріс Кубечка визначив наступні випадки використання SIEM, представлені на хакерській конференції 28C3 (Chaos Communication Congress^[en])^[11].

SIEM може виявити вразливість нульового дня та поліморфні віруси. Передусім це пов'язано з низькими показниками антивірусного виявлення проти цього типу швидкозмінних шкідливих програм.
Автоматичний парсинг, нормалізація та класифікація журналів може відбуватися автоматично. Незалежно від типу комп'ютера або мережевого пристрою, аби пристрій міг журналювати події.
Візуалізація з SIEM, разом з використанням подій безпеки та журналом збоїв, може допомогти у виявленні шаблонів.
Протокол відхилень може вказати на неправильну конфігурацію або проблему безпеки. Що може бути виявлено з допомогою SIEM, якщо використовувати розпізнавання шаблонів, оповіщення та інформаційні панелі.
SIEM може виявити секретні, шкідливі повідомлення та зашифровані канали.
Кібератака може бути виявлена за допомогою SIEM з точністю, яка дозволяє визначити як нападника так і жертву.

Приклади оповіщень

Девід Свіфт (англ. David Swift) інституту SANS зазначив види діяльності, яку можна відстежувати та індивідуальні правила, які можуть бути створені для кореляції подій для запуску сповіщень за наявності певних умов отримані з різних журналів таких пристроїв як мережеве обладнання, безпекове обладнання, сервера та антивіруси. Деякі приклади індивідуальних правил для сповіщення за наявності певних подій включать правила автентифікації користувача, визначення атак і вторгнень. Пороги реагування налаштовуються на утворення (англ. Trigger) оповіщень небезпеки відповідно до кількості подій, що спостерігаються.^[12]

Правило	Мета	Тригер	Подія
Повторювана атака на логування	Вчасне попередження про атаки повного перебору, вгадування паролю та неправильної конфігурації застосунків.	Оповіщення при 3 і більше невдалих спробах залогінитись на хост протягом 1 хвилини.	Active Directory, Syslog (гости Unix Hosts, комутатори, маршрутизатори, VPN), RADIUS, TACACS, Monitored Applications.
Повторювана атака на мережевий екран	Вчасне попередження про сканування, розповсюдження хробаків, тощо.	Оповіщення при 15 і більше відмов мережевого екрану одній IP-адресі за хвилину.	Мережеві екрани, комутатори та маршрутизатори.
Повторювана мережева атака IPS	Вчасне попередження про сканування, розповсюдження хробаків, тощо.	Оповіщення при 7 і більше оповіщеннях від IDS від однієї IP-адреси за хвилину.	Пристрої виявлення та запобігання мережевого вторгнення
Повторювана атака на хост IPS	Виявлення хостів, які можуть бути інфіковані або скомпрометовані (їх поведінка вказує на те, що вони інфіковані)	Оповіщення при 3 і більше оповіщеннях від однієї IP-адреси за 10 хвилин.	Оповіщення від HIPS (Host Intrusion Prevention System)
Виявлення/видалення вірусів	Оповіщення коли вірус, шпигунське ПЗ або інше шкідливе ПЗ знайдено на хості	Попередження, коли один хост бачить ідентифікований шматок зловмисного ПЗ	Антивіруси, HIPS, Детектори аномальної поведінки в мережі/системі
Виявлено вірус або шпигунське ПЗ, проте не вдалось його видалити	Попередження коли >1 години пройшло відтоді, як шкідливе ПЗ було виявлено, проте повідомлення про успішне видалення відсутнє	Попередження, коли один хост не зможе автоматично очистити шкідливе ПЗ протягом 1 години після його виявлення	Джерела подій: Firewall, NIPS, Антивірус, HIPS, Події не вдалого залогінювання

Див. також

Ризик (інформаційна безпека)
Управління журналюванням^[en]
Управління подіями безпеки^[en]
Управління інформаційною безпекою

Примітки

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

Search