E-mail: mail@sibac.info
Телефон: 8-800-350-22-65
WhatsApp: 8-800-350-22-65
Telegram: sibac
Прием заявок круглосуточно
График работы офиса: с 9.00 до 18.00 Нск (5.00 - 14.00 Мск)
Главная Научные журналы Студенческий Выпуск №38(124) Статья

Статья опубликована в рамках: Научного журнала «Студенческий» № 38(124)

Рубрика журнала: Информационные технологии

Скачать книгу(-и): скачать журнал часть 1, скачать журнал часть 2, скачать журнал часть 3, скачать журнал часть 4

Библиографическое описание:
Юдаева М.В., Дроздова В.В. СИСТЕМА SIEM // Студенческий: электрон. научн. журн. 2020. № 38(124). URL: https://sibac.info/journal/student/124/193266 (дата обращения: 21.12.2024).

СИСТЕМА SIEM

Юдаева Маргарита Вячеславовна

студент, кафедра «Защита информации», Институт комплексной безопасности и специального приборостроения, Российский Технологический Университет,

РФ, г. Москва

Дроздова Владлена Владимировна

студент, кафедра «Защита информации», Институт комплексной безопасности и специального приборостроения, Российский Технологический Университет,

РФ, г. Москва

Security Information and Event Management (SIEM) – это система, собирающая информацию с целью дальнейшего анализа и классификации специалистом по информационной безопасности или администратором; программное решение, которое объединяет и анализирует активность из множества различных ресурсов во всей вашей ИТ-инфраструктуре. Изначально SIEM состояло из двух направлений: Security Information Management, которое отвечает за информационную безопасность, и Security Event Management, контролирующее события безопасности.

SIEM собирает данные безопасности с сетевых устройств, серверов, контроллеров домена и т. д. SIEM хранит, нормализует, агрегирует и применяет аналитику к этим данным для выявления тенденций, обнаружения угроз и предоставления организациям возможности исследовать любые предупреждения.

SIEM предоставляет группе реагирования на инциденты две основные возможности:

  • Отчетность и судебная экспертиза об инцидентах безопасности.
  • Оповещения на основе аналитики, соответствующие определенному набору правил, указывающие на проблему безопасности.

По своей сути SIEM – это агрегатор данных, система поиска и отчетности. SIEM собирает огромные объемы данных из всей сетевой среды, консолидирует и делает эти данные доступными для человека. С помощью данных, классифицированных и выложенных под рукой, можно исследовать нарушения безопасности данных с такой детализацией, с какой это необходимо.

Выделяется три критические возможности для SIEM:

  • Обнаружение угроз.
  • Расследование.
  • Время реагирования.

Есть и другие функции и функциональные возможности, которые обычно видно на рынке SIEM, в том числе:

  • Базовый мониторинг безопасности.
  • Расширенное обнаружение угроз.
  • Судебная экспертиза и реагирование на инциденты.
  • Коллекции журналов.
  • Нормализация.
  • Уведомления и оповещения.
  • Обнаружение инцидентов безопасности.
  • Рабочий процесс реагирования на угрозы.

Некоторые клиенты обнаружили, что им необходимо поддерживать два отдельных SIEM-решения, чтобы получить максимальную отдачу для каждой цели, поскольку SIEM может быть невероятно шумным и ресурсоемким: они обычно предпочитают одно для безопасности данных и одно для соответствия требованиям.

Помимо основного варианта использования SIEM для ведения журнала и управления журналами, предприятия используют свой SIEM для других целей. Один из альтернативных вариантов использования – помочь продемонстрировать соответствие таким правилам, как HIPAA, PCI, SOX и GDPR.

Инструменты SIEM также агрегируют данные, которые можно использовать для проектов управления производительностью. Возможно отслеживать пропускную способность и рост данных с течением времени, чтобы планировать рост и бюджетирование. В мире планирования потенциала данные играют ключевую роль, и понимание текущего использования и тенденций с течением времени позволяет управлять ростом и избегать больших капитальных затрат в качестве реакционной меры по сравнению с предотвращением.

Приложения SIEM не могут классифицировать данные как конфиденциальные или нечувствительные и поэтому не могут отличить санкционированную файловую активность от подозрительной активности, которая может нанести ущерб данным клиентов, интеллектуальной собственности или безопасности компании.

В конечном счете, SIEM-приложения способны работать только с теми данными, которые они получают. Без дополнительного контекста этих данных они часто остаются в погоне за ложными тревогами или другими незначительными проблемами. Контекст является ключевым в мире безопасности данных, чтобы знать, с чем необходимо бороться.

Самая большая проблема, которую обычно слышат от клиентов, когда они используют SIEM, заключается в том, что чрезвычайно трудно диагностировать и исследовать события безопасности. Объем низкоуровневых данных и большое количество оповещений вызывают эффект "иголки в стоге сена": пользователи получают оповещение, но часто им не хватает ясности и контекста, чтобы немедленно отреагировать на это оповещение.

 

Список литературы:

  1. Что такое SIEM? [Электронный ресурс]. – Режим доступа: https://www.securitylab.ru/analytics/430777.php (дата обращения 17.11.2020)
  2. SIEM: ответы на часто задаваемые вопросы [Электронный ресурс]. – Режим доступа: https://habr.com/ru/post/172389/ (дата обращения 18.11.2020)
  3. SIEM. Что это такое? [Электронный ресурс]. – Режим доступа: https://www.itbsgroup.ru/news/blog/siem-security/ (дата обращения 19.11.2020)

Оставить комментарий

Форма обратной связи о взаимодействии с сайтом
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.