ИСПОЛЬЗОВАНИЕ ВСПОМОГАТЕЛЬНОЙ ПОДПРОГРАММЫ ДЛЯ ОБОБЩЕНИЯ И ПОСЛЕДУЮЩЕГО АНАЛИЗА ДАННЫХ SIEM-СИСТЕМЫ

USAGE OF SUPPORTING SUBPROGRAMM FOR GENERALIZATION AND FOLLOWING ANALYSIS OF SIEM-SYSTEM'S DATA

Evgeniy Boldyrev

student, Department of Information Systems and Technologies, Northern (Arctic) Federal University named after M.V. Lomonosov,

Russia, Arkhangelsk

АННОТАЦИЯ

С развитием информационных технологий появляются новые уязвимости в операционных системах и программном обеспечении, которые активно используют злоумышленники для проведения различного рода атак.  Успешные атаки, как правило, приводят к нанесению значительного ущерба для компаний.

Для своевременного реагирования на такие инциденты информационной безопасности, применяются, в том числе, SIEM-системы, которые при помощи фильтрации, агрегации и корреляции событий позволяют своевременно реагировать на возникающие инциденты информационной безопасности.

Ввиду множества формируемых SIEM-системой событий информационной безопасности, SIEM-система не дает полную картину произошедших событий, что усложняет работу специалиста по информационной безопасности при проведении расследований таких инцидентов.

Для обобщения сведений об инцидентах информационной безопасности мной в данной статье рассматривается использование подпрограммы, формирующей карточки пользователей и устройств в доменной сети предприятия.

ABSTRACT

With the development of information technology, new vulnerabilities appear in operating systems and software that are actively used by attackers to conduct various kinds of attacks. Successful attacks tend to cause significant damage to companies.

For timely response to such information security incidents, SIEM systems are also used, which, through filtering, aggregation and correlation of events, allow timely response to emerging information security incidents.

Due to the many information security events generated by the SIEM system, the SIEM system does not provide a complete picture of the events that have occurred, which complicates the work of an information security specialist in investigating such incidents.

To summarize information about information security incidents, this article discusses the use of a subprogram that generates user and device cards in an enterprise’s domain network.

Ключевые слова: информационная безопасность, SIEM системы, инциденты, анализ данных, утечка.

Keywords: information security, SIEM system, incidents, data analysis, data breach.

Даже в веке информационных технологий не каждая компания имеет в своей структуре службу информационной безопасности, на которую возлагаются задачи выявления и предотвращения угроз информационной безопасности. Зачастую, эти функции возлагаются на нескольких специалистов предприятия.

В своей работе специалист в сфере информационной безопасности при анализе событий информационной безопасности, зафиксированных в SIEM-системе, выделяет атипичные события.

Событием ИБ является идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.

По данным Ростелекома в компании, где работает 1000–5000 человек, фиксируется за год 90 млн. событий ИБ, из которых лишь около тысячи — реальные инциденты.

Специалист в сфере ИБ, анализируя логи в SIEM-системе видит не само исходное событие, а его как минимум дважды искаженную модель, потерявшую достаточно много информации в результате нормализации. 

Таким образом, специалист в сфере ИБ зачастую не обладает полной информацией о событиях.

В рамках настоящей статьи для обобщения и последующего анализа данных SIEM-системы предлагается создание и применение подпрограммы.

Основной задачей подпрограммы является сбор данных от DHCP-сервера и контроллера домена в отельную базу данных, представляющую из себя совокупность уникальных пользователей, устройств и информации о них, выгружаемые через заданные промежутки времени.

При проведении нормализации большинства событий ИБ, можно выявить, что во многих из них присутствует объект и субъект события.

В данном случае, подпрограммой в базу данных будет вноситься наиболее значимая информация непосредственно об объектах и субъектах событий ИБ, которые представляют собой пользователей и устройства.

Таким образом, данная подпрограмма позволит получить полную картину произошедших событий, что еще больше оптимизирует работу специалиста по информационной безопасности при проведении расследований таких инцидентов.

Список литературы:

1. Шаханова М.В. Современные технологии информационной безопасности. М.: Проспект, 2017. – 216 с.