Информация о безопасности и управление событиями

Управление информацией и событиями безопасности ( SIEM ) - это подраздел в области компьютерной безопасности , где программные продукты и услуги сочетают в себе управление информацией безопасности (SIM) и управление событиями безопасности (SEM). Они обеспечивают анализ предупреждений безопасности, генерируемых приложениями и сетевым оборудованием, в режиме реального времени.

Продавцы продают SIEM как программное обеспечение, как устройства или как управляемые услуги; эти продукты также используются для регистрации данных о безопасности и создания отчетов для соответствия требованиям . ^[1]

Термин и инициализм SIEM были придуманы Марком Николеттом и Амрит Уильямс из Gartner в 2005 году ^[2].

Обзор [ править ]

Аббревиатуры SEM , SIM и SIEM иногда используются как взаимозаменяемые ^[3], но обычно относятся к разным основным направлениям продуктов:

Управление журналами. Сосредоточьтесь на простом сборе и хранении сообщений журнала и контрольных журналов ^[4]
Управление информацией о безопасности ( SIM ): долгосрочное хранение, а также анализ и создание отчетов для данных журнала. ^[5]
Менеджер событий безопасности ( SEM ): мониторинг в реальном времени, корреляция событий, уведомлений и представлений консоли.
Информация о безопасности и управление событиями (SIEM): объединяет SIM и SEM и обеспечивает анализ в реальном времени предупреждений безопасности, генерируемых сетевым оборудованием и приложениями. ^[1]^[6]
Управляемая служба безопасности: ( MSS ) или поставщик услуг управляемой безопасности: (MSSP): Наиболее распространенные управляемые службы, по-видимому, развиваются вокруг подключения и пропускной способности, мониторинга сети, безопасности, виртуализации и аварийного восстановления.
Безопасность как услуга ( SECaaS ) : эти услуги безопасности часто включают в себя аутентификацию , антивирус , защиту от вредоносного и шпионского ПО, обнаружение вторжений , тестирование на проникновение и управление событиями безопасности, среди прочего.

На практике многие продукты в этой области будут иметь сочетание этих функций, поэтому часто будет некоторое совпадение - и многие коммерческие поставщики также продвигают свою собственную терминологию. ^[7] Часто коммерческие поставщики предоставляют различные комбинации этих функций, которые позволяют улучшить SIEM в целом. Само по себе управление журналами не дает информации о сетевой безопасности в реальном времени, SEM сама по себе не предоставит полных данных для глубокого анализа угроз. Когда SEM и управление журналами совмещены, SIEM получает больше информации для мониторинга.

Основное внимание уделяется мониторингу и помощи в управлении привилегиями пользователей и служб, службами каталогов и другими ^{[ требуется пояснение ]} изменениями конфигурации системы; а также обеспечение аудита и анализа журналов, а также реагирование на инциденты. ^[5]

Возможности / компоненты [ править ]

Агрегация данных: управление журналами объединяет данные из многих источников, включая сеть, безопасность, серверы, базы данных, приложения, обеспечивая возможность консолидации отслеживаемых данных, чтобы помочь избежать пропуска важных событий.
Корреляция: ищет общие атрибуты и связывает события в значимые пакеты. Эта технология дает возможность применять различные методы корреляции для интеграции различных источников с целью превращения данных в полезную информацию. Корреляция обычно является функцией части управления событиями безопасности полного решения SIEM ^[8]
Оповещение: автоматический анализ коррелированных событий
Панели мониторинга: инструменты могут собирать данные о событиях и превращать их в информационные диаграммы, чтобы помочь увидеть закономерности или определить действия, которые не образуют стандартный образец.
Соответствие: приложения могут использоваться для автоматизации сбора данных о соответствии, создания отчетов, которые адаптируются к существующим процессам безопасности, управления и аудита. ^[9]
Хранение: использование длительного хранения исторических данных для облегчения корреляции данных с течением времени и обеспечения хранения, необходимого для соответствия требованиям. Долгосрочное хранение данных журнала имеет решающее значение для судебно-медицинских расследований, поскольку маловероятно, что обнаружение нарушения сети произойдет во время нарушения. ^[10]
Криминалистический анализ: возможность поиска в журналах на разных узлах и в разные периоды времени на основе определенных критериев. Это избавляет от необходимости собирать информацию журнала в голове или выполнять поиск в тысячах и тысячах журналов. ^[9]

Сценарии использования [ править ]

Исследователь компьютерной безопасности Крис Кубецка определил следующие варианты использования SIEM, представленные на хакерской конференции 28C3 ( Chaos Communication Congress ). ^[11]

Видимость SIEM и обнаружение аномалий могут помочь обнаружить код нулевого дня или полиморфный код . В первую очередь из-за низкого уровня обнаружения антивирусов для этого типа быстро меняющегося вредоносного ПО.
Анализ, нормализация журналов и категоризация могут происходить автоматически, независимо от типа компьютера или сетевого устройства, если они могут отправлять журнал.
Визуализация с помощью SIEM с использованием событий безопасности и ошибок журнала может помочь в обнаружении шаблонов.
Аномалии протокола, которые могут указывать на неправильную конфигурацию или проблему безопасности, могут быть идентифицированы с помощью SIEM с помощью обнаружения шаблонов, предупреждений, базовых показателей и информационных панелей.
SIEMS может обнаруживать скрытые, злонамеренные коммуникации и зашифрованные каналы.
Кибервойны могут быть точно обнаружены SIEM, обнаруживая как злоумышленников, так и жертв.

Примеры правил корреляции. [ редактировать ]

Системы SIEM могут иметь сотни и тысячи правил корреляции. Некоторые из них простые, а некоторые более сложные. После срабатывания правила корреляции система может предпринять соответствующие шаги для защиты от кибератаки. Обычно это включает отправку уведомления пользователю, а затем, возможно, ограничение или даже выключение системы. Согласно UTMStack , это одни из самых важных.

Обнаружение грубой силы [ править ]

Обнаружение грубой силы относительно прямолинейно. Грубое форсирование относится к постоянным попыткам угадать переменную. Чаще всего это относится к тому, кто пытается постоянно угадывать ваш пароль - вручную или с помощью инструмента. Однако это может относиться к попытке угадать URL-адреса или расположение важных файлов в вашей системе.

Автоматический брутфорс легко обнаружить, поскольку попытка ввести пароль 60 раз в минуту невозможна.

Невозможное путешествие [ править ]

Когда пользователь входит в систему, вообще говоря, он создает временную метку события. Помимо времени, система часто может записывать и другую полезную информацию, такую как используемое устройство, адрес GPS, IP-адрес, неправильные попытки входа в систему и т. Д. Чем больше данных собирается, тем больше возможностей можно использовать. Для невозможного путешествия система проверяет текущую и последнюю дату / время входа в систему и разницу между записанными расстояниями. Если он сочтет, что это невозможно, например, преодолев сотни миль за минуту, он выдаст предупреждение.

К сожалению, многие сотрудники и пользователи сейчас пользуются услугами VPN, поэтому это следует учитывать при настройке такого правила.

Чрезмерное копирование файлов [ править ]

Если вы думаете о своей повседневной деятельности, вы, скорее всего, не копируете и не перемещаете много файлов в своей системе. Следовательно, любое чрезмерное копирование файлов в системе может быть связано с желанием причинить вред вашей компании. К сожалению, это не так просто, как заявить, что кто-то получил доступ к вашей сети незаконно и хочет украсть конфиденциальную информацию. Это также может быть сотрудник, который хочет продать информацию о компании, или он может просто захотеть забрать домой какие-то файлы на выходные.

DDoS-атака [ править ]

Атака DDoS (распределенный отказ в обслуживании) вызовет проблемы практически для любой компании. DDoS-атака может не только отключить ваши веб-ресурсы, но и ослабить вашу систему. При наличии подходящих правил корреляции ваш SIEM должен вызывать предупреждение в самом начале атаки, чтобы вы могли принять необходимые меры предосторожности для защиты своих систем.

Изменение целостности файла [ править ]

Мониторинг целостности и изменений файлов (FIM) - это процесс мониторинга файлов в вашей системе. Неожиданные изменения в ваших системных файлах вызовут предупреждение, поскольку это вероятный признак кибератаки.

Модели [ править ]

Помимо правил корреляции, SIEM также может иметь модели. Модели несколько отличаются от правил корреляции, но при правильной реализации могут быть столь же полезными. Вместо использования однозначной корреляции модель требует выполнения ряда шагов, чтобы вызвать предупреждение. Обычно это означает первое правило, за которым следует аномальное поведение. Это может быть так же просто, как пользователь входит в систему из другого места, чем обычно, а затем выполняет передачу большого файла.

Это может быть чрезвычайно полезно, поскольку единичное событие не обязательно означает компрометацию серверов или сети организации, это может быть просто член команды, работающий из кафе для смены обстановки.

Обработка ложных срабатываний [ править ]

К сожалению, ложные срабатывания возникают во всех сферах жизни, и это верно для SIEM. Все инструменты и системы имеют возможность давать ложноположительный результат. Например, слишком много неудачных попыток входа в систему может означать, что сотрудник просто забыл свой пароль, а не кто-то пытается взломать систему. Важно, чтобы для любых инициированных событий предпринятые шаги были оправданными и принимали соответствующие меры, поскольку вы не хотите, чтобы сотрудники были заблокированы на несколько часов в таких сценариях. ^[12]

Примеры предупреждений [ править ]

Некоторые примеры настраиваемых правил для оповещения об условиях события включают правила аутентификации пользователей, обнаруженные атаки и обнаруженные инфекции. ^[13]

Правило	Цель	Спусковой крючок	Источники событий
Источник повторной атаки-входа	Раннее предупреждение об атаках методом грубой силы, подборе паролей и неправильно настроенных приложениях.	Оповещение о 3 или более неудачных попытках входа в систему за 1 минуту с одного хоста.	Active Directory, Syslog (хосты Unix, коммутаторы, маршрутизаторы, VPN), RADIUS, TACACS, отслеживаемые приложения.
Повторная атака-брандмауэр	Раннее предупреждение о сканировании, распространении червей и т. Д.	Оповещение о 15 или более событиях сброса / отклонения / отказа брандмауэра с одного IP-адреса за одну минуту.	Межсетевые экраны, маршрутизаторы и коммутаторы.
Система предотвращения вторжений в сеть с повторными атаками	Раннее предупреждение о сканировании, распространении червей и т. Д.	Оповещение о 7 или более оповещениях IDS с одного IP-адреса за одну минуту	Устройства обнаружения и предотвращения сетевых вторжений
Система предотвращения вторжений на хост с повторной атакой	Найдите хосты, которые могут быть заражены или скомпрометированы (демонстрируют поведение при заражении)	Оповещение о 3 или более событиях с одного IP-адреса за 10 минут	Оповещения системы предотвращения вторжений на хост
Обнаружение / удаление вирусов	Оповещать при обнаружении вируса, шпионского ПО или другого вредоносного ПО на хосте	Оповещать, когда один хост видит идентифицируемую вредоносную программу	Антивирус, HIPS, детекторы сетевых / системных поведенческих аномалий
Обнаружен вирус или шпионское ПО, но удалить его не удалось	Оповещать, когда с момента обнаружения вредоносного ПО в источнике прошло> 1 часа, а соответствующий вирус не был успешно удален	Оповещать, когда один хост не может автоматически очистить вредоносное ПО в течение 1 часа после обнаружения	Брандмауэр, NIPS, Антивирус, HIPS, События неудачного входа в систему

См. Также [ править ]

IT риск
Управление журналом
Менеджер событий безопасности
Управление информацией о безопасности

Ссылки [ править ]

^ a b «SIEM: обзор рынка» . Журнал доктора Добба. 5 февраля 2007 г.
^ Уильямс, Амрит (2005-05-02). «Повышение безопасности ИТ с помощью управления уязвимостями» . Проверено 9 апреля 2016 . Информация о безопасности и управление событиями (SIEM)
↑ Свифт, Джон (26 декабря 2006 г.). «Практическое применение SIM / SEM / SIEM, автоматизация идентификации угроз» (PDF) . Институт SANS . п. 3 . Дата обращения 14 мая 2014 . ... аббревиатура SIEM будет использоваться для обозначения ...
^ http://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf
^ a b Джамиль, Амир (29 марта 2010 г.). «Разница между SEM, SIM и SIEM» .
^ Будущее SIEM - рынок начнет расходиться
Перейти ↑ Bhatt, S. (2014). «Операционная роль систем безопасности информации и управления событиями». Конфиденциальность, безопасность и конфиденциальность, IEEE . 12 : 35–41.
^ Соотношение архивации 2014-10-19 в Wayback Machine
^ a b «Управление соответствием и автоматизация соответствия - Как и насколько эффективно, Часть 1» . Accelops.net . Архивировано из оригинала на 2011-07-23 . Проверено 2 мая 2018 .
^ «Отчет о расследовании утечки данных за 2018 год | Решения Verizon Enterprise» . Решения Verizon для предприятий . Проверено 2 мая 2018 .
^ «28c3: Визуализация журнала безопасности с помощью механизма корреляции» . 29 декабря 2011 . Проверено 4 ноября 2017 года .
^ https://utmstack.com/siem-correlation-rules/
^ Свифт, Джон (2010). «Успешные стратегии управления SIEM и журналами для аудита и соблюдения нормативных требований» . Институт SANS .

[drdobbs2007-1] «SIEM: обзор рынка» . Журнал доктора Добба. 5 февраля 2007 г.

[2] Уильямс, Амрит (2005-05-02). «Повышение безопасности ИТ с помощью управления уязвимостями» . Проверено 9 апреля 2016 . Информация о безопасности и управление событиями (SIEM)

[Generic-3] Свифт, Джон (26 декабря 2006 г.). «Практическое применение SIM / SEM / SIEM, автоматизация идентификации угроз» (PDF) . Институт SANS . п. 3 . Дата обращения 14 мая 2014 . ... аббревиатура SIEM будет использоваться для обозначения ...

[4] ttp://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf

[r1-5] Джамиль, Амир (29 марта 2010 г.). «Разница между SEM, SIM и SIEM» .

[6] Будущее SIEM - рынок начнет расходиться

[7] Перейти ↑ Bhatt, S. (2014). «Операционная роль систем безопасности информации и управления событиями». Конфиденциальность, безопасность и конфиденциальность, IEEE . 12 : 35–41.

[8] Соотношение архивации 2014-10-19 в Wayback Machine

[accelops.net-9] «Управление соответствием и автоматизация соответствия - Как и насколько эффективно, Часть 1» . Accelops.net . Архивировано из оригинала на 2011-07-23 . Проверено 2 мая 2018 .

[10] «Отчет о расследовании утечки данных за 2018 год | Решения Verizon Enterprise» . Решения Verizon для предприятий . Проверено 2 мая 2018 .

[11] «28c3: Визуализация журнала безопасности с помощью механизма корреляции» . 29 декабря 2011 . Проверено 4 ноября 2017 года .

[12] ttps://utmstack.com/siem-correlation-rules/

[13] Свифт, Джон (2010). «Успешные стратегии управления SIEM и журналами для аудита и соблюдения нормативных требований» . Институт SANS .

[1]