Менеджер событий безопасности

Управление событиями безопасности ( SEM ) и связанные с ним SIM и SIEM - это дисциплины компьютерной безопасности, которые используют инструменты проверки данных для централизации хранения и интерпретации журналов или событий, генерируемых другим программным обеспечением, работающим в сети. ^[1]^[2]^[3]

Обзор [ править ]

Аббревиатуры SEM , SIM и SIEM иногда используются взаимозаменяемо ^[4], но обычно относятся к разным основным направлениям продуктов:

Управление журналами. Сосредоточьтесь на простом сборе и хранении сообщений журнала и контрольных журналов ^[5]
Управление информацией о безопасности ( SIM ): долгосрочное хранение, а также анализ и создание отчетов для данных журнала.
Менеджер событий безопасности (SEM): мониторинг в реальном времени, корреляция событий, уведомлений и представлений консоли.
Информация о безопасности и управление событиями ( SIEM ): объединяет SIM и SEM и обеспечивает анализ в реальном времени предупреждений безопасности, генерируемых сетевым оборудованием и приложениями. ^[6]^[7]

На практике многие продукты в этой области будут иметь сочетание этих функций, поэтому часто будет некоторое совпадение - и многие коммерческие поставщики также продвигают свою собственную терминологию. ^{[ необходима цитата ]}

Журналы событий [ править ]

Многие системы и приложения, работающие в компьютерной сети, генерируют события, которые хранятся в журналах событий. Эти журналы по сути представляют собой списки произошедших действий, причем записи о новых событиях добавляются в конец журналов по мере их возникновения. Протоколы , такие как системный журнал и SNMP , могут использоваться для передачи этих событий по мере их возникновения в программное обеспечение для ведения журналов, которое не находится на том же хосте, на котором генерируются события. Лучшие SEM предоставляют гибкий набор поддерживаемых протоколов связи, что позволяет собирать самый широкий диапазон событий.

Отправлять все события в централизованную систему SEM выгодно по следующим причинам:

Доступ ко всем журналам можно обеспечить через единый центральный интерфейс.
SEM может обеспечить безопасное и надежное хранение и архивирование журналов событий (это также классическая функция управления журналами).
На SEM можно запустить мощные инструменты отчетности для поиска полезной информации в журналах.
События могут быть проанализированы по мере их попадания в SEM на предмет значимости, а предупреждения и уведомления могут быть немедленно отправлены заинтересованным сторонам, если это необходимо.
Связанные события, которые происходят в нескольких системах, могут быть обнаружены, что было бы очень сложно обнаружить, если бы каждая система имела отдельный журнал.
События, которые отправляются из системы в SEM, остаются в SEM, даже если отправляющая система выходит из строя или журналы в ней случайно или намеренно стерты.

Анализ безопасности [ править ]

Хотя централизованное ведение журнала существует уже давно, SEM являются относительно новой идеей, впервые предложенной в 1999 году небольшой компанией E-Security ^[8], и все еще быстро развиваются. Ключевой особенностью инструмента управления событиями безопасности является возможность анализировать собранные журналы для выделения интересующих событий или поведения, например, входа в систему администратора или суперпользователя., в нерабочее время. Это может включать прикрепление контекстной информации, такой как информация о хосте (значение, владелец, местоположение и т. Д.), Идентификационная информация (информация о пользователе, связанная с учетными записями, на которые ссылается событие, например, имя / фамилия, идентификатор рабочей силы, имя менеджера и т. Д.), и так далее. Эта контекстная информация может использоваться для обеспечения лучшей корреляции и возможностей отчетности и часто называется метаданными. Продукты могут также интегрироваться с внешними инструментами исправления, продажи билетов и рабочего процесса, чтобы помочь в процессе разрешения инцидентов. Лучшие SEM обеспечат гибкий, расширяемый набор возможностей интеграции, чтобы гарантировать, что SEM будет работать с большинством клиентских сред.

Нормативные требования [ править ]

Этот раздел нуждается в расширении . Вы можете помочь, добавив к нему . ( Май 2018 г. )

SEM часто продаются, чтобы удовлетворить нормативные требования США, такие как Sarbanes-Oxley , PCI-DSS , GLBA . ^{[ необходима цитата ]}

Стандартизация [ править ]

Одна из основных проблем в области SEM - сложность последовательного анализа данных о событиях. Каждый поставщик, а во многих случаях и разные продукты от одного поставщика, использует свой собственный формат данных о событиях и метод доставки. Даже в тех случаях, когда «стандарт» используется для некоторой части цепочки, такой как системный журнал , стандарты обычно не содержат достаточных руководств, чтобы помочь разработчикам в том, как генерировать события, администраторам в том, как их правильно и надежно собирать, и потребителям. эффективно их анализировать.

В попытке решить эту проблему предпринимаются параллельные усилия по стандартизации. Во-первых, Open Group обновляет свой стандарт XDAS 1997 года , который никогда не выходил за рамки чернового статуса. Это новое усилие, получившее название XDAS v2, будет пытаться формализовать формат события, включая то, какие данные должны быть включены в события и как они должны быть выражены. ^{[ необходима цитата ]} Стандарт XDAS v2 не будет включать стандарты доставки событий, но другие стандарты, разрабатываемые Целевой группой по распределенному управлению, могут предоставить оболочку.

Кроме того, MITER разработал усилия по унификации отчетов о событиях с Common Event Expression (CEE), который был несколько шире по своему охвату, поскольку пытался определить структуру событий, а также методы доставки. Однако в 2014 году проекту не хватило финансирования.

См. Также [ править ]

Управление инцидентами компьютерной безопасности
Управление информацией о безопасности
Сравнение систем сетевого мониторинга
Информация о безопасности и управление событиями

Ссылки [ править ]

^ "Архивная копия" . Архивировано из оригинала на 2014-10-19 . Проверено 17 июля 2013 .CS1 maint: заархивированная копия как заголовок ( ссылка ) SIEM
^ Подготовка к управлению событиями безопасности
^ Практическое применение SIM / SEM / SIEM для автоматизации идентификации угроз
↑ Свифт, Дэвид (26 декабря 2006 г.). «Практическое применение SIM / SEM / SIEM, автоматизация идентификации угроз» (PDF) . Институт SANS . п. 3 . Дата обращения 14 мая 2014 . ... аббревиатура SIEM будет использоваться для обозначения ...
^ http://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf
^ "SIEM: Обзор рынка" . Журнал доктора Добба. 5 февраля 2007 г.
^ Будущее SIEM - рынок начнет расходиться
^ "Novell покупает электронную безопасность" , 2006, ZDNet

Внешние ссылки [ править ]

SIEM Аналитика
Список лучших инструментов SIEM и диспетчера журналов событий

[1] "Архивная копия" . Архивировано из оригинала на 2014-10-19 . Проверено 17 июля 2013 .CS1 maint: заархивированная копия как заголовок ( ссылка ) SIEM

[2] Подготовка к управлению событиями безопасности

[3] Практическое применение SIM / SEM / SIEM для автоматизации идентификации угроз

[Generic-4] Свифт, Дэвид (26 декабря 2006 г.). «Практическое применение SIM / SEM / SIEM, автоматизация идентификации угроз» (PDF) . Институт SANS . п. 3 . Дата обращения 14 мая 2014 . ... аббревиатура SIEM будет использоваться для обозначения ...

[5] ttp://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf

[drdobbs2007-6] "SIEM: Обзор рынка" . Журнал доктора Добба. 5 февраля 2007 г.

[7] Будущее SIEM - рынок начнет расходиться

[8] "Novell покупает электронную безопасность" , 2006, ZDNet

[1]