Мониторинг событий ИБ (SIEM)

Что такое SIEM?

Количество средств ИБ, от которых поступают данные о событиях информационной безопасности стремительно растет, но уследить за уровнем безопасности организации становится все сложнее и сложнее, т.к. необходимо анализировать события каждого средства ИБ по отдельности, и только для этого необходимо иметь целый штат квалифицированных профильных специалистов.

Вне зависимости от количества уже внедренных СЗИ если своевременно не реагировать на возникающие угрозы информационной безопасности, то их эффективность стремится к нулю.

Правильным решением может стать внедрение SIEM.

Системы SIEM (Security information and event management) – это системы, позволяющие осуществлять:

	Сбор, хранение, анализ событий информационной безопасности
	Корреляцию собранных событий и обнаружение инцидентов ИБ
	Расследование и анализ инцидентов ИБ

Как работает SIEM?

SIEM – это платформа, которая позволяет собрать события от различных ИТ- и ИБ-устройств, которые уже развернуты в сети вашей организации:

Серверы и базы данных.
Контроллеры домена.
Рабочие станции.
Различные активные сетевые устройства.
Межсетевые экраны и IPS.
Средства антивирусной защиты.
Системы обнаружения и предотвращения утечек информации.
Любое другое устройство, расположенное в сети вашей организации.

Screen Shot 2018-07-24 at 17.52.45.png

Сбор событий осуществляется по протоколу Syslog посредством файлов журналов логов, через подключение к базе данных либо через специализированные протоколы.

С помощью настроенных нами правил корреляции (правил взаимосвязи событий) SIEM-система посредством заложенной математической логики сможет взаимосвязывать между собой события от различных устройств и выявлять инциденты ИБ, о которых Вы не подозревали ранее.

Для наглядности приведем простой пример

Допустим, в сети вашей организации произошло несколько несвязанных событий:

Загрузка CPU одной из рабочих станций пользователей выросла до 100%.
Вход в систему Windows.
Подключение Flash-накопителя к рабочей станции пользователя.
Сотрудник ушел в отпуск.

По отдельности только первое событие вызывает подозрение, однако благодаря SIEM-системе Вы сможете автоматически связать эти события в следующую логическую цепочку:

Вход в систему Wndows произошел из-под учетной записи сотрудника, который ушел в отпуск.
К данной рабочей станции злоумышленник подключил Flash-накопитель, после чего загрузка CPU возросла.
SIEM-система автоматически создает инцидент «Обнаружен майнер», хотя сигнатуры антивирусного программного обеспечения по какой-либо причине не сработали.

Связывание подобных событий в логическую цепочку по специально разработанным и настроенным правилам, позволяет SIEM-системе автоматически создавать инциденты ИБ и оперативно уведомлять об этом руководителя службы безопасности, например, по e-mail.

С какой целью используют SIEM-системы?

Возможность проведения оперативного расследования всех обстоятельств инцидентов по зарегистрированным различными системами событиям.
Снижение потерь в результате реализации рисков ИБ.
Обнаружение новых типов инцидентов, которые не детектируются другими средствами ИБ.
Внедрение процессов управления инцидентами.
Сокращение времени реагирования и повышение вероятности выявления инцидентов ИБ.
Оптимизация рабочего времени сотрудников.
Повышение эффективности работы подразделений ИБ за счет автоматизации деятельности их сотрудников в части выявления и реагирования на инциденты информационной безопасности.
Осуществление бизнес-разведки с целью определения степени лояльности сотрудников к компании.

Какие задачи решает SIEM-система?

Оперативное обнаружение, реагирование и контроль обработки инцидентов ИБ.
Возможность оперативного контроля состояния ИБ для руководства организации.
Создание единого центра мониторинга ИБ в организации.
Определение прав, обязанностей и разграничение зон ответственности персонала компании в области управления инцидентами ИБ.
Мониторинг соответствия отраслевым стандартам: PCI DSS, IT Governance, и другим.

Какие услуги мы оказываем?

Команда «Стайл Телеком» предлагает комплексный подход по внедрению SIEM-систем, включающий:

Консультации по выбору SIEM-системы.
Сравнение SIEM-систем различных производителей с целью выбора оптимального для вас решения.
Проведение пилота SIEM-системы на вашей территории (возможно использование как вашего, так и нашего оборудования).
Проведение всех стадий проектных работ (в том числе в соответствии с ГОСТ) в части внедрения SIEM системы.
Сопровождение внедренной SIEM-системы.

Наша команда имеет большой опыт внедрения SIEM-систем различных производителей: MicroFocus ArcSight, IBM QRadar, Positive Technologies MaxPatrol SIEM и др.