Определение системы управления информацией о безопасности и событиями безопасности (SIEM-системы) было сформулировано сотрудниками аналитического агентства Gartner в 2005 году. Согласно определению, SIEM-система образца 2005 года должна сочетать в себе возможности сбора, анализа и представления информации, поступающей с сетевого оборудования и устройств обеспечения безопасности, средств контроля и управления доступом, операционных систем, баз данных и приложений, а также предоставлять инструменты управления уязвимостями и обеспечения соответствия стандартам и дополнять собранные данные информацией из внешних источников.

Однако за десять лет непрерывного развития SIEM-системы эволюционировали, и на сегодняшний день функции сбора, корреляции и анализа событий с различных устройств — только часть предлагаемых возможностей.

Сбор и хранение информации

Современные SIEM-системы включают и продолжают активно развивать функциональность сбора и обработки любой информации о состоянии и активности устройств, пользователей и приложений.

Большинство производителей включили в состав системы полноценный анализатор трафика на уровне приложений. Некоторые системы позволяют сканировать взаимодействия между виртуальными машинами внутри систем виртуализации, другие обладают возможностью анализа любого изменения в базах данных.

Данная информация используется как для статистического и поведенческого анализа, так и позволяет формировать отчеты и выборки по любому значимому параметру или значению.

Риски, активы и пользователи

Помимо стандартного представления информации о событиях с указанием IP-адреса, имени устройства и учетной записи пользователя, многие SIEM-системы предлагают дополнительный уровень абстракции. Вместо списка устройств система может определить бизнес-процесс или услугу, а вместо учетной записи указывает конкретного сотрудника организации.

Дополнительный функционал профилирования (учета) активов и расчета рисков подверженности угрозам на основе собранной информации позволяет максимально быстро и однозначно определить возможный ущерб для конкретного сервиса, конкретных сотрудников и организации в целом.

Информация из внешних источников

Кроме сбора информации внутри инфраструктуры организации, современные SEIM-системы поддерживают возможность обогащения информации из внешних источников. В качестве источников могут использоваться репутационные базы IP-адресов и доменных имен, базы известных уязвимостей и угроз, вирусов и вредоносных программ.

Реакция на события

Многие SIEM-системы обеспечивают возможность корректировки конфигураций устройств посредством триггерных сообщений. Однако некоторые системы поддерживают более глубокую интеграцию с устройствами обеспечения безопасности для автоматической и оперативной реакции на события.

Подводя черту

Использование SIEM-системы может обеспечить почти полный контроль и понимание событий и инцидентов, процессов и информационных взаимодействий в существующей инфраструктуре. А также предоставить возможности и инструменты для быстрого анализа и реагирования на события и значительного облегчить жизнь всем сотрудникам, ответственным за бесперебойную и безопасную работу бизнес-процессов организации.

Организации, которые уже используют SIEM-системы, могут повысить их эффективность и получить дополнительную пользу за счет внедрения и применения дополнительных компонентов.

Реклама