SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

SIEM - Security Information and Event Management

SIEM - Security Information and Event Management
05.12.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  

Руслан Рахметов, Security Vision




1.png

Рис. 1 – Эволюция SIEM


До того, как понятие SIEM было «узаконено» аналитиком Gartner, оно существовало в виде двух терминов и, соответственно, двух разных решений. SEM (Security Event Management) и SIM (Security Information Management) системы по отдельности предназначались для анализа событий ИБ «на лету» и для исторического анализа и поиска аномалий «в базе». В 2005 году одновременно с аналитическим обзором Гартнера объединённый термин SIEM упоминался на различных конференциях, например, NEbraskaCERT Conference, после чего класс решений стал широко востребован как единое окно для сбора и анализа данных, получаемых с сетевых устройств, контроллеров домена, операционных систем, баз данных и других прикладных систем ИБ и ИТ.


Сейчас зарождается SIEM второго поколения, который по факту является объединением со смежными решениями вроде Threat Intelligence и Behavior Analysis, дополняющими поиск инцидентов анализом индикаторов компрометации и алгоритмами машинного обучения. Вендоры ИБ развиваются, покупают смежные решения и поставляют больший функционал каждый год. Но поскольку TI, UBA/UEBA и другие решения существуют отдельно, мы будем рассматривать SIEM в изолированном исполнении. Такая классическая система предназначена для мониторинга событий, поиска инцидентов и аномалий как в режиме реального времени, так и в ретроспективе.


Стоит также отметить, что «сам по себе» рассматриваемый сегодня класс решений не может что-то защищать или остановить: события и инциденты продолжат происходить, но с высокой вероятностью будут обнаружены достаточно быстро, если SIEM настроена.


2.png

Рис. 2 – Решаемые задачи


Представим ситуацию, когда человек пытается зайти в чужой дом со своими ключами. Если допустить, что ключ подошёл, как в знаменитом фильме «Ирония судьбы, или С легким паром!» 1975 года, но человек имел злой умысел – он может что-то украсть. Тогда событие ИБ становится инцидентом, и хозяин дома должен об это узнать как можно скорее.


1. Информацию о попытках входа можно получить от консьержа, умного домофона, камеры в подъезде и других источников, но каждый из источников приходилось бы изучать отдельно, если бы SIEM не решали первую задачунормализацию данных и группировку. Коллекторы системы позволяют собрать все события в общий формат: NGFW одного производителя может записывать в отчёт “deny”, другого “discard”, третьего – “drop”, DLP разных вендоров посылают свои отчёты в разных формах, AV добавляет в поток событий свои отчёты и алерты и т.д. Если представить, что в едином приложении есть весь журнал посещений в удобном формате, то по аналогии можно представить интерфейс SIEM, в котором человек легко разберётся, что происходит.


2. SIEM система способна проанализировать попытки входа и предположить после перебора неудачных паролей, что несколько событий связаны и, возможно, кто-то пытается «забрутфорсить» дверь. Это вторая задача системы – корреляция событий в единую цепочку. Для ее решения происходит анализ логов вашей «двери» в режиме реального времени. Корреляция – чисто математическая задача, не будем углубляться в её детали и оставим это учёным. Конечно же, эффективность системы будет максимальной, когда она содержит соответствующую экспертизу в виде пакетов от разработчиков, поэтому производители предлагают их для своих пользователей.


3. В простейшем случае правила описаны в форматах RBR (Rule Based Reasoning) и анализируют триггеры, счётчики и возможные цепочки действий. Например, если человек заходит в свой интернет-банк в России, а через час попытка повторяется из Сербии – возможна попытка мошенничества, значит, сотрудник ИБ банка должен быть оповещён как можно скорее. Оповещения – это третья задача SIEM. При взаимодействии с IRP системами можно реализовать процесс, связанный не только с оповещениями, но и с автоматическим реагированием, когда средства защиты информации будут запускаться сами и защищать пользователя запуском EDR и двухфакторной аутентификацией (или звонком из банка с сотрудником экономической безопасности «на проводе»).


4. Теперь представим ситуацию без IRP или своевременного действия ИБ-специалиста – произошла утечка данных или кража их квартиры, как в кино. Скорее всего, настоящий жилец захочет обратиться в полицию, суд или страховую компанию за компенсацией потерь, но для этого нужно собрать побольше доказательств. SIEM способна предоставить всю необходимую доказательную базу, решая четвёртую задачу. Такой комплект доказательств будет пригодным как для внутренних расследований, так и в суде.


5. Пятая задача (не совсем очевидная) решается уже для компаний, которые хотят развивать свою защищённость. Сама SIEM система – обычно дорогостоящий продукт, который для работы требует и «крутого» «железа», но все не так плохо, как кажется на первый взгляд. Когда происходит много инцидентов, а компания несёт финансовые и репутационные потери, встаёт вопрос о дозакупке новых средств защиты. Бюджет на такие закупки поможет получить ретроспективный поиск и описание всех инцидентов за предыдущий год. При таком использовании система точно окупает себя и не только.


3.png

Рис. 3 – Архитектура SIEM-системы


Архитектурно решения данного класса устроены по-разному, поэтому постараемся собрать самый общий образ возможной SIEM-системы.


Самое главное и ресурсоёмкое – это серверная часть ПО. В ней функционируют коллекторы, корреляторы и база данных. Задача коллекторов - собирать данные от источников и проводить базовую группировку, удаление дубликатов и облегчение для работы второго звена. Сервер корреляции отвечает за понимание инцидентов и отсеивание простых событий от общего потока. Поток событий обычно рассчитывается заранее для оптимизации нагрузки, поэтому сайзинг описывается количеством событий в секунду (event per second, EPS). После определения инцидентов формируется оповещение либо через консоль управления (обычно веб-интерфейс), либо через другие средства коммуникации (самое частое – корпоративная электронная почта). Последний (не по значимости) серверный компонент – база данных. Её размеры и требования к дискам зависят от глубины хранения, определить которую может либо сам заказчик, либо соответствующий регулятор.


Информацию можно собирать удалённо при помощи соединения по протоколам NetBIOS, RPC, TFTP, FTP. Однако в этом случае может возникнуть проблема с нагрузкой на сеть, которую решает клиентская часть ПО. «Агенты» устанавливаются на хосты пользователей и значимые сервера, собирают данные локально и передают в центр управления по своему расписанию. 


Таким способом SIM+SEM=SIEM осуществляют автоматизированный мониторинг событий от десятков, сотен и даже тысяч разных источников, нормализуют их отчёты и группируют в возможные инциденты, а также оповещают о них ответственные лица. Собираемая статистика и поиск по базе данных позволяют сформировать единые процессы по митигации последствий и реагированию на инциденты, дополнительную эффективность в которых добавят средства автоматизации и оркестрации.

Подкасты ИБ SIEM Управление ИБ

Рекомендуем

«Фишки» Security Vision: отчеты и аналитика
«Фишки» Security Vision: отчеты и аналитика
Нормативные документы по ИБ. Часть 13. Обзор российского законодательства в области ИБ финансовых организаций – продолжение
Нормативные документы по ИБ. Часть 13. Обзор российского законодательства в области ИБ финансовых организаций – продолжение
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Отчеты нового поколения
Отчеты нового поколения
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1
Не доверяй и семь раз проверяй: как устроен Zero Trust
Не доверяй и семь раз проверяй: как устроен Zero Trust
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Зачем и как отображать информацию: конструктор объектов
Зачем и как отображать информацию: конструктор объектов

Рекомендуем

«Фишки» Security Vision: отчеты и аналитика
«Фишки» Security Vision: отчеты и аналитика
Нормативные документы по ИБ. Часть 13. Обзор российского законодательства в области ИБ финансовых организаций – продолжение
Нормативные документы по ИБ. Часть 13. Обзор российского законодательства в области ИБ финансовых организаций – продолжение
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Отчеты нового поколения
Отчеты нового поколения
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1
Не доверяй и семь раз проверяй: как устроен Zero Trust
Не доверяй и семь раз проверяй: как устроен Zero Trust
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Зачем и как отображать информацию: конструктор объектов
Зачем и как отображать информацию: конструктор объектов

Похожие статьи

Обзор публикации NIST SP 800-210 "General Access Control Guidance for Cloud Systems"
Обзор публикации NIST SP 800-210 "General Access Control Guidance for Cloud Systems"
SD-WAN – оркестратор для сетей большого масштаба
SD-WAN – оркестратор для сетей большого масштаба
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
Безопасность переводов и оплаты товаров через СБП. Часть 1
Безопасность переводов и оплаты товаров через СБП. Часть 1
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Защита веб-приложений: WAF
Защита веб-приложений: WAF
Управление информационной безопасностью (ISO 27000)
Управление информационной безопасностью (ISO 27000)
Положение Банка России № 716-П и управление операционными рисками
Положение Банка России № 716-П и управление операционными рисками

Похожие статьи

Обзор публикации NIST SP 800-210 "General Access Control Guidance for Cloud Systems"
Обзор публикации NIST SP 800-210 "General Access Control Guidance for Cloud Systems"
SD-WAN – оркестратор для сетей большого масштаба
SD-WAN – оркестратор для сетей большого масштаба
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
Безопасность переводов и оплаты товаров через СБП. Часть 1
Безопасность переводов и оплаты товаров через СБП. Часть 1
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Защита веб-приложений: WAF
Защита веб-приложений: WAF
Управление информационной безопасностью (ISO 27000)
Управление информационной безопасностью (ISO 27000)
Положение Банка России № 716-П и управление операционными рисками
Положение Банка России № 716-П и управление операционными рисками