В работе представлен анализ систем SIEM на рынке и анализ необходимости этой системы в настоящее время.
Ключевые слова: коллекторы, нормализация, агрегация событий, инцидент, угроза, информационная безопасность, базы данных.
Важность информационной безопасности невозможно переоценить. Увеличение числа инцидентов информационной безопасности означает, что предприятия больше, чем когда-либо подвергаются цифровым атакам. Компании должны следить за состоянием безопасности данных и быть готовыми реагировать на возникающие угрозы, а также обеспечивать безопасность своих данных [1].
SIEM — Security information and event management — система сбора, мониторинга и анализа событий безопасности в режиме реального времени и выявления инцидентов информационной безопасности [2]. Главная задача системы — следить за состоянием IT-инфраструктуры и обнаруживать актуальные и потенциальные угрозы. Подобные задачи стоят в любой организации, т. к. в настоящее время организации построены с использованием информационных технологий.
Основной принцип работы любой SIEM системы делится на несколько этапов. В первую очередь происходит сбор событий от разнообразных источников данных, которые есть в защищаемой информационной системе. События поступают на коллекторы системы в «сыром», необработанном виде. Предварительно над ними производится операция фильтрации, т. е. отбрасываются ненужные события, которых не должно быть в SIEM [3].
Следующим шагом при обработке событий информационной безопасности является нормализация событий перед тем, как произвести запись в базу данных (БД). Под нормализацией понимается приведение всех событий к единому виду. В БД обязательно хранится сырое событие, в том виде в котором оно пришло в систему, фиксируется метка времени и ip-адрес, с которого получено данное событие. [4]
Далее проводится агрегация событий — интересный и полезный момент (не все SIEM поддерживают эту функцию), который позволяет сократить количество «мусора» в логах. Агрегация представляет собой «схлопывание» нескольких одинаковых событий в одно. Агрегация наиболее эффективна для логов межсетевых экранов, веб серверов.
Следующим шагом после того, как события прошли агрегацию и были сохранены в базу данных, является корреляция событий — выявление инцидентов в потоке событий. Инцидентом может быть как одно событие, так и цепочка из последовательности событий. Любые типы события могут в ней участвовать, вне зависимости от того, к какому типу они относятся. Например, в одном правиле корреляции может быть задействованы события как от операционной системы, так и от средств защиты. В результате корреляции происходит формирование инцидента.
Когда инцидент сформирован, он записывается точно так же в базу данных, как и потоки информации. В дальнейшем автоматически или вручную происходит приоритезация этих инцидентов в зависимости от их рисков. События, приходящие от более критичных узлов информационной системы, будут иметь высокий риск. Выставлять приоритеты может администратор вручную, если считает, что данный инцидент должен иметь более высокий статус.
Следующим шагом является оповещение учета инцидентов. Информация об инцидентах поступает к администратору безопасности посредством электронной почты, в виде СМС, а также выводится на экран.
Средства SIEM обеспечивают много преимуществ, которые помогают улучшить общее состояние корпоративной системы безопасности. К ним можно отнести централизованное представление с информацией о возможных угрозах, обнаружение угроз и реагирование на них в режиме реального времени и аудит соответствия нормативным требованиям и создание соответствующих отчетов.
Также стоит отметить, что за последнее десятилетие технология SIEM значительно усовершенствовалась благодаря искусственному интеллекту, что позволило более эффективно и быстро выявлять угрозы и реагировать на инциденты. [5]
Исходя из вышеизложенного, можно с уверенностью сказать, что SIEM — это важная часть корпоративной экосистемы кибербезопасности. Такая система обеспечивает централизованный сбор, агрегирование и анализ массивов данных в масштабах всего предприятий и позволяет эффективно оптимизировать рабочие процессы, связанные с безопасностью, управлять инцидентами, помогает добиться нового уровня выявления угроз, что позволяет акцентировать внимание на важных угрозах и своевременно выявлять инциденты.
Литература:
- Информационная безопасность. — Текст: электронный // Региональные системы. Инжиниринговый центр.: [сайт]. — URL: https://www.ec-rs.ru/ (дата обращения: 23.01.2023).
- Джуракулов, Т. Х. SIEM системы управления событиями безопасности: обзор, анализ / Т. Х. Джуракулов, А. А. Петросян, Л. Н. Логинова. — Текст: непосредственный // Вестник науки и образования. — 2022. — № 8 (128). — С. 18–20.
- Информационная безопасность. — Текст: электронный // Anti-Malware: [сайт]. — URL: https://www.anti-malware.ru/ (дата обращения: 23.01.2023).
- Принципы обеспечения информационной безопасности в социальных сетях/ Л. Н. Логинова, А. Д. Королев// Проблемы управления безопасностью сложных систем: Материалы XXX международной научно-практической конференции, Москва, 14 декабря 2022 года. — Москва: Институт проблем управления им. В. А. Трапезникова РАН, 2022. — С. 251–256. — DOI 10.25728/iccss.2022.61.81.037.
- Общие сведения о SIEM. — Текст: электронный // Microsoft: [сайт]. — URL: https://www.microsoft.com/ru-ru/security/business/security-101/what-is-siem (дата обращения: 23.01.2023).
