SIEM (Security information and event management) у комп'ютерній безпеці є програмними продуктами, які об'єднують управління інформаційною безпекою SIM (англ. Security information management) та [en] SEM (англ. Security event management). Технологія SIEM забезпечує аналіз в реальному часі подій (тривог) безпеки, отриманих від мережевих пристроїв і додатків. SIEM представлено додатками, приладами або послугами, і використовується також для журналювання даних і генерації звітів в цілях сумісності з іншими бізнес-даними.
Постачальники продають SIEM як програмне забезпечення, як прилади або як керовані послуги; ці продукти також використовуються для реєстрації даних безпеки та створення звітів для цілей відповідності.
Огляд
Акроніми SEM, SIM і SIEM іноді використовуються в контексті взаємозамінності. Сегмент систем управління безпекою, що має справу з моніторингом в реальному часі, кореляцією подій, оголошеннями і відображенням на кінцевих пристроях зазвичай називають управлінням подіями (SEM). Друга область забезпечує довготривале зберігання, аналіз і звітність за накопиченими даними відома як управління ІБ (security information management — SIM). У міру зростання потреб у додаткових можливостях безперервно розширюється і доповнюється функціональність даної категорії продуктів. Організації орієнтуються на системи великих даних, таких як Apache Hadoop, для збільшення можливостей SIEM через збільшення сховищ даних та більш гнучної аналітики. Наприклад, потреба голосової орієнтації або vSIEM (англ. (voice security information and event management)) є свіжим прикладом розвитку у цьому напрямку.
Поняття управління подіями інформаційної безпеки (SIEM), введене Марком Николеттом і Амритом Вільямсом з компанії Gartner в 2005 р., описує
- можливості продукту по збору, аналізу та поданню інформації від мережевих пристроїв і пристроїв безпеки,
- додатків ідентифікації (управління обліковими даними) і управління доступом,
- інструментів підтримки політики безпеки і відстеження вразливостей, операційних систем, баз даних та журналів додатків,
- відомостей про зовнішні загрози.
Основна увага приділяється управлінню привілеями користувачів і служб, служб каталогів і іншим змінам конфігурації, а також забезпечення аудиту та огляду журналів, реакцій на інциденти.
Функціональність
- Агрегація даних: [en]; дані збираються з різних джерел: мережеві пристрої та сервіси, датчики систем безпеки, сервери, бази даних, програми; забезпечується консолідація даних з метою пошуку критичних подій.
- Кореляція: пошук спільних атрибутів, зв'язування подій у вагомі кластери. Технологія забезпечує застосування різних технічних заходів для інтеграції даних з різних джерел для перетворення вихідних даних в значущу інформацію. Кореляція є типовою функцією підмножини Security Event Management.
- Сповіщення: автоматизований аналіз корелюючих подій і генерація повідомлень (сигналів) про поточні проблеми. Оповіщення може виводитися на "приладову панель самого додатка, так і бути направлено в інші сторонні канали: e-mail, GSM-шлюз і т. ін.
- Засоби відображення (інформаційні панелі): відображення діаграм, які допомагають ідентифікувати патерни відмінні від стандартної поведінки.
- Сумісність (трансформування): застосування додатків для автоматизації збору даних, формування звітності для адаптації агрегованих даних до чинних процесів управління інформаційною безпекою та аудиту.
- Зберігання даних: застосування довготривалого зберігання даних в історичному порядку для кореляції даних за часом та для забезпечення трансформування. Довготривале зберігання даних критично для проведення комп'ютерно-технічних експертиз, оскільки розслідування мережевого інциденту, зазвичай, відбувається з часовою затримкою від моменту порушення.
- Експертний аналіз: можливість пошуку по безлічі журналів на різних вузлах; може виконуватися в рамках програмно-технічної експертизи.
Приклади використання
Дослідник комп'ютерної безпеки Кріс Кубечка визначив наступні випадки використання SIEM, представлені на хакерській конференції 28C3 ([en]).
- SIEM може виявити вразливість нульового дня та поліморфні віруси. Передусім це пов'язано з низькими показниками антивірусного виявлення проти цього типу швидкозмінних шкідливих програм.
- Автоматичний парсинг, нормалізація та класифікація журналів може відбуватися автоматично. Незалежно від типу комп'ютера або мережевого пристрою, аби пристрій міг журналювати події.
- Візуалізація з SIEM, разом з використанням подій безпеки та журналом збоїв, може допомогти у виявленні шаблонів.
- Протокол відхилень може вказати на неправильну конфігурацію або проблему безпеки. Що може бути виявлено з допомогою SIEM, якщо використовувати розпізнавання шаблонів, оповіщення та інформаційні панелі.
- SIEM може виявити секретні, шкідливі повідомлення та зашифровані канали.
- Кібератака може бути виявлена за допомогою SIEM з точністю, яка дозволяє визначити як нападника так і жертву.
Приклади оповіщень
Девід Свіфт (англ. David Swift) інституту SANS зазначив види діяльності, яку можна відстежувати та індивідуальні правила, які можуть бути створені для кореляції подій для запуску сповіщень за наявності певних умов отримані з різних журналів таких пристроїв як мережеве обладнання, безпекове обладнання, сервера та антивіруси. Деякі приклади індивідуальних правил для сповіщення за наявності певних подій включать правила автентифікації користувача, визначення атак і вторгнень. Пороги реагування налаштовуються на утворення (англ. Trigger) оповіщень небезпеки відповідно до кількості подій, що спостерігаються.
Правило | Мета | Тригер | Подія |
---|---|---|---|
Повторювана атака на логування | Вчасне попередження про атаки повного перебору, вгадування паролю та неправильної конфігурації застосунків. | Оповіщення при 3 і більше невдалих спробах залогінитись на хост протягом 1 хвилини. | Active Directory, Syslog (гости Unix Hosts, комутатори, маршрутизатори, VPN), RADIUS, TACACS, Monitored Applications. |
Повторювана атака на мережевий екран | Вчасне попередження про сканування, розповсюдження хробаків, тощо. | Оповіщення при 15 і більше відмов мережевого екрану одній IP-адресі за хвилину. | Мережеві екрани, комутатори та маршрутизатори. |
Повторювана мережева атака IPS | Вчасне попередження про сканування, розповсюдження хробаків, тощо. | Оповіщення при 7 і більше оповіщеннях від IDS від однієї IP-адреси за хвилину. | Пристрої виявлення та запобігання мережевого вторгнення |
Повторювана атака на хост IPS | Виявлення хостів, які можуть бути інфіковані або скомпрометовані (їх поведінка вказує на те, що вони інфіковані) | Оповіщення при 3 і більше оповіщеннях від однієї IP-адреси за 10 хвилин. | Оповіщення від HIPS (Host Intrusion Prevention System) |
Виявлення/видалення вірусів | Оповіщення коли вірус, шпигунське ПЗ або інше шкідливе ПЗ знайдено на хості | Попередження, коли один хост бачить ідентифікований шматок зловмисного ПЗ | Антивіруси, HIPS, Детектори аномальної поведінки в мережі/системі |
Виявлено вірус або шпигунське ПЗ, проте не вдалось його видалити | Попередження коли >1 години пройшло відтоді, як шкідливе ПЗ було виявлено, проте повідомлення про успішне видалення відсутнє | Попередження, коли один хост не зможе автоматично очистити шкідливе ПЗ протягом 1 години після його виявлення | Джерела подій: Firewall, NIPS, Антивірус, HIPS, Події не вдалого залогінювання |
Див. також
Примітки
- . Dr.Dobb's Journal. 5 лютого 2007. Архів оригіналу за 25 червня 2012. Процитовано 24 квітня 2018.
- Swift, David (26 грудня 2006). . SANS Institute. с. 3. Архів оригіналу (PDF) за 14 травня 2014. Процитовано 14 травня 2014.
...the acronym SIEM will be used generically to refer...
- Jamil, Amir (29 березня 2010). . Архів оригіналу за 3 лютого 2017. Процитовано 24 квітня 2018.
- . Архів оригіналу за 13 липня 2016.
- Hayes, Justin (6 травня 2015). . Cloudera Vision Blog. Архів оригіналу за 28 серпня 2016. Процитовано 13 липня 2016.
- Williams, Amrit (2 травня 2005). . Архів оригіналу за 26 червня 2018. Процитовано 9 квітня 2016.
Security information and event management (SIEM)
- Correlation [ 2014-10-19 у Wayback Machine.]
- Lane, Rich Mogull, Mike Rothman, Adrian. . securosis.com (англ.). Архів оригіналу за 26 липня 2018. Процитовано 2 травня 2018.
- . accelops.net. Архів оригіналу за 23 липня 2011. Процитовано 2 травня 2018.
{{}}
: Cite має пустий невідомий параметр:|df=
() - 2018 Data Breach Investigations Report | Verizon Enterprise Solutions. Verizon Enterprise Solutions (амер.). Архів оригіналу за 5 лютого 2013. Процитовано 2 травня 2018.
- . 29 грудня 2011. Архів оригіналу за 21 січня 2022. Процитовано 4 листопада 2017.
- Swift, David (2010). . SANS Institute. Архів оригіналу за 28 липня 2018.
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
SIEM Security information and event management u komp yuternij bezpeci ye programnimi produktami yaki ob yednuyut upravlinnya informacijnoyu bezpekoyu SIM angl Security information management ta en SEM angl Security event management Tehnologiya SIEM zabezpechuye analiz v realnomu chasi podij trivog bezpeki otrimanih vid merezhevih pristroyiv i dodatkiv SIEM predstavleno dodatkami priladami abo poslugami i vikoristovuyetsya takozh dlya zhurnalyuvannya danih i generaciyi zvitiv v cilyah sumisnosti z inshimi biznes danimi Postachalniki prodayut SIEM yak programne zabezpechennya yak priladi abo yak kerovani poslugi ci produkti takozh vikoristovuyutsya dlya reyestraciyi danih bezpeki ta stvorennya zvitiv dlya cilej vidpovidnosti OglyadAkronimi SEM SIM i SIEM inodi vikoristovuyutsya v konteksti vzayemozaminnosti Segment sistem upravlinnya bezpekoyu sho maye spravu z monitoringom v realnomu chasi korelyaciyeyu podij ogoloshennyami i vidobrazhennyam na kincevih pristroyah zazvichaj nazivayut upravlinnyam podiyami SEM Druga oblast zabezpechuye dovgotrivale zberigannya analiz i zvitnist za nakopichenimi danimi vidoma yak upravlinnya IB security information management SIM U miru zrostannya potreb u dodatkovih mozhlivostyah bezperervno rozshiryuyetsya i dopovnyuyetsya funkcionalnist danoyi kategoriyi produktiv Organizaciyi oriyentuyutsya na sistemi velikih danih takih yak Apache Hadoop dlya zbilshennya mozhlivostej SIEM cherez zbilshennya shovish danih ta bilsh gnuchnoyi analitiki Napriklad potreba golosovoyi oriyentaciyi abo vSIEM angl voice security information and event management ye svizhim prikladom rozvitku u comu napryamku Ponyattya upravlinnya podiyami informacijnoyi bezpeki SIEM vvedene Markom Nikolettom i Amritom Vilyamsom z kompaniyi Gartner v 2005 r opisuye mozhlivosti produktu po zboru analizu ta podannyu informaciyi vid merezhevih pristroyiv i pristroyiv bezpeki dodatkiv identifikaciyi upravlinnya oblikovimi danimi i upravlinnya dostupom instrumentiv pidtrimki politiki bezpeki i vidstezhennya vrazlivostej operacijnih sistem baz danih ta zhurnaliv dodatkiv vidomostej pro zovnishni zagrozi Osnovna uvaga pridilyayetsya upravlinnyu privileyami koristuvachiv i sluzhb sluzhb katalogiv i inshim zminam konfiguraciyi a takozh zabezpechennya auditu ta oglyadu zhurnaliv reakcij na incidenti FunkcionalnistAgregaciya danih en dani zbirayutsya z riznih dzherel merezhevi pristroyi ta servisi datchiki sistem bezpeki serveri bazi danih programi zabezpechuyetsya konsolidaciya danih z metoyu poshuku kritichnih podij Korelyaciya poshuk spilnih atributiv zv yazuvannya podij u vagomi klasteri Tehnologiya zabezpechuye zastosuvannya riznih tehnichnih zahodiv dlya integraciyi danih z riznih dzherel dlya peretvorennya vihidnih danih v znachushu informaciyu Korelyaciya ye tipovoyu funkciyeyu pidmnozhini Security Event Management Spovishennya avtomatizovanij analiz korelyuyuchih podij i generaciya povidomlen signaliv pro potochni problemi Opovishennya mozhe vivoditisya na priladovu panel samogo dodatka tak i buti napravleno v inshi storonni kanali e mail GSM shlyuz i t in Zasobi vidobrazhennya informacijni paneli vidobrazhennya diagram yaki dopomagayut identifikuvati paterni vidminni vid standartnoyi povedinki Sumisnist transformuvannya zastosuvannya dodatkiv dlya avtomatizaciyi zboru danih formuvannya zvitnosti dlya adaptaciyi agregovanih danih do chinnih procesiv upravlinnya informacijnoyu bezpekoyu ta auditu Zberigannya danih zastosuvannya dovgotrivalogo zberigannya danih v istorichnomu poryadku dlya korelyaciyi danih za chasom ta dlya zabezpechennya transformuvannya Dovgotrivale zberigannya danih kritichno dlya provedennya komp yuterno tehnichnih ekspertiz oskilki rozsliduvannya merezhevogo incidentu zazvichaj vidbuvayetsya z chasovoyu zatrimkoyu vid momentu porushennya Ekspertnij analiz mozhlivist poshuku po bezlichi zhurnaliv na riznih vuzlah mozhe vikonuvatisya v ramkah programno tehnichnoyi ekspertizi Prikladi vikoristannyaDoslidnik komp yuternoyi bezpeki Kris Kubechka viznachiv nastupni vipadki vikoristannya SIEM predstavleni na hakerskij konferenciyi 28C3 en SIEM mozhe viyaviti vrazlivist nulovogo dnya ta polimorfni virusi Peredusim ce pov yazano z nizkimi pokaznikami antivirusnogo viyavlennya proti cogo tipu shvidkozminnih shkidlivih program Avtomatichnij parsing normalizaciya ta klasifikaciya zhurnaliv mozhe vidbuvatisya avtomatichno Nezalezhno vid tipu komp yutera abo merezhevogo pristroyu abi pristrij mig zhurnalyuvati podiyi Vizualizaciya z SIEM razom z vikoristannyam podij bezpeki ta zhurnalom zboyiv mozhe dopomogti u viyavlenni shabloniv Protokol vidhilen mozhe vkazati na nepravilnu konfiguraciyu abo problemu bezpeki Sho mozhe buti viyavleno z dopomogoyu SIEM yaksho vikoristovuvati rozpiznavannya shabloniv opovishennya ta informacijni paneli SIEM mozhe viyaviti sekretni shkidlivi povidomlennya ta zashifrovani kanali Kiberataka mozhe buti viyavlena za dopomogoyu SIEM z tochnistyu yaka dozvolyaye viznachiti yak napadnika tak i zhertvu Prikladi opovishenDevid Svift angl David Swift institutu SANS zaznachiv vidi diyalnosti yaku mozhna vidstezhuvati ta individualni pravila yaki mozhut buti stvoreni dlya korelyaciyi podij dlya zapusku spovishen za nayavnosti pevnih umov otrimani z riznih zhurnaliv takih pristroyiv yak merezheve obladnannya bezpekove obladnannya servera ta antivirusi Deyaki prikladi individualnih pravil dlya spovishennya za nayavnosti pevnih podij vklyuchat pravila avtentifikaciyi koristuvacha viznachennya atak i vtorgnen Porogi reaguvannya nalashtovuyutsya na utvorennya angl Trigger opovishen nebezpeki vidpovidno do kilkosti podij sho sposterigayutsya Pravilo Meta Triger Podiya Povtoryuvana ataka na loguvannya Vchasne poperedzhennya pro ataki povnogo pereboru vgaduvannya parolyu ta nepravilnoyi konfiguraciyi zastosunkiv Opovishennya pri 3 i bilshe nevdalih sprobah zaloginitis na host protyagom 1 hvilini Active Directory Syslog gosti Unix Hosts komutatori marshrutizatori VPN RADIUS TACACS Monitored Applications Povtoryuvana ataka na merezhevij ekran Vchasne poperedzhennya pro skanuvannya rozpovsyudzhennya hrobakiv tosho Opovishennya pri 15 i bilshe vidmov merezhevogo ekranu odnij IP adresi za hvilinu Merezhevi ekrani komutatori ta marshrutizatori Povtoryuvana merezheva ataka IPS Vchasne poperedzhennya pro skanuvannya rozpovsyudzhennya hrobakiv tosho Opovishennya pri 7 i bilshe opovishennyah vid IDS vid odniyeyi IP adresi za hvilinu Pristroyi viyavlennya ta zapobigannya merezhevogo vtorgnennya Povtoryuvana ataka na host IPS Viyavlennya hostiv yaki mozhut buti infikovani abo skomprometovani yih povedinka vkazuye na te sho voni infikovani Opovishennya pri 3 i bilshe opovishennyah vid odniyeyi IP adresi za 10 hvilin Opovishennya vid HIPS Host Intrusion Prevention System Viyavlennya vidalennya virusiv Opovishennya koli virus shpigunske PZ abo inshe shkidlive PZ znajdeno na hosti Poperedzhennya koli odin host bachit identifikovanij shmatok zlovmisnogo PZ Antivirusi HIPS Detektori anomalnoyi povedinki v merezhi sistemi Viyavleno virus abo shpigunske PZ prote ne vdalos jogo vidaliti Poperedzhennya koli gt 1 godini projshlo vidtodi yak shkidlive PZ bulo viyavleno prote povidomlennya pro uspishne vidalennya vidsutnye Poperedzhennya koli odin host ne zmozhe avtomatichno ochistiti shkidlive PZ protyagom 1 godini pislya jogo viyavlennya Dzherela podij Firewall NIPS Antivirus HIPS Podiyi ne vdalogo zaloginyuvannyaDiv takozhRizik informacijna bezpeka en en Upravlinnya informacijnoyu bezpekoyuPrimitki Dr Dobb s Journal 5 lyutogo 2007 Arhiv originalu za 25 chervnya 2012 Procitovano 24 kvitnya 2018 Swift David 26 grudnya 2006 SANS Institute s 3 Arhiv originalu PDF za 14 travnya 2014 Procitovano 14 travnya 2014 the acronym SIEM will be used generically to refer Jamil Amir 29 bereznya 2010 Arhiv originalu za 3 lyutogo 2017 Procitovano 24 kvitnya 2018 Arhiv originalu za 13 lipnya 2016 Hayes Justin 6 travnya 2015 Cloudera Vision Blog Arhiv originalu za 28 serpnya 2016 Procitovano 13 lipnya 2016 Williams Amrit 2 travnya 2005 Arhiv originalu za 26 chervnya 2018 Procitovano 9 kvitnya 2016 Security information and event management SIEM Correlation 2014 10 19 u Wayback Machine Lane Rich Mogull Mike Rothman Adrian securosis com angl Arhiv originalu za 26 lipnya 2018 Procitovano 2 travnya 2018 accelops net Arhiv originalu za 23 lipnya 2011 Procitovano 2 travnya 2018 a href wiki D0 A8 D0 B0 D0 B1 D0 BB D0 BE D0 BD Cite web title Shablon Cite web cite web a Cite maye pustij nevidomij parametr df dovidka 2018 Data Breach Investigations Report Verizon Enterprise Solutions Verizon Enterprise Solutions amer Arhiv originalu za 5 lyutogo 2013 Procitovano 2 travnya 2018 29 grudnya 2011 Arhiv originalu za 21 sichnya 2022 Procitovano 4 listopada 2017 Swift David 2010 SANS Institute Arhiv originalu za 28 lipnya 2018