Что такое SIEM и как выбрать оптимальное решение для бизнеса

Опубликовано
Шеф-редактор коммерческого отдела
При выборе SIEM-решения стоит учитывать не только стоимость лицензий, но и считать TCO

Чем больше организация, тем больше сетевых событий происходит в ее IT-инфраструктуре. Как внешних, так и внутренних. И угроз тоже становится больше. Для того, чтобы контролировать огромный массив данных и не упустить угрозу безопасности критической для бизнеса информации, необходимо внедрять сложные комплексные системы отслеживания событий безопасности.

Так. Еще раз

Чтобы не только быстро отреагировать на угрозы, но и в перспективе суметь их предотвратить, специалист по безопасности (речь о больших компаниях, которые могут себе позволить) должен получать информацию о всех событиях в ее IT-инфраструктуре в понятном виде.

Событием безопасности можно назвать любое сетевое событие — например, обмен электронной почтой, идентификация в CRM-системе предприятия, запрос доступа к какой-либо информации в условиях, — когда это событие указывает на возможное нарушение политики ИБ или возникновение неизвестной ранее ситуации, имеющей отношение к безопасности. Для сбора и анализа такого рода информации используются специальные системы, которые называются SIEM (Security Information and Event Management, «управление событиями и информацией о безопасности»).

Хорошо. И как это работает?

SIEM — это класс программных продуктов, объединяющих классы SEM (Security Event Management, «управление событиями безопасности») и SIM (Security Information Management, «управление информацией о безопасности»). Первые предназначены для мониторинга событий безопасности в режиме реального времени, вторые отвечают за долгосрочное хранение и анализ данных с различных объектов IT-инфраструктуры организации.

SIEM собирают, нормализуют и анализируют лог-файлы о событиях безопасности из всех ИТ-систем, предоставляя их пользователю в максимально удобном виде. Сбор данных осуществляется несколькими способами. Это происходит или с помощью специальных приложений (наиболее распространенный метод), или напрямую из лог-файлов либо сетевых устройств, или с помощью протоколов потоковой передачи данных – например, SNMP, Netflow или IPFIX.

Что и где находят эти ваши решения?

SIEM-системы анализируют всю IT-инфраструктуру организации, источниками информации для них могут выступать антивирусы, системы аутентификации и авторизации, брандмауэры, межсетевые экраны, журнал серверов, рабочих станций, сетевого оборудования, контроллеры домена, системы обнаружения и предотвращения вторжений, системы предотвращения утечки информации, решения для контроля активов и инвентаризации, системы учета рабочего времени.

Правила анализа в традиционных решениях чаще всего задают вручную. Например, во время настройки создают скрипт, по которому однократный инцидент не представляет угрозы, а повторяющийся под одной учетной записью – означает попытку подобрать код доступа.

SIEM-решение позволяет обнаружить внешние и внутренние кибератаки, факты корпоративного мошенничества, погрешности и нарушения в работе информационных систем, нарушения структуры средств защиты, целевые хищения, слабые звенья защиты и ИБ в целом, попытки получить несанкционированный доступ к защищенной информации, отдельные заражения на рабочих станциях или киберэпидемии.

Как выбрать SIEM-решение

Системы SIEM отличаются по структуре, способностям масштабирования, функциональным свойствам и количеству решаемых задач. Оценку продукта стоит проводить, опираясь на несколько важных базовых характеристик.

Таких, как:

  • Источники и обработка событий

Чем больше источников событий поддерживает система, тем эффективнее защита. При этом важно, чтобы решение обеспечивало индивидуальный подход к нормализации каждого события из различных источников. Работу с программой облегчает разбивка событий по категориям. Синтаксический анализ информационных потоков (парсинг) подобных решений реализуется с помощью обозначения наиболее критичных полей. Обновляются парсеры, как правило, одновременно с внедрением дополнений или изменений системы.

Автонахождение, а также периодическое обновление источников эксперты относят к преимуществам. Однако единого мнения по вопросу обновления SIEM-решения не существует. Отсутствие автообновления анализаторов вендоры иногда объясняют защитой от изменений логики анализа и предлагают проводить изменения SIEM под контролем собственных специалистов. Такой подход увеличивает стоимость владения системой.

  • Сбор инцидентов

Эффективная SIEM – это платформа с функциями нормализации, объединения и фильтрации инцидентов. Преимуществом будет обработка и хранение raw-событий. Скорость процессов при этом на общую картину не влияет. Маскирование сведений, мониторинг сетевого трафика – функции вспомогательные, но не бесполезные.

Проверить корректность работы нормализации, фильтрации и агрегации возможно на этапе тестирования SIEM в боевом режиме. Поэтому больше доверия вызывают производители, которые предоставляют бесплатный тест-драйв полнофункциональной версии продукта.

  • Корреляция

Оптимальное SIEM-решение сопоставляет события в режиме реального времени, умеет проводить поведенческий анализ и сравнение исторических данных.

Гибкие настройки системы корреляции, обогащение инцидентов в коннекторе или в консоли управления, дополнительная функция в виде ручной проверки, возможность одновременной работы со всеми механизмами – отличительные особенности хорошей SIEM.

  • Визуализация

Отчетность SIEM-систем чаще всего формируется в виде графиков, гистограмм и таблиц. Большинство отчетов экспортируются в файлы пяти форматов: MS Excel, RTF, PDF, CSV, HTML.

  • Общие настройки и встроенный функционал

Удобство работы с SIEM зависит, прежде всего, от наличия встроенных условий корреляции событий, графических панелей и шаблонов отчетов. Чем больше встроенных корреляционных ресурсов, тем меньше квалифицированной, а значит, платной помощи от сторонних специалистов потребуется при обслуживании платформы.

Важный маркер удобства работы с SIEM – возможность централизованно координировать компоненты платформы из единой консоли, а также автоматически обновлять предустановленные политики и шаблоны отчетности. Все это облегчит труд специалиста.

Итого: стоит выбирать решение, которое взаимодействует с максимальным количеством разнородных систем, которые используются в компании. Многоуровневая платформа обработки инцидентов ускорит работу с источниками и легко адаптируется к программному обеспечению. Невысокие требования к аппаратно-программным средствам при этом будут дополнительным преимуществом.

Установив решение Kaspersky Unified Monitoring and Analysis Platform, вы освободите до половины ваших аппаратных ресурсов и тем самым сократите совокупную стоимость владения (total cost of ownership, TCO). Таким образом, при выборе SIEM-решения имеет смысл учитывать не только стоимость лицензий, но и считать TCO.

Читайте также