Важные критерии при выборе SIEM

17.05.2021 214

SIEMЧисло источников, обеспечивающих поступление актуальной информации по текущему состоянию защищенности, непрерывно растет. Вместе с этим, администраторам ИБ становится все сложнее понимать «общую картину» происходящего. Если своевременно не анализировать возникающие угрозы и не пытаться предотвратить их, любая система защиты окажется бессильной. В этих условиях уместно задуматься о решениях класса SIEMSecurity Information and Event Management.

Основной задачей этих систем является способность обнаруживать атаки по аномалиям, пост-анализу событий, анализу большого количества данных, их корреляции и объединения в инциденты, что не присуще обычным решениям по безопасности, которые работают в своей узкой предметной области и могут «молчать», так как «вырванные из контекста» инциденты не будут восприниматься в качестве серьезной угрозы.

Важно понимать, что SIEM в качестве самостоятельного решения не предназначены и не способны предотвращать инциденты нарушения ИБ. Их сущность состоит в следующем: анализ информации, поступающей из различных источников: DLP, IPS, Anti-virus, межсетевые экраны, сканеры уязвимостей, активное сетевое оборудование и т.д., и дальнейшее выявление отклонений от норм по заданным критериям.

SIEM системы способны выявлять:

  • Сетевые атаки по внутреннему и внешнему периметрах;
  • Мошенничество;
  • Ошибки и сбои в работе информационных систем;
  • Уязвимости;
  • Ошибки конфигураций в средствах защиты и информационных системах;
  • Целевые направленные атаки (APT).

Важные критерии при выборе SIEM:

  1. Пользовательский интерфейс: простота в выполнении общих задач, хорошо налаженные рабочие процессы, малое количество кликов для критичных функций и быстрый поиск информации при необходимости и на протяжении расследования.
  2. Корреляция: производительность инструмента корреляции, простота создания правил и их изменений, корреляция информации с различных устройств на основании нормализованной/категорированной  информации; дополнительные методы аналитики, включая анализ хранимой/исторической информации журнальных записей (логов).
  3. Охват источников событий: полный охват большинства (а лучше — всех) нужных источников логов перед эксплуатационным развертыванием, детальный парсинг и нормализация всех полей, необходимых для работы аналитиков; охват устройств, операционных систем и логов приложений; широкое использование методов сбора логов в режиме реального времени.
  4. Панели аналитики и просмотра: наличие необходимых аналитических данных, возможность детализации дополнительных сведений, легкость модификации и настроек, работа в режиме реального времени.
  5. Отчетность: производительность отчетов, четкость, простота изменения и содержание отчетов по умолчанию, возможность создания пользовательских отчетов по всем данным в гибкой манере без знаний внутренней структуры SIEM решения.
  6. Поиск и запросы: быстрое время выполнения поиска и запросов при расследовании инцидентов, доступ к необработанным данным с помощью эффективных поисковых команд, связанных с основным интерфейсом.
  7. Возможность постепенного расширения хранилищ по запросу при росте окружающей среды
  8. Процесс и технология интеграции новых источников логов: способность быстро интегрировать новый источник событий или наличие производителя, который может выполнить это незамедлительно 

Ключевым аспектом при выборе и внедрении SIEM являются простота интеграции системы и удобство в настройке и дальнейшей эксплуатации данной системы.

Компания ITbiz предлагает Вам услуги по выбору, настройке и интеграции решений SIEM от мировых лидеров в области безопасности – компании IBM, Juniper, Splunk.