SIEM – Security Information and Event Management

SIEM – Security Information and Event Management

Системы мониторинга и управления информационной безопасностью

Задача SIEM — анализировать информацию, поступающую от различных систем, таких как антивирусы, DLP, IDS,  маршрутизаторы, межсетевые экраны, операционные системы серверов и пользовательских ПК, и при этом детектировать отклонение от норм по каким-то критериям. Если такое отклонение выявлено — система генерирует инцидент. То есть, среди множества записей в системных журналах SIEM-решение обнаруживает следы неких подозрительных действий. Немаловажно, что с ее помощью можно выявить действия, которые внешне выглядят вполне безобидными, но в совокупности представляют угрозу.

Исторически, технология SIEM получилась из слияния 2-х направлений

• SIM – Управление информацией безопасности
• SEM – Управление событиями безопасности

SIM — Управление информацией безопасности

Занимается сбором, хранением и анализом данных (взятых из журналов). Составляет отчеты по соответствию нормативным требованиям.

SEM – Управление событиями безопасности

Мониторит события безопасности в реальном времени, выявляет и реагирует на инциденты безопасности.

Основные функции SIEM-систем:

• Сбор и объединение данных
• Централизованное хранение журналов
• Интеллектуальный анализ данных (Корреляция событий)
• Оповещение об инцидентах
• Оценка соответствия AC требованиям стандартов и регламентов

Компоненты SIEM-систем

• Хранилища журналов
• Сенсоры
• Центр управления SIEM

От кого SIEM получает информацию?

Access Control, Authentication.

Применяются для мониторинга контроля доступа к информационным системам и использования привилегий.

DLP-системы.

Сведения о попытках инсайдерских утечек, нарушении прав доступа.

IDS/IPS-системы.

Несут данные о сетевых атаках, изменениях конфигурации и доступа к устройствам.

Антивирусные приложения.

Генерируют события о работоспособности ПО, базах данных, изменении конфигураций и политик, вредоносном коде.

Журналы событий серверов и рабочих станций.

Применяются для контроля доступа, обеспечения непрерывности, соблюдения политик информационной безопасности.

Межсетевые экраны.

Сведения об атаках, вредоносном ПО и прочем.

Сетевое активное оборудование.

Используется для контроля доступа, учета сетевого трафика.

Сканеры уязвимостей.

Данные об инвентаризации активов, сервисов, ПО, уязвимостей, поставка инвентаризационных данных и топологической структуры.

Системы инвентаризации и asset-management.

Поставляют данные для контроля активов в инфраструктуре и выявления новых.

Системы веб-фильтрации.

Предоставляют данные о посещении сотрудниками подозрительных или запрещенных веб-сайтов.

Основные протоколы и интерфейсы для сбора событий:

• Syslog and Syslog-ng
• SNMPv2 and SNMPv3
• Opsec
• HTTP, HTTPS
• SQL, ODBC
• WMI, WBEM (CIM)
• FTP, SFTP
• Socket Unix
• Plain log
• SSH
• Rsync
• Samba
• NFS
• SDEE, RDEP
• OPSEC, CPMI

Что может делать SIEM система:

1. Анализировать события и создавать инциденты при каких-то аномалиях: сетевого трафика, действиях пользователя, появлению неопознанных устройств и т.д.
2. Проверка на соответствие международным стандартам. (PCI DSS, COBIT и т.д.)
3. Мониторить события от устройств, серверов, критически важных систем используя внешние источники информации (методы как пассивного, так и активного анализа)
4. Собирать доказательную базу по инцидентам
5. Создание подробных отчетов

В среднем, компания без SIEM системы выглядит так:

А так выглядит компания с SIEM-системой:

Ключевые характеристики современных SIEM-систем:

• Масштабируемость и гибкость развертывания
• Сбор событий в реальном времени
• Нормализация и категорирование событий
• Мониторинг в реальном времени
• Профилировка поведения
• Расследование угроз
• Управление журналами и отчёты по соответствию требованиям
• Аналитика
• Поддержка управления инцидентами
• Мониторинг доступа к данным и активности пользователей
• Мониторинг приложений
• Простота развертывания и поддержки

Основные этапы внедрения SIEM:

1. Обследовать инфраструктуру и выбрать способ внедрения (все события обрабатываются в одном месте, или будет распараллеливание?).
2. Формируем и утверждаем ТЗ.
3. Разрабатываем руководства администраторов и руководство пользователя.
4. Устанавливаем и подготавливаем сервер SIEM (интеграция железки, её прописка в сети).
5. Настройка источников событий. (настраиваем источники на отправку событий SIEM).
6. Пишем правила реагирования на события. (на данном этапе себя покажут плохо настроенные источники)
7. Тестовая эксплуатация и накопление статистики. (Один из самых важных этапов)
8. Корректировка и написание дополнительных правил. (Обучение SIEM)
9. Завершение тестирования.
10. Перевод SIEM в полную боевую готовность.

Нужно понимать, что внедрение SIEM – это не дело 1-й недели. В среднем, правильное внедрение SIEM занимает от 6 месяцев.

Преимущества от SIEM ощутимы через 4-6 месяцев его работы в боевом режиме.

Основные вопросы, на которые вы должны дать себе ответ перед внедрением:

1. Какие повседневные задачи планируете решать с помощью SIEM?
2. Какое у вас общее число пользователей и сетевых элементов?
3. Есть ли у вас филиалы, удаленные офисы, события которых нужно учитывать?
4. Какие системы информационной безопасности у вас есть?
5. Планируете ли вы анализировать сетевые потоки? (sFlow, netFlow)
6. Есть ли в вашей инфраструктуре спец. устройства, события которых нужно учитывать?
7. Как часто происходят инциденты, которые вам необходимо расследовать?
8. Необходимо ли вас соответствовать каким-либо международным стандартам?

Кому нужен SIEM  в первую очередь?

• Банковская сфера
• Крупные предприятия
• Географически распределенные предприятия

Основные игроки рынка SIEM:

• HP (ArcSight)
• IBM (Qradar)
• McAfee (NitroSecurity)
• RSA, EMC (envision, NetWitness)
• LogRhythm
• Novell (NetIQ)
• CorreLog
• SolarWinds (Log and Event Manager)
• Splunk
• Symantec (SSIM, SEP)
• Trustwave SIEM OE