SIEM-системы управления событиями | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 28 декабря, печатный экземпляр отправим 1 января.

Опубликовать статью в журнале

Авторы: , ,

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №4 (451) январь 2023 г.

Дата публикации: 25.01.2023

Статья просмотрена: 321 раз

Библиографическое описание:

Джуракулов, Т. Х. SIEM-системы управления событиями / Т. Х. Джуракулов, А. А. Петросян, В. А. Евстропов. — Текст : непосредственный // Молодой ученый. — 2023. — № 4 (451). — С. 10-11. — URL: https://moluch.ru/archive/451/99384/ (дата обращения: 16.12.2024).



В работе представлен анализ систем SIEM на рынке и анализ необходимости этой системы в настоящее время.

Ключевые слова: коллекторы, нормализация, агрегация событий, инцидент, угроза, информационная безопасность, базы данных.

Важность информационной безопасности невозможно переоценить. Увеличение числа инцидентов информационной безопасности означает, что предприятия больше, чем когда-либо подвергаются цифровым атакам. Компании должны следить за состоянием безопасности данных и быть готовыми реагировать на возникающие угрозы, а также обеспечивать безопасность своих данных [1].

SIEM — Security information and event management система сбора, мониторинга и анализа событий безопасности в режиме реального времени и выявления инцидентов информационной безопасности [2]. Главная задача системы — следить за состоянием IT-инфраструктуры и обнаруживать актуальные и потенциальные угрозы. Подобные задачи стоят в любой организации, т. к. в настоящее время организации построены с использованием информационных технологий.

Основной принцип работы любой SIEM системы делится на несколько этапов. В первую очередь происходит сбор событий от разнообразных источников данных, которые есть в защищаемой информационной системе. События поступают на коллекторы системы в «сыром», необработанном виде. Предварительно над ними производится операция фильтрации, т. е. отбрасываются ненужные события, которых не должно быть в SIEM [3].

Следующим шагом при обработке событий информационной безопасности является нормализация событий перед тем, как произвести запись в базу данных (БД). Под нормализацией понимается приведение всех событий к единому виду. В БД обязательно хранится сырое событие, в том виде в котором оно пришло в систему, фиксируется метка времени и ip-адрес, с которого получено данное событие. [4]

Далее проводится агрегация событий — интересный и полезный момент (не все SIEM поддерживают эту функцию), который позволяет сократить количество «мусора» в логах. Агрегация представляет собой «схлопывание» нескольких одинаковых событий в одно. Агрегация наиболее эффективна для логов межсетевых экранов, веб серверов.

Следующим шагом после того, как события прошли агрегацию и были сохранены в базу данных, является корреляция событий — выявление инцидентов в потоке событий. Инцидентом может быть как одно событие, так и цепочка из последовательности событий. Любые типы события могут в ней участвовать, вне зависимости от того, к какому типу они относятся. Например, в одном правиле корреляции может быть задействованы события как от операционной системы, так и от средств защиты. В результате корреляции происходит формирование инцидента.

Когда инцидент сформирован, он записывается точно так же в базу данных, как и потоки информации. В дальнейшем автоматически или вручную происходит приоритезация этих инцидентов в зависимости от их рисков. События, приходящие от более критичных узлов информационной системы, будут иметь высокий риск. Выставлять приоритеты может администратор вручную, если считает, что данный инцидент должен иметь более высокий статус.

Следующим шагом является оповещение учета инцидентов. Информация об инцидентах поступает к администратору безопасности посредством электронной почты, в виде СМС, а также выводится на экран.

Средства SIEM обеспечивают много преимуществ, которые помогают улучшить общее состояние корпоративной системы безопасности. К ним можно отнести централизованное представление с информацией о возможных угрозах, обнаружение угроз и реагирование на них в режиме реального времени и аудит соответствия нормативным требованиям и создание соответствующих отчетов.

Также стоит отметить, что за последнее десятилетие технология SIEM значительно усовершенствовалась благодаря искусственному интеллекту, что позволило более эффективно и быстро выявлять угрозы и реагировать на инциденты. [5]

Исходя из вышеизложенного, можно с уверенностью сказать, что SIEM — это важная часть корпоративной экосистемы кибербезопасности. Такая система обеспечивает централизованный сбор, агрегирование и анализ массивов данных в масштабах всего предприятий и позволяет эффективно оптимизировать рабочие процессы, связанные с безопасностью, управлять инцидентами, помогает добиться нового уровня выявления угроз, что позволяет акцентировать внимание на важных угрозах и своевременно выявлять инциденты.

Литература:

  1. Информационная безопасность. — Текст: электронный // Региональные системы. Инжиниринговый центр.: [сайт]. — URL: https://www.ec-rs.ru/ (дата обращения: 23.01.2023).
  2. Джуракулов, Т. Х. SIEM системы управления событиями безопасности: обзор, анализ / Т. Х. Джуракулов, А. А. Петросян, Л. Н. Логинова. — Текст: непосредственный // Вестник науки и образования. — 2022. — № 8 (128). — С. 18–20.
  3. Информационная безопасность. — Текст: электронный // Anti-Malware: [сайт]. — URL: https://www.anti-malware.ru/ (дата обращения: 23.01.2023).
  4. Принципы обеспечения информационной безопасности в социальных сетях/ Л. Н. Логинова, А. Д. Королев// Проблемы управления безопасностью сложных систем: Материалы XXX международной научно-практической конференции, Москва, 14 декабря 2022 года. — Москва: Институт проблем управления им. В. А. Трапезникова РАН, 2022. — С. 251–256. — DOI 10.25728/iccss.2022.61.81.037.
  5. Общие сведения о SIEM. — Текст: электронный // Microsoft: [сайт]. — URL: https://www.microsoft.com/ru-ru/security/business/security-101/what-is-siem (дата обращения: 23.01.2023).
Основные термины (генерируются автоматически): SIEM, информационная безопасность, баз данных, инцидент, событие, агрегация событий, выявление инцидентов, реальное время, угроза.


Похожие статьи

Применение инструментов форензики на пути к расследованию инцидентов

В статье рассматривается применение инструментов форензики специализированные с целью фиксации утечек конфиденциальной данных, их сравнение и возможности, а также функционалы современных систем контроля информационных потоков.

Применение инструментов OSINT для повышения безопасности предприятия

В настоящее время обеспечение информационной безопасности играют важнейшую роль в предприятиях разного масштаба. Данная тенденция стала наиболее актуальной с применением инструментов OSINT. В данной статье рассмотрены несколько вариантов применения д...

Цифровизация бизнес-процессов

В данной статье рассматриваются основные аспекты цифровизации бизнес-процессов, обоснована актуальность внедрения цифровых решений, рассмотрены инструменты цифровизации, определены возможные сложности, которые возникают у компаний в процессе цифровиз...

Анализ прикладных программ оценки рисков пользовательских систем

Данная статья посвящена вопросам построения модели угроз и модели нарушителя для пользовательских информационных систем в современном цифровом обществе.

Применение инструментов OSINT для выявления уязвимостей информационной сети предприятия

В настоящее время обеспечение информационной безопасности играют важнейшую роль в предприятиях разного масштаба. Данная тенденция стала наиболее актуальной с применением инструментов OSINT. В данной статье способ применения данных инструментов для вы...

Аналитика значимых инцидентов информационной безопасности в первом полугодии 2022 года и меры противодействия им

В статье рассматриваются значимые происшествия в сфере кибербезопасности, последствия, результаты их расследования и предлагаемые пути повышения информационной безопасности.

Инструменты и способы снижения уязвимости безопасности смарт-контрактов

В данной статье авторы исследуют возможные инструменты и способы повышения уровеня безопасности блокчейн-сетей с технологией смарт-контрактов.

Развитие CRM с использованием технологий EDI

В статье рассмотрены ключевые понятия CRM и EDI, а также преимущества их внедрения в организации и необходимость последующего объединения технологий.

Методы защиты доступа в ERP-системах: идентификация и аутентификация

В статье рассмотрена проблема обеспечения защиты доступа в ERP — системах. Описаны основные методы идентификации и аутентификации, принципы их работы. Выделены их достоинства и недостатки.

Типовые атаки на DHCP

В статье авторы рассматривают типовые атаки на DHCP и рассказывают о методах обеспечения сетевой безопасности, необходимых для эффективной защиты от угроз. В данной статье меры безопасности моделируются с использованием Cisco Packet Tracer.

Похожие статьи

Применение инструментов форензики на пути к расследованию инцидентов

В статье рассматривается применение инструментов форензики специализированные с целью фиксации утечек конфиденциальной данных, их сравнение и возможности, а также функционалы современных систем контроля информационных потоков.

Применение инструментов OSINT для повышения безопасности предприятия

В настоящее время обеспечение информационной безопасности играют важнейшую роль в предприятиях разного масштаба. Данная тенденция стала наиболее актуальной с применением инструментов OSINT. В данной статье рассмотрены несколько вариантов применения д...

Цифровизация бизнес-процессов

В данной статье рассматриваются основные аспекты цифровизации бизнес-процессов, обоснована актуальность внедрения цифровых решений, рассмотрены инструменты цифровизации, определены возможные сложности, которые возникают у компаний в процессе цифровиз...

Анализ прикладных программ оценки рисков пользовательских систем

Данная статья посвящена вопросам построения модели угроз и модели нарушителя для пользовательских информационных систем в современном цифровом обществе.

Применение инструментов OSINT для выявления уязвимостей информационной сети предприятия

В настоящее время обеспечение информационной безопасности играют важнейшую роль в предприятиях разного масштаба. Данная тенденция стала наиболее актуальной с применением инструментов OSINT. В данной статье способ применения данных инструментов для вы...

Аналитика значимых инцидентов информационной безопасности в первом полугодии 2022 года и меры противодействия им

В статье рассматриваются значимые происшествия в сфере кибербезопасности, последствия, результаты их расследования и предлагаемые пути повышения информационной безопасности.

Инструменты и способы снижения уязвимости безопасности смарт-контрактов

В данной статье авторы исследуют возможные инструменты и способы повышения уровеня безопасности блокчейн-сетей с технологией смарт-контрактов.

Развитие CRM с использованием технологий EDI

В статье рассмотрены ключевые понятия CRM и EDI, а также преимущества их внедрения в организации и необходимость последующего объединения технологий.

Методы защиты доступа в ERP-системах: идентификация и аутентификация

В статье рассмотрена проблема обеспечения защиты доступа в ERP — системах. Описаны основные методы идентификации и аутентификации, принципы их работы. Выделены их достоинства и недостатки.

Типовые атаки на DHCP

В статье авторы рассматривают типовые атаки на DHCP и рассказывают о методах обеспечения сетевой безопасности, необходимых для эффективной защиты от угроз. В данной статье меры безопасности моделируются с использованием Cisco Packet Tracer.

Задать вопрос