РЕШЕНИЯ И УСЛУГИ

SEIM

SEIM

 

Система Сбора и Корреляции Событий

Security Information & Event Management (SIEM) – один из инструментов управления информационной безопасностью.

Функция SIEM - не защита от угроз и отражение атак, в битве за информационную безопасность это не воин, а штабист-аналитик. SIEM анализирует данные, поступающие от систем антивируса, DLP, IDS, маршрутизаторов, межсетевых экранов, операционных систем серверов и пользовательских ПК. Если обнаруживается непривычное поведение или подозрительные действия, отклонение от нормы фиксируется и SIEM-решение регистрирует инцидент.

Система сбора и корреляции событий регистрирует признаки сетевых атак внутри и на внешнем периметре сети. Количество вредоносного ПО растет день ото дня, поэтому актуальной является функция выявления различной активности - отдельные заражения, не удаленные вирусы, «бэкдоры» (backdoor) и «троянцы» – все будет отражено в системе. SIEM-решение устанавливает попытки несанкционированного доступа, фрод и мошенничество. Фиксируются также ошибки и сбои в работе информационных систем.

Внутренние угрозы наносят внушительный урон бизнесу, и это тот случай, когда лучше контролировать ситуацию и предотвратить утечку, чем справляться с последствиями. SIEM-технологии помогут избежать утечки информации изнутри. Например, если доверенный пользователь отправляет конфиденциальные данные на электронный адрес, который лежит вне обычного круга адресатов, SIEM зарегистрирует инцидент на базе накопленной статистики и оповестит о произошедшем. Незамеченной не останется и подозрительная активность системного администратора, который копирует нехарактерные для его профиля данные, меняет права доступа, может, он хочет перейти к конкурентам и не собирается заблаговременно сообщать об этом.

Помимо анализа данных и оповещения об инцидентах, SEIM-системы используются для предоставления доказательной базы в случае инцидента, которая пригодна как для внутренних расследований, так и для судебных разбирательств.

Также SIEM-решения предоставляют всю необходимую подтверждающую информацию для аудитов на соответствие различным отраслевым стандартам.

Эффективность системы сможет оценить не только отдел ИБ, но и ИТ-департамент. SIEM-решения дают возможность обеспечивать непрерывность работы IТ-сервисов, обнаруживать сбои в работе информационных и операционных систем, а также аппаратного обеспечения.

С тем, что SIEM-системы доступны только для больших компаний с внушительным ИТ-бюджетом, можно поспорить. Сегодня существуют «коробочные» SIEM-системы класса all-in-one, в одном модуле предлагая механизмы сбора, хранения, поиска, нормализации и корреляции информации.

HP ArcSight

Решения HP ArcSight занимают лидирующие позиции в списке мировых производителей SIEM-систем по версии Gartner 2012. Комплексное решение HP ArcSight Security Intelligence включает в себя продукт HP ArcSight Enterprise Security Manager (ESM), который обеспечивает сбор, обработку и хранение событий безопасности, поступающих из различных систем, с которыми он интегрируется. Для интеграции с любым типом приложений используется агент FlexConnector. Сбор и фильтрация событий обеспечивается HP ArcSight Logger. Удобная система поиска дает возможность быстро найти и отобрать интересующие события безопасности, также можно сформировать подробный отчет за любой временной промежуток, Logger обеспечивает долговременное хранение информации о событиях в журналах. HP ArcSight Threat Response анализирует информацию, поступившую от HP ArcSight ESM, за каждым инцидентом следует незамедлительная реакция, функционал продукта обеспечивает локализацию проблемы и применение мер реагирования. Конфигурация сетевого оборудования и настроек безопасности проводится с помощью Configuration Management. Уникальное решение Fraud Detection позволяет обнаруживать и предотвращать мошенничество в области интернет-банкинга и банковских карт. Централизованный сбор информации в режиме реального времени обеспечат модули HP ArcSight Console, Web и Viewer, которые выполняют функции настройки, администрирования и просмотра данных в HP ArcSight ESM.

IBM QRadar SEIM

Еще один лидер рынка SEIM- систем компания IBM предлагает решение Security QRadar SIEM. Широкий функционал системы позволяет регистрировать события с множества устройств и приложений, работающих в сети. Например, IBM Security X-Force Threat Intelligence формирует список потенциально вредоносных IP-адресов, включая адреса компьютеров с вредоносным ПО, источников спама и других угроз. IBM Security QRadar SIEM может создавать отчеты доступа к данным и активности пользователей для управления соответствием стандартам. Среди огромного числа событий система выявляет случаи неправильного использования приложений, внутреннего мошенничества и мелких угроз. События с разных ресурсов, таких как устройства безопасности, операционные системы, приложения, базы данных, системы управления доступом и идентификацией, фиксируются в журналах и могут храниться длительное время, поэтому при необходимости можно просмотреть события любой давности. Дополнительные устройства IBM Security QRadar QFlow и IBM Security QRadar VFlow Collector помогают лучше анализировать и отображать работу приложений, баз данных, продуктов для совместной работы и социальных сетей с помощью анализа сетевых потоков на уровне 7.

QRadar определяет базовые характеристики и может обнаружить непривычное поведение в работе с приложениями, компьютерами, пользователями и сегментами сети.

Symantec Security Information Manager

Компания Symantec — один из лидеров мирового рынка в области решений обеспечения информационной безопасности, хранения данных и системного управления. Крупные компании и индивидуальные пользователи выбирают решения Symantec для защиты и управления информацией.

Symantec Security Information Manager - программно-аппаратный комплекс, который дает возможность контролировать события, происходящие в корпоративной сети в режиме реального времени. События фиксируются, структурируются и анализируются с точки зрения информационной безопасности. Если возникает инцидент – нарушение политик безопасности – администраторы получают оповещения о случившемся.

Система состоит из следующих компонентов:

  • Сервера Symantec SIM;
  • Объекты наблюдения;
  • Коллекторы;
  • Агенты;
  • Symantec Global Intelligence Network.

Сервер SSIM осуществляет функции сбора, анализа, фильтрации, корреляции и хранения информации о событиях. К объектам наблюдения относятся антивирусы, DLP, маршрутизаторы, межсетевые экраны, в общем, системы безопасности и бизнес-приложения, с которых будет осуществляться сбор информации коллекторами. Информация поступает из различных источников: syslog, файлы, журнал событий Windows, база данных, SNMP и др. В процессе сбора и передачи информации участвуют агенты, своего рода посредники между объектами наблюдения и коллекторами, их функция - передать полученные данные на устройства Symantec SIM. Для защиты данных и уменьшения трафика на уровне агента производится сжатие и шифрование передаваемых данных. Symantec Global Intelligence Network – это сеть, анализирующая злонамеренную активность по различным портам/протоколам. В процессе работы исследуются приложения, проверяется, не появлялись ли в них новые уязвимости, прогнозируется вероятность использования приложений в злонамеренных целях. В ходе мониторинга создается статистика наиболее атакующих и атакуемых систем, которая используется для упрощения процесса исправления найденных проблем - справочная информация по угрозам. Эти данные обновляются в режиме реального времени, и сотрудник, ответственный за инцидент, может ознакомиться с рекомендациями от Symantec по устранению возникшей проблемы.

Фиксируются все действия, будь то попытки несанкционированного доступа к конфиденциальной информации или вирусная активность - любое непривычное поведение не останется незамеченным.

Форма оповещения об инцидентах выбирается в настройках, оповещения могут приходить администраторам по электронной почте или SMS.

Функционал SSIM включает в себя не только централизованный сбор, хранение, анализ журналов безопасности, оповещение об обнаруженных инцидентах, но и контроль процесса исправления инцидентов. В итоге из всех собранных данных формируется отчет о соблюдении нормативных требований и аудите. Журналы информации в Symantec SIM представляют собой архивы, автоматизировано отслеживающие срок хранения информации. Архивы Symantec SIM подписываются с помощью криптографических алгоритмов, поэтому всегда можно проверить целостность и неизменность данных архивов. Журнальная информация со всех систем хранится централизовано, с ней можно работать через единый интерфейс, поэтому Symantec SIM позволяет проводить анализ активности пользователей вне зависимости от системы, в которой производились действия.

Модуль анализа данных Symantec Security Information Manager классифицирует угрозы и проблемы безопасности с учетом степени воздействия события на среду, способа атаки и целевых ресурсов. Данный подход называемая «Эффекты, механизмы и ресурсы» (EMR), при этом скорость корреляции составляет до 30 000 событий в секунду. Symantec Security Information Manager классифицирует не только возникшие проблемы, но и помогает подготовиться к потенциальным угрозам. Система раннего оповещения предоставляет подробную информацию о потенциальных угрозах и выдает рекомендации относительно мер по обеспечению защиты компании.

4х4 является партнером HP и IBM, мы осуществляем внедрение систем сбора и корреляции событий на основе продуктов известных мировых производителей, это дает возможность автоматизировать процесс реагирования на события, связанные с нарушением политик информационной безопасности. Наши специалисты прошли обучение и обладают всеми необходимыми квалификациями для создания и внедрения SIEM-решений.

Александр
Митрохин

Тема: SEIM

Задайте мне Ваш вопрос