Файловый архив студентов. Файловый архив студентов.
1295 вузов, 5021 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский государственный технический университет им. H.Э.Баумана
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
IB.docx
Скачиваний:
53
Добавлен:
09.02.2015
Размер:
1.28 Mб
Скачать
►Содержание►

  1. Задачи, решаемые siem-системами

Для повышения эффективности принятия решений по реагированию на события, связанные с нарушением безопасности рекомендуется использовать специализированные системы мониторинга, которые могут автоматизировать процесс сбора и анализа информации, поступающей от различных средств защиты. В западной терминологии системы мониторинга обозначаются аббревиатурой SIM (Security Information Management) или SIEM (Security Information and Event Management).

В состав системы мониторинга включаются следующие компоненты:

  • агенты мониторинга, предназначенные для сбора информации, поступающей от различных средств защиты;

  • сервер событий, обеспечивающий централизованную обработку информации о событиях безопасности, которая поступает от агентов. Обработка осуществляется в соответствии с правилами, которые задаются администратором безопасности;

  • хранилище данных, содержащее результаты работы системы, а также данные, полученные от агентов;

  • консоль управления системой, позволяющая в реальном масштабе времени просматривать результаты работы системы, а также управлять её параметрами.

Типовая структура системы мониторинга информационной безопасности отображена ниже.

  1. Примеры siem-систем

В настоящее время наибольшее распространение получили следующие коммерческие системы мониторинга событий информационной безопасности: ArcSight, Cisco MARS, RSA Envision, NetForensics, NetIQ, Symantec, и др. Необходимо отметить, что кроме коммерческих существуют также и бесплатные системы мониторинга с открытым кодом. Примером такой системы является продукт Prelude Universla SIM.

Согласно исследованиям аналитических компаний IDC и Gartner одну из лидирующих позиций среди компаний-производителей систем мониторинга информационной безопасности на сегодняшний день занимает ArcSight, которая в 2011 была приобретена корпорацией HP.

Система мониторинга и корреляции событий ArcSight ESM позволяет собирать и анализировать сообщения о событиях безопасности, поступающих от средств защиты, операционных систем, прикладного программного обеспечения и др. Данная информация собирается в едином центре, обрабатывается и подвергается анализу в соответствии с заданными правилами по обработке событий, связанных с информационной безопасностью. Результаты анализа в режиме реального времени предоставляются администраторам безопасности в удобном виде для принятия решений по реагированию на инциденты безопасности.

Технология функционирования ArcSight ESM предусматривает разделение процесса обработки событий безопасности на пять основных этапов: фильтрация, нормализация, агрегирование, корреляция и визуализация. В процессе фильтрации система удаляет события, которые не имеют прямого отношения к обеспечению информационной безопасности. На этапе нормализации события приводятся к единому формату сообщений ArcSight ESM. Агрегирование позволяет удалить повторяющиеся события, описывающие один и тот же инцидент. Эта процедура позволяет значительно сократить объем информации, который хранится и обрабатывается в системе мониторинга. Сформированные сообщения затем обрабатываются, используя механизмы корреляции, основанные как на статистических методах, а также правилах встроенной экспертной системы. И, наконец, ArcSight ESM выдает полученные результаты на централизованную консоль, работающую в режиме реального времени.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности