Технологія siem зазвичай застосовується для підтримки трьох випадків основного використання:
Розширене виявлення загроз (Advanced threat detection) - моніторинг, оповіщення в режимі реального часу, аналіз загроз за достатньо тривалий період та звітування про тенденції та поведінку щодо діяльності користувачів та організацій, доступу до даних та активності додатків. Виявлення загроз включає включення розвідки про загрози та бізнес-контекст у поєднанні з ефективними можливостями спеціального запиту.
Основний моніторинг безпеки (Basic security monitoring) - управління журналом, звітність про відповідність та базовий моніторинг вибраних засобів безпеки в реальному часі.
Розслідування та реагування на інциденти (Investigation and incident response) - можливості інформаційних панелей та засобів візуалізації, а також підтримка робочого процесу та документації для ефективної ідентифікації, розслідування та реагування на інциденти.
3 Основні підходи та принципи, які реалізовані в ibm qRadar siem.
Підхід компанії IBM до забезпечення кібернетичної безпеки процесів функціонування корпоративних інформаційних систем відображений у таких постулатах:
“Безпека ІТ-системи включає в себе захист систем та інформації за допомогою запобігання, виявлення і реагування на несанкціонований доступ як усередині, так і за межами вашого підприємства.
Несанкціонований доступ може привести до того, що інформація буде змінена, знищена, незаконно привласнена або використана неправильно або може привести до пошкодження або неправильного використання ваших систем, в тому числі для використання в атаках на інші системи” [2].
“Ніяка ІТ-система або продукт не повинні вважатися повністю безпечними, і жоден продукт, послуга або заходи безпеки не можуть бути повністю ефективними в запобіганні несанкціонованого використання або доступу.
Системи, продукти і послуги IBM призначені для того, щоб бути частиною законного всеохоплюючого підходу до забезпечення безпеки, який обов’язково повинен включати додаткові оперативні процедури, а також вимагати, щоб інші системи, продукти або послуги були найбільш ефективними”
Принцип забезпечення кібербезпеки інформаційних систем та їх процесів сучасного підприємства “Попередження – Виявлення – Реагування” (“Prevention – Detection – Response”) (підхід компанії IBM):
постійне попередження кібератак та усунення вразливостей;
ідентифікація загроз за допомогою аналітики та досліджень;
реагування на інциденти в інтегрованому та організованому середовищі.
слайд 11
Як, висновок по першому навчальному питанню наведемо вислів Брюса Шнайєра.
Той, хто думає, що може вирішити проблеми безпеки за допомогою технології, не розуміє ні проблем безпеки, ні проблем технології»
.
Oсновополагающий принцип системы SIEM заключается в том, что данные о безопасности информационной системы собираются из разных источников, и результат их обработки предоставляется в едином интерфейсе, доступном для аналитиков безопасности, что облегчает изучение характерных особенностей, соответствующих инцидентам безопасности. SIEM представляет собой объединение систем управления информационной безопасностью (SIM) и управления событиями безопасности (SEM) в единую систему управления безопасностью
