2015_лекции / Лекция № 11_SIEM_2015
.pdf
SIEM-системы
SIEM = Security Information and Event Management
Цель SIEM-систем:
повышение уровня информационной безопасности в компьютерных сетях за счет обеспечения возможности в режиме времени, близком к реальному,
манипулирование информацией о безопасности и осуществление проактивного (действующего до того, как ситуация станет критической) управления инцидентами и событиями безопасности.
SIEM-системы
Задачи SIEM-систем:
сбор, обработка и анализ событий безопасности, которые поступают из большого множества разнородных источников;
обнаружение в режиме on-line программных атак и нарушений политик безопасности;
оперативный анализ и оценка защищенности информационных и телекоммуникационных ресурсов;
анализ и управление рисками безопасности;
расследование инцидентов;
обнаружение расхождения использования критически важных ресурсов и бизнес-процессов с внутренними политиками безопасности и приведение их в соответствие друг с другом;
принятие эффективных решений в области безопасности информации;
реализация разнообразной отчетности.
Архитекура SIEM-систем
Трехуровневая архитектура:
сбор данных от источников различных типов.
управления данными (предварительная обработка данных, хранение в информационном хранилище)
анализ данных о событиях безопасности (окончательный анализ, формирование отчетности, выдача предупреждений (в режиме online или передаваемых по электронной почте)).
Архитектура SIEM-систем
Архитектура SIEM-систем
|
|
|
|
|
|
|
|
|
|
|
|
|
|
т |
и |
й |
|
|
|
|
|
|
|
|
|
|
|
|
|
ы |
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
о |
б |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
с |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
о |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
т |
в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
с |
|
|
|
|
|
|
|
|
||
|
|
|
|
|
е |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
ч |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
и |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
л |
|
|
|
|
|
|
|
|
|
|
|
|
||
|
о |
|
|
|
|
|
|
|
|
|
|
|
|
|
||
К |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
10'000
10
Генерация отчетов |
Сложн |
||||
и предупреждений |
|||||
|
|
|
|||
Визуализация |
|
|
|
||
|
|
|
о |
||
|
Принятие решений |
|
ст |
||
Анализ |
|
|
|
||
|
|
|
ь |
||
данных |
Приоритезация |
|
о |
||
|
Анализ событий, |
бра |
|||
|
|
||||
|
инцидентов |
|
б |
||
|
и их последствий |
от |
|||
|
|
|
|
ки |
|
|
Корреляция |
|
|
д |
|
Управление |
Классификация |
анн |
|||
|
|||||
данными |
Агрегация |
|
ы |
||
|
|
х |
|||
Фильтрация
10'000'00
Нормализация
Сбор данных
Основные компоненты SIEM-систем
Нормализация: приведение всех собранных записей журналов к единому внутреннему формату, используемому для хранения и последующей обработки.
Фильтрация: удаление из поступающих в систему информационных потоков избыточных незначимых событий, которые обнаружены по задаваемым правилам.
Классификация: установление принадлежности атрибутов событий определенным классам.
Агрегация: группировка событий, схожих по определенным признакам.
Корреляция: установление взаимных связей между разнородными событиями, которые используются для обнаружения атак и нарушений политик безопасности в компьютерных сетях.
Приоритезация: важность событий безопасности на основании установленных правил.
Основные компоненты SIEM-систем
Генерация отчетов и предупреждений: формирование,
передача, отображение и вывод на печать результатов функционирования SIEM-системы.
Анализ событий, инцидентов и их последствий: процедуры моделирования событий, атак и их последствий, анализа уязвимостей и защищенности системы, определения параметров нарушителей, оценки риска, прогнозирования событий и инцидентов.
Принятие решений : выработку мер по реконфигурированию средств защиты с целью предотвращения атак или восстановления безопасности инфраструктуры.
Визуализация : представление в необходимой графической форме данных, характеризующих результаты анализа событий безопасности и состояние компьютерной сети и ее элементов.
Основные компоненты SIEM-систем
Сбор данных |
Обработка |
|
нормализация |
Pull Метод |
|
|
фильтрация |
Push метод |
|
|
корреляция |
|
агрегация |
|
классификация |
Анализ Предствизуализациявление
агрегация |
визуализация |
||||
|
|||||
классификация |
|
|
|
4 |
5 |
|
|
|
3 |
||
|
|
2 |
|
||
|
1 |
|
|
||
|
|
|
|
||
|
|
|
|
|
|
корреляция |
генерация отчетов |
||||
|
|||||
анализ |
|
|
событий, |
|
|
инцидентов и |
генерация |
|
их последствий |
||
предупреждений |
||
|
||
приоритезация |
(sms, E-mail) |
|
поддержка принятия |
|
|
решений |
|
Хранение
Шина данных |
|
|
|
Режим, близкий к |
|
Режим on-line |
on-line |
Репозиторий |
|
||
|
|
Существующие SIEM-системы