SIEM е софтвер за безбедносни информации и управување со настани, кој ја подобрува безбедносната свест за ИТ околините со комбинирање на управувањето со безбедносните информации (SIM) и управувањето со безбедносните настани (SEM). Решенијата на SIEM го подобруваат откривањето на заканите, усогласеноста и управувањето со безбедносните инциденти, преку собирање и анализа на податоци и извори на безбедносни настани во реално време и историски.
Како функционира SIEM?
SIEM има низа способности, кои кога се комбинираат и интегрираат, нудат сеопфатна заштита за организациите. SIEM ги поддржува можностите за одговор на инциденти на Безбедносните оперативни центри (SOC), кој вклучува откривање закани, истрага, лов на закани, презема активности за одговор и санација на последиците, со можност за следење и управување преку една контролна табла. SIEM – от обезбедува безбедност на компаниите нудејќи им видливост на целата мрежа на уреди и апликации.
SIEM собира и комбинира податоци од извори на настани од организациската ИТ и безбедносната рамка, вклучително и хост системите, мрежите, заштитните ѕидови и антивирусните безбедносни уреди. Софтверот им овозможува на безбедносните тимови да добијат сознанија за напаѓачите со заканите добиени од увидот во тактиките, техниките и процедурите на напаѓачите (TTP) и познатите индикатори за компромиси (IOC).
Самиот елемент за откривање закани може да помогне да се детектираат заканите во е-поштата, cloud ресурсите, апликациите, threat intelligence изворите и endpoint. Кога некој инцидент или настан се идентификува, анализира и категоризира, SIEM – от работи на доставување извештаи и известувања до соодветните одговорни сегменти во компанијата. Ова може да вклучува анализа на однесувањето на корисниците и ентитетите (UEBA) која ги анализира однесувањата и активностите за следење на ненормални однесувања што може да укажат на закана. Може да открие и аномалии на однесување, странични движења и компромитирани сметки.
Ова е слично со безбедносната аналитика, која детектира аномалии во податоците за да изведе лов на информации за претходно невидени закани.
5 Придобивки од користење на SIEM решенијата
1. Лов и откривање закани
Употребата на интелигентен SIEM е клуч за управување со стратешките, тактичките и оперативните аспекти на ловот на закани – ниту еден од нив не може да се игнорира во денешниот пејзаж на закани. Ефективната интеграција на SIEM како централен дел кој работи со алатките за испитување закани е од клучно значење за стекнување подобрена видливост на потенцијалните закани.
2. Намалено време на одговор со користење на Enhance Situational Awareness
SIEM може да ја искористи моќта на разузнавањето за глобални закани за да овозможи брзо откривање на настаните кои вклучуваат комуникации со сомнителни или злонамерни IP адреси. Патеките за напад и претходните интеракции може брзо да се идентификуваат, намалувајќи го времето на одговор за побрзо отстранување на заканите.
3. Интеграција и видливост во реално време
Интеграцијата на вашата безбедносна инфраструктура обезбедува ниво на видливост на безбедносната состојба на вашата компанија во реално време.
4. Безбедносен персонал и ресурси
Соочувајќи се со зголемената разновидност и обемот на закани, екипирањето на безбедносните оперативни тимови продолжува да биде тема на загриженост. Еден SIEM сервер може да го рационализира работниот тек со користење на податоци од повеќе извори, за да генерира единствен извештај што се однесува на сите релевантни евидентирани безбедносни настани, овозможувајќи им на одговорните лица зголемена флексибилност, лесно прилагодување и побрз одговор.
5. Придобивки од усогласеност
SIEM – от, исто така, обезбедува поедноставување на ревизиите и управувањето.
Најдобри практики на SIEM
Дефинирајте ги вашите политики
Одредете го опсегот на SIEM имплементацијата во вашата компанија. Изградете правила засновани на политики кои ги дефинираат активностите и логовите што треба да ги мониторира вашиот SIEM. Користете ја политиката и споредете ги нејзините правила со барањата за надворешна усогласеност за да одредите каков тип на контролна табла и известување бара вашата организација.
Детално прилагодување на правилата за корелација
SIEM софтверот има свој сет на претходно конфигурирани правила за корелација. Вашиот безбедносен тим може детално да го прилагоди софтверот на потребите на вашата организација така што ќе овозможи сè што е вообичаено, ќе го набљудува однесувањето и ќе ги идентификува можностите за подесување за да ја зголеми ефикасноста на откривањето и да ги намали лажните позитиви.
Идентификувајте ги барањата за усогласеност
Исполнувањето на барањата за усогласеност е важна придобивка за повеќето компании што користат SIEM, заради потребата да се анализира способноста на софтверот да поддржува специфични мандати за усогласеност, за да се исполнат барањата за компаниските ревизии.
Следете го пристапот до критичните ресурси
SIEM – от треба да следи различни аспекти на критичните ресурси, вклучувајќи привилегирани и административни адреси, невообичаени однесувања на корисниците на системите, обид за далечинско најавување и испад на системот.
Заштитете ги границите на мрежата
Сите ранливи области на мрежата треба да се надгледуваат од SIEM, вклучувајќи ги заштитните ѕидови, рутери, порти и точки за безжичен пристап.
Тестирајте го вашиот SIEM
Важните метрики за предупредување и потребата за реконфигурација на SIEM може да се генерираат кога се спроведуваат тестирања на вашата имплементација на SIEM -от, со проценка на реакцијата.
Спроведување на план за одговор
Безбедносните инциденти може да се решаваат само навремено користење на план за одговор на инциденти. Организациите треба да планираат како ќе го инструираат персоналот по предупредувањето од SIEM решението.
Next-Gen Следна генерација SEIM или наследениот SIEM
SIEM постои од 2005 година, но значително еволуираше од својата генеза.
Како што напредуваше технологијата, нападите еволуираа и SIEM решенијата мораа да се развиваат, особено во следниве способности:
- Отворената, „архитектура на големи податоци“, која овозможува побрза интеграција со инфраструктурата на претпријатието, вклучувајќи cloud, on-site и BYOD.
- SIEM- от исто така може да интегрира разузнавачки информации за заканите од сопствените, open-source и комерцијалните извори.
- Алатките за визуелизација во реално време ги диференцираат најважните, високоризични активности за да им дадат приоритет при алармирањето. Ова ја вклучува способноста за мерење на статусот според регулаторните рамки, како што е PCI DSS, за одредување на приоритетите на ризиците и управувањете.
- Анализата на однесувањето може да го разбере контекстот на настанот и да ја препознае намерата во одредени сценарија. Со користење на оваа Анализа за однесување на кориснички ентитети (UEBA), софтверот може да нагласи значајни промени во однесувањето.
- SIEM -ите од следната генерација се исто така приспособливи за да им овозможат на безбедносните тимови да градат приспособени работни текови, врз основа на нивните компаниски потреби.
