Системы мониторинга событий информационной безопасности

Система мониторинга событий ИБ предназначена для осуществления комплексного мониторинга информационной безопасности корпоративных информационных систем Заказчика путем сбора, хранения, преобразования и выдачи пользователям информации об объектах информационной инфраструктуры и событиях информационной безопасности в рамках этой инфраструктуры, а также для автоматизации процесса выявления инцидентов информационной безопасности и управления ими.

SIEM выполняет:
  • сбор событий ИБ;
  • обработка (корреляция) событий ИБ;
  • анализ событий ИБ;
  • создание и управление записями об инцидентах ИБ;
  • предоставление пользователю данных об активах, событиях и инцидентах;
  • отчетность.
Система собирает события с различных источников данных – рабочие станции, серверы, сетевое оборудование, средства и системы защиты информации, прикладное ПО и др. 

Сбор событий выполняется в режиме, близком к режиму реального времени.

Процесс обработки событий включает несколько этапов. Сначала выполняется нормализация событий, в результате которой текст исходного сообщения преобразовывается в нормализованное сообщение. 

Затем выполняется агрегация событий – однотипные события, отличающиеся значением одного или нескольких полей таксономии, объединяются в одно. На следующем этапе происходит обогащение событий – это процесс, в ходе которого выполняется заполнение полей таксономии нормализованных, агрегированных и корреляционных событий согласно правилам обогащения. Поля заполняются данными, указанными в правиле обогащения или полученными из табличных списков.

Затем выполняется корреляция событий безопасности – обнаружение в потоке событий таких событий или их последовательности, которые указаны в условиях правил корреляции. Правила корреляции позволяют своевременно обнаружить нарушения требований политики безопасности компании.

Заключительным этапом обработки событий является сохранение собранной информации об обработанных событиях.

Полученная в процессе обработки информация позволяет произвести анализ событий, оценить их значение для процессов обеспечения ИБ и поддержания функционирования ИТ-инфраструктуры и принять решение о необходимости дальнейших действий. Оператор анализирует данные, связанные с событием, и на основании информации, собранной SIEM, относит его к одному из выделенных типов событий (предупреждение, инцидент) и определяет дальнейшие действия по реагированию на инцидент.

Реагирование на инцидент включает в себя выявление причин возникновения инцидента и разработку комплекса мер, направленных на недопущение повторения ситуации, приведшей к возникновению инцидента. При проведении расследования SIEM позволяет фиксировать действия персонала, предпринятые с момента обнаружения инцидента до его окончательного разрешения, а также назначать ответственных и отслеживать статус инцидента.

Отечественные вендоры/продукты

;