Системы мониторинга событий информационной безопасности
Система мониторинга событий ИБ предназначена для осуществления комплексного мониторинга информационной безопасности корпоративных информационных систем Заказчика путем сбора, хранения, преобразования и выдачи пользователям информации об объектах информационной инфраструктуры и событиях информационной безопасности в рамках этой инфраструктуры, а также для автоматизации процесса выявления инцидентов информационной безопасности и управления ими.
SIEM выполняет:
Сбор событий выполняется в режиме, близком к режиму реального времени.
Процесс обработки событий включает несколько этапов. Сначала выполняется нормализация событий, в результате которой текст исходного сообщения преобразовывается в нормализованное сообщение.
Затем выполняется агрегация событий – однотипные события, отличающиеся значением одного или нескольких полей таксономии, объединяются в одно. На следующем этапе происходит обогащение событий – это процесс, в ходе которого выполняется заполнение полей таксономии нормализованных, агрегированных и корреляционных событий согласно правилам обогащения. Поля заполняются данными, указанными в правиле обогащения или полученными из табличных списков.
Затем выполняется корреляция событий безопасности – обнаружение в потоке событий таких событий или их последовательности, которые указаны в условиях правил корреляции. Правила корреляции позволяют своевременно обнаружить нарушения требований политики безопасности компании.
Заключительным этапом обработки событий является сохранение собранной информации об обработанных событиях.
Полученная в процессе обработки информация позволяет произвести анализ событий, оценить их значение для процессов обеспечения ИБ и поддержания функционирования ИТ-инфраструктуры и принять решение о необходимости дальнейших действий. Оператор анализирует данные, связанные с событием, и на основании информации, собранной SIEM, относит его к одному из выделенных типов событий (предупреждение, инцидент) и определяет дальнейшие действия по реагированию на инцидент.
Реагирование на инцидент включает в себя выявление причин возникновения инцидента и разработку комплекса мер, направленных на недопущение повторения ситуации, приведшей к возникновению инцидента. При проведении расследования SIEM позволяет фиксировать действия персонала, предпринятые с момента обнаружения инцидента до его окончательного разрешения, а также назначать ответственных и отслеживать статус инцидента.
SIEM выполняет:
- сбор событий ИБ;
- обработка (корреляция) событий ИБ;
- анализ событий ИБ;
- создание и управление записями об инцидентах ИБ;
- предоставление пользователю данных об активах, событиях и инцидентах;
- отчетность.
Сбор событий выполняется в режиме, близком к режиму реального времени.
Процесс обработки событий включает несколько этапов. Сначала выполняется нормализация событий, в результате которой текст исходного сообщения преобразовывается в нормализованное сообщение.
Затем выполняется агрегация событий – однотипные события, отличающиеся значением одного или нескольких полей таксономии, объединяются в одно. На следующем этапе происходит обогащение событий – это процесс, в ходе которого выполняется заполнение полей таксономии нормализованных, агрегированных и корреляционных событий согласно правилам обогащения. Поля заполняются данными, указанными в правиле обогащения или полученными из табличных списков.
Затем выполняется корреляция событий безопасности – обнаружение в потоке событий таких событий или их последовательности, которые указаны в условиях правил корреляции. Правила корреляции позволяют своевременно обнаружить нарушения требований политики безопасности компании.
Заключительным этапом обработки событий является сохранение собранной информации об обработанных событиях.
Полученная в процессе обработки информация позволяет произвести анализ событий, оценить их значение для процессов обеспечения ИБ и поддержания функционирования ИТ-инфраструктуры и принять решение о необходимости дальнейших действий. Оператор анализирует данные, связанные с событием, и на основании информации, собранной SIEM, относит его к одному из выделенных типов событий (предупреждение, инцидент) и определяет дальнейшие действия по реагированию на инцидент.
Реагирование на инцидент включает в себя выявление причин возникновения инцидента и разработку комплекса мер, направленных на недопущение повторения ситуации, приведшей к возникновению инцидента. При проведении расследования SIEM позволяет фиксировать действия персонала, предпринятые с момента обнаружения инцидента до его окончательного разрешения, а также назначать ответственных и отслеживать статус инцидента.