Задачи, решаемые SIEM-системами

Для повышения эффективности принятия решений по реагированию на события, связанные с нарушением безопасности рекомендуется использовать специализированные системы мониторинга, которые могут автоматизировать процесс сбора и анализа информации, поступающей от различных средств защиты. В западной терминологии системы мониторинга обозначаются аббревиатурой SIM (Security Information Management) или SIEM (Security Information and Event Management).

В состав системы мониторинга включаются следующие компоненты:

· агенты мониторинга, предназначенные для сбора информации, поступающей от различных средств защиты;

· сервер событий, обеспечивающий централизованную обработку информации о событиях безопасности, которая поступает от агентов. Обработка осуществляется в соответствии с правилами, которые задаются администратором безопасности;

· хранилище данных, содержащее результаты работы системы, а также данные, полученные от агентов;

· консоль управления системой, позволяющая в реальном масштабе времени просматривать результаты работы системы, а также управлять её параметрами.

Типовая структура системы мониторинга информационной безопасности отображена ниже.

 

Примеры SIEM-систем

В настоящее время наибольшее распространение получили следующие коммерческие системы мониторинга событий информационной безопасности: ArcSight, Cisco MARS, RSA Envision, NetForensics, NetIQ, Symantec, и др. Необходимо отметить, что кроме коммерческих существуют также и бесплатные системы мониторинга с открытым кодом. Примером такой системы является продукт Prelude Universla SIM.

Согласно исследованиям аналитических компаний IDC и Gartner одну из лидирующих позиций среди компаний-производителей систем мониторинга информационной безопасности на сегодняшний день занимает ArcSight, которая в 2011 была приобретена корпорацией HP.

Система мониторинга и корреляции событий ArcSight ESM позволяет собирать и анализировать сообщения о событиях безопасности, поступающих от средств защиты, операционных систем, прикладного программного обеспечения и др. Данная информация собирается в едином центре, обрабатывается и подвергается анализу в соответствии с заданными правилами по обработке событий, связанных с информационной безопасностью. Результаты анализа в режиме реального времени предоставляются администраторам безопасности в удобном виде для принятия решений по реагированию на инциденты безопасности.

Технология функционирования ArcSight ESM предусматривает разделение процесса обработки событий безопасности на пять основных этапов: фильтрация, нормализация, агрегирование, корреляция и визуализация. В процессе фильтрации система удаляет события, которые не имеют прямого отношения к обеспечению информационной безопасности. На этапе нормализации события приводятся к единому формату сообщений ArcSight ESM. Агрегирование позволяет удалить повторяющиеся события, описывающие один и тот же инцидент. Эта процедура позволяет значительно сократить объем информации, который хранится и обрабатывается в системе мониторинга. Сформированные сообщения затем обрабатываются, используя механизмы корреляции, основанные как на статистических методах, а также правилах встроенной экспертной системы. И, наконец, ArcSight ESM выдает полученные результаты на централизованную консоль, работающую в режиме реального времени.

Ограничения SIEM-систем