Что такое SIEM системы

Что такое SIEM

Это сокращение от Security Information and Event Management. Аббревиатура придумана в 2005 году сотрудниками мирового консалтингового агентства Gartner. Термин включает интеграцию понятий:

• SEM, расшифровывается как Security Event Management — управление событиями безопасности;
• SIM, расшифровывается как Security Information Management — управление информацией о безопасности.

Совместная работа модулей помогает защитить данные и выполняет ряд дополнительных функций. В режиме реального времени можно мониторить, анализировать предупреждения о нарушении безопасности и моментально реагировать на угрозы.

Технология обладает точными настройками, алгоритмами искусственного интеллекта. Она обнаруживает угрозы при попытках атак, подсвечивает проблемные участки ИТ-инфраструктуры. Мониторинг проходит 24/7, поэтому можно точечно, молниеносно реагировать на киберинциденты в автоматическом или ручном режимах. SIEM создает плановые либо экстренные отчеты для дальнейшей аналитики. Этим минимизируется возможный ущерб для бизнеса от кибератак. SIEM активно используется при расследовании инцидентов информационной безопасности, она позволяет без ущерба защиты данных распределять специалистов информационной безопасности на разные задачи, привлекая их непосредственно для решения конкретных инцидентов.

Принцип работы инструментов SIEM

Информация собирается из многих источников и анализируется по заранее установленным критериям. К источникам для анализа относятся:

• антивирусы;
• системы авторизации и аутентификации;
• журналы сетевого оборудования;
• брандмауэры;
• серверы и рабочие станции;
• контроллеры домена;
• программы по обнаружению и предотвращению вторжений (IDS/IPS);
• программы по предотвращению утечки информации (DLP);
• решения для контроля активов и инвентаризации;
• любые информационные системы с функциями логирования.

Сегмент SIM работает с историческими данными, улучшая долгосрочную эффективность и оптимизацию систем. А SEM-сегмент оперативно обнаруживает подозрительные действия, реагирует по алгоритмам и сообщает о них сотрудникам службы безопасности.

Стандартная архитектура SIEM состоит из базы данных, механизма корреляции, включающего агенты, сканеры, детекторы и интерфейс. Правил корреляции много. Если одно из них срабатывает, запускается алгоритм последовательных шагов. Это может быть простое уведомление пользователю, неправильно вводящему пароль несколько раз, или жесткая его блокировка при многократных попытках входа. Обо всех инцидентах, в зависимости от критичности, возможно информирование ответственных лиц.

Работа с данными идет на трех уровнях:

• сбор;
• управление;
• анализ.

Данные от источников могут сохраняться пассивно или, например, по протоколу syslog, когда источник сам передает информацию. Тогда данные маркируются, в открытом или зашифрованном виде передаются на серверы для обработки и анализа. Пассивный сбор происходит одним из способов:

• агентный, используя специальные программы;
• безагентный, с помощью настроек удаленного доступа, алгоритмов.

Преимущества использования SIEM

SIEM разворачивается над защищаемой системой как интегрированные устройства или как комплексы из нескольких компонентов. Они имеют следующую архитектуру: «источники данных» — «хранилище» — «сервер приложений». Такое распределенное решение повышает производительность и улучшает масштабирование.

Одновременно решаются важные задачи:

• сбор, хранение, анализ событий ИБ;
• инвентаризация, анализ активов;
• контроль защиты информационных ресурсов;
• обнаружение, расследование кибератак, других инцидентов ИБ;
• мониторинг работы всей ИТ-инфраструктуры;
• составление отчетов;
• построение топологии сети.

Как внедрить решение SIEM

Купить и внедрить продукт можно после тщательного аудита текущего состояния ИБ. Необходимо выявить риски, избавиться от неактуальных баз данных, обнаружить все уязвимости.
После формулировки задачи к SIEM подготавливается отчет по активам, выбирается платформа для реализации, согласуются поэтапные планы работ.

Могут потребоваться обновления материальной базы, программного обеспечения. После первичной настройки, прописывания правил производят отладку и проверку стабильности работы. Вместе с этим моделируются искусственные атаки и сбои, чтобы проверить эффективность и быстродействие системы на негативные события.

Для безупречной работы интеграторы обучают персонал заказчика плану моментального реагирования на инциденты нарушения кибербезопасности. Предоставляют доступ к обновлениям, оказывают справочную и техническую поддержку.

От объема задач зависит цена отдельных этапов интеграции и общая стоимость проекта.

Роль SIEM для бизнеса

Мировой и российский бизнес активно используют SIEM для широкого круга задач:

• пресечение мошеннических действий в киберпространстве;
• обнаружение внутренних и внешних атак;
• ликвидация вирусных заражений;
• мониторинг ошибок, сбоев, уязвимостей конфигураций, архитектуры ИС, средств защиты;
• соответствие различным международным и российским стандартам и сертификатам (законы № 152-ФЗ, 161-ФЗ, приказы ФСТЭК № 21, 17 и 31, СТО БР ИББС и РС БР ИББС-2.5–2014, ГОСТ Р 57580.1–2017);
• противостояние таргетированным атакам.

Подробнее о SIEM

Эффективное SIEM-решение:

• облегчает мониторинг за информационными технологиями компании;
• избавляет от объемных рутинных задач, ускоряет работу специалистов ИБ;
• протоколирует доказательства противоправных действий в сфере электронной безопасности, облегчает расследования этих нарушений.

Компания «РАМАКС» работает с ведущими отечественными вендорами SIEM. При необходимости клиентов переводят с зарубежных решений на российские разработки с сохранением настроек и правил.

MaxPatrol SIEM

Продукт от компании Positive Technologies. Технологией уже воспользовались более 250 компаний. Алгоритм решения включают PT Knowledge Base, поддерживается ОС Astra Linux 1.7 SE и Debian 10. Система имеет сертификат ФСТЭК, Минобороны России, входит в реестр отечественного ПО.

RuSIEM

В последние годы ощущается заметный рост компании. Постоянно расширяется функциональность и оптимизируются рабочие ресурсы. Интерфейс максимально понятный: можно загружать индикаторы компрометации, автоматизированные скрипты, создавать разветвленные структуры реагирования. Модуль НКЦКИ позволяет интегрироваться с ГосСОПКА. Есть сертификат ФСТЭК, находится в реестре отечественного ПО.

KUMA

Kaspersky Unified Monitoring and Analysis Platform представляет собой важный компонент в разработке единой платформы кибербезопасности. Это решение обеспечивает гибкий и всесторонний подход к борьбе со сложными угрозами и целевыми атаками, объединяя продукты «Лаборатории Касперского» и сторонних поставщиков в одну совместную экосистему. Оно также является центральным компонентом XDR-платформы Kaspersky Symphony XDR. Позволяет комплексно подойти к вопросу соответствия требованиям внешних регулирующих органов, помогая организациям эффективно справляться с требованиями и нормами безопасности.

Работа SIEM в режиме реального времениБизнес-процессы подразумевают доступ сотрудников к данным с помощью корпоративных устройств, приложений, облачных и серверных хранилищ, электронной почты. Все этапы взаимодействий должны быть надежно защищены от вторжений, взлома, копирования, передачи информации. SIEM выявляет уязвимости в рамках всей организации, на всех платформах, в облачных сервисах. Вся инфраструктура как на ладони: автоматизированные алгоритмы просканируют сеть и подсветят проблемные зоны. При выявлении угроз или атак SIEM позволит быстро выявить вектор и точечно локализовать инцидент. Это позволит решить проблему без риска остановки бизнес-процессов.

Использование ИИ в SIEM искусственного интеллекта позволяет мгновенно обнаруживать, анализировать и точечно реагировать на угрозы с помощью средств оркестрации и автоматизации задач. Вы сможете действовать проактивно на основе рекомендаций системы, опережая действия злоумышленника.

Заключение

Решения SIEM — стандарт работы для современных компаний, производств, организаций, государственных органов. Компания «РАМАКС» более 30 лет успешно внедряет SIEM системы для лидеров рынка. Специалисты обучены и лицензированы вендорами, имеют необходимые сертификаты.

У нас работает собственный центр технической поддержки SIEM-систем, где трудятся более 60 высококлассных инженеров. Получены лицензии ФСБ на разработку криптографических средств и оказание услуг в области шифрования, ФСТЭК на разработку программного обеспечения и оказание услуг в области защиты конфиденциальной информации.

RAMAX доверяют представители всех ключевых отраслей экономики РФ. Если вы решили купить SIEM, оставьте заявку на сайте, чтобы узнать стоимость и сроки внедрения SIEM-системы!