5.58M
Категория: МенеджментМенеджмент
Похожие презентации:
Event менеджмент
Event менеджмент
Event-менеджмент
Event-менеджмент
Департамент Сетевой и ИТ инфраструктуры
Департамент Сетевой и ИТ инфраструктуры
Cyber security spesialist
Cyber security spesialist
Задачи управления IT инфраструктурой
Задачи управления IT инфраструктурой
Event-management в Jumpica
Event-management в Jumpica
GPAllied Plan and Sched Course Rev 2012A_RUS
GPAllied Plan and Sched Course Rev 2012A_RUS
Медицинские ошибки и риск-менеджмент в больнице
Медицинские ошибки и риск-менеджмент в больнице
EVENT-менеджмент. Технологические аспекты
EVENT-менеджмент. Технологические аспекты
Методы оценки риска
Методы оценки риска

Security Information and Event

1.

(SIEM)
Security
Information and Event
Management
БФУ им. Канта
Макаров Иван
Информационная безопасность
4 курс

2.

SIEM – это..
1
SIEM (Security information and event
management, «управление событиями и
информацией о безопасности») —
класс программных продуктов,
предназначенных для сбора и анализа
информации о событиях безопасности.
2
• В реальном времени отслеживает сигналы тревоги, поступающие от сетевых
устройств и приложений
• Обрабатывает полученные данные и находит взаимосвязи между ними
• Выявляет отклонения от нормального поведения контролируемых систем
• Оповещает операторов об обнаруженных инцидентах

3.

О журналировании
Любое сколько-нибудь серьезное приложение или ОС
ведет логи. То есть, в том или ином виде в системе
ведется журнал, в котором фиксируются наиболее
важные события.
В ОС Linux события журналируются в каталог /var/log/
В случае с ОС Windows события сохраняются в
журнале Event Log, при этом каждое событие имеет
свой номер и описание.

4.

О проблемах
При ситуации когда злоумышленнику
удастся захватить административные права
в данной системе, он сможет почистить
логи, скрыв следу своего присутствия. В
случае с Linux, он может просто удалить
файлы журналов, или очистить их.
В случае с Windows при очистке логов
генерируется событие 1102 «Очистка
журналов событий»

5.

Однако, злоумышленник может легко
избавиться от этого события. Имея
необходимые права (будем считать, что
взломщик уже получил административные
права в системе) можно в свойствах журнала
событий легко настроить параметры ротации
таким образом, чтобы событие очистки логов
было быстро удалено.
Далее, злоумышленник
заполнит журнал различными
мусорными событиями в таком
объеме, чтобы событие
очистки просто было удалено.
И таким образом, хакер сможет
скрыть следы своего
присутствия.

6.

В качестве альтернативы локальному хранению логов
можно предложить централизованный сбор событий на
одном узле. В Linux это делается с помощью службы
Syslog, в Windows события могут передаваться с помощью
механизма Windows Event Forwarding. В результате мы
можем собрать события с нескольких узлов на одной
машине.
В случае если у вас узлов источников или событий
больше, начнется потеря событий, так как сервер
получатель начнет захлебываться и будет терять события.

7.

Как устроены SIEM
В классической реализации
SIEM состоит из сборщика,
событий, ядра, в котором
осуществляется
корреляция и хранение
событий и веб консоли
управления.

8.

Как устроены SIEM
За получение событий с источников
отвечает компонент сбора событий.
Как бы его не называли, суть одна: он
должен получить событие от
источника.
Сбор событий может осуществляться
в активном режиме – сборщик
событий сам подключается к
источнику по различным протоколам
(RPC, SMB и т.д.) и собирает у него
события. Или же источник сам
присылает события посредством
протокола Syslog или SNMP.

9.

Как устроены SIEM
Компонент сбора событий осуществляет
агрегацию, нормализацию, фильтрацию сырых
событий, полученных от источника, и затем
пересылает эти события в нормализованном
виде ядру системы.
• Агрегация представляет собой объединение
нескольких одинаковых событий в одно, тем
самым позволяя сэкономить пропускную
способность канала
• Нормализация событий обеспечивает
приведение их к общему стандарту и
подготовке к дальнейшей обработке
• Фильтрация – это выборка из общего потока
только интересующих событий

10.

Как устроены SIEM
В ядре каждое событие проверяется
правилами корреляции. В случае
соответствия одному или нескольким
правилам создается инцидент. Например,
несколько попыток неудачного входа в
систему это возможная попытка подбора
пароля. Проверка события от системы
СКУД о том, что пользователь входил в
здание, при входе в домен AD это тоже
пример правила. Также, отсутствие
обновлений антивирусных баз - это тоже
инцидент, требующий расследования.

11.

Как устроены SIEM
Большинство современных SIEM систем
используют в своей работе веб-интерфейс,
так что в качестве клиентского
приложения используется браузер.
На основной странице SIEM как правило
присутствуют дашборды, отображающие
основные параметры работы системы,
статистику по событиям, инцидентам,
количество подключенных источников и
другие параметры.

12.

SIEM vs EDR/DLP
EDR (Endpoint Detection and
Response):
DLP (Data Loss Prevention):
Преимущество SIEM:
Фокусируется на предотвращении
Интегрирует данные с разных
Ориентирован на защиту конечных
утечек данных.
систем, что позволяет
точек, обнаружение угроз на уровне
анализировать угрозы комплексно, а
устройств.
не только на уровне отдельных
компонентов.
Заключение: SIEM – выбор для организаций, стремящихся к масштабируемому и централизованному управлению
безопасностью.

13.

Обзор российского рынка SIEM
2
Kaspersky Unified Monitoring
and Analysis Platform (KUMA)
SearchInform SIEM
1
3
R-Vision SIEM
5
4
UserGate SIEM
PT MaxPatrol

14.

Kaspersky Unified Monitoring
and Analysis Platform (KUMA)
Преимущества:
Глубокая интеграция с другими решениями безопасности.
Высокая эффективность в обнаружении сложных угроз.
Недостатки:
Сложность первичной настройки и внедрения.
Возможны высокие затраты для малого бизнеса.
Рекомендуется для: крупных предприятий с развитой инфраструктурой, где
важна интеграция с другими системами.

15.

SearchInform SIEM
Преимущества:
Удобный и интуитивный интерфейс.
Гибкая настройка и расширенные аналитические
возможности.
Недостатки:
Возможны сложности с масштабированием при
обработке огромного объёма данных.
Рекомендуется для:
Организаций, которым требуется глубокая аналитика и
адаптивность настройки системы.

16.

UserGate SIEM
1
2
Преимущества:
Быстрое обнаружение угроз.
Простота внедрения и оперативное использование.
Недостатки:
Ограниченный функционал по сравнению с более
сложными системами.
3
Рекомендуется для:
Малых и средних предприятий, где важна скорость и
оперативность реагирования.

17.

PT MaxPatrol
Преимущества:
Комплексный подход к управлению инцидентами.
Поддержка многоплатформенности и разнообразных систем.
Недостатки:
Интерфейс может показаться устаревшим и требовать дополнительного времени на обучение.
Рекомендуется для: организаций с разнородной инфраструктурой, где требуется
объединить различные источники данных.

18.

R-Vision SIEM
1
2
Преимущества:
Высокая скорость обработки и анализа данных.
Возможность интеграции с широким спектром систем.
Недостатки:
3
4
Необходимость дополнительного обучения персонала
для работы с системой.
Рекомендуется для: крупных организаций, где критична
скорость и масштабируемость системы.
English     Русский Правила