Контакты
Подписка 2024

SIEM – мастхэв в защите организации: разбираем на примере задач

Павел Пугач, 29/09/23

SIEM – мастхэв-инструмент для обнаружения потенциальных угроз. Система полезна крупному бизнесу, субъектам КИИ, операторам ПДн и другим организациям. В некоторых отраслях внедрение SIEM-системы – требование регуляторов. На примере “СёрчИнформ SIEM” расскажем, какие задачи поможет решить внедрение этого класса защитных решений.

Автор: Павел Пугач, системный аналитик “СёрчИнформ”

В условиях беспрецедентного роста кибератак одна из главных задач служб ИБ – выявление событий безопасности в цифровой инфраструктуре. Отслеживать эти события в ручном режиме проблематично, ведь даже в небольшой компании ИТ-инфраструктура генерирует миллионы событий. Поэтому большинству организаций сегодня не обойтись без мощной системы "наблюдения", которая в режиме реального времени будет выявлять подозрительные события, атаки и неполадки в ИТ-инфраструктуре.

Что такое SIEM?

SIEM (Security Information and Event Management) – система для обработки потока событий, выявления ИБ-инцидентов и реагирования на них. SIEMсистемы собирают данные из таких источников в корпоративной сети, как ПК сотрудников, серверы, СХД, маршрутизаторы, роутеры, принтеры – словом, почти с любого оборудования и ПО, установленных в организации.

Логика работы "СёрчИнформ SIEM"

"СёрчИнформ SIEM" аккумулирует информацию из различных источников, анализирует ее, фиксирует подозрительные события, атаки, сбои и оповещает о них ответственных лиц. SIEM постоянно "сканирует" ИТ-инфраструктуру на уязвимости, дыры в защите, риски в безопасности, выявляет эти и подобные им угрозы, чтобы ИБ-специалист мог оперативно на них реагировать.

Сложный механизм работы системы сводится к нескольким действиям простого алгоритма

  1. Сбор информации и событий. По умолчанию в "СёрчИнформ SIEM" доступно больше 30 коннекторов, которые получают информацию из самых распространенных источников данных, от железа до ПО:
    - ОС (Windows, Linux);
    - почтовых серверов (Exchange, Domino); l баз данных (PostgreSQL, MS SQL, Oracle);
    - антивирусов (Kaspersky, McAfee, ESET, Symantec, DrWeb и др.);
    - оборудования (Fortigate, PaloAlto, Cisco и пр.);
    - виртуальных сред (VMware);
    - ПО для бизнеса (DLP, 1C);
    - сканеров уязвимостей (RedCheck);
    - систем физической безопасности (СКУД RusGuard);
    - EventLog, Syslog и др.

    Если же заказчику не хватает предустановленных коннекторов, то в "СёрчИнформ SIEM" есть пользовательский Custom Connector для донастройки системы и подключения дополнительных устройств.
  2. Приведение разнородных данных к общему виду. Для этого в SIEM используются стандартные операторы, при этом система обогащает события недостающей информацией, выделяет значимую информацию о произошедшем в отдельные поля.
  3. Анализ данных и выявление потенциальных угроз. Система делает это автоматически, с помощью встроенных правил корреляции.
  4. Фиксация инцидентов и оповещение в реальном времени. "СёрчИнформ SIEM" оповещает ответственных лиц об инцидентах и дает информацию, необходимую для проведения расследования.

Какие задачи помогает решить "СёрчИнформ SIEM"?

Выявить угрозы информационной безопасности и предупредить о них

Система определяет инциденты в потоке событий благодаря предустановленным правилам корреляции. Администратор SIEM уже на этапе внедрения получит информацию о ситуации в ИТ-инфраструктуре. Встроенное описание поможет определить события, которые действительно являются инцидентами и требуют дополнительного расследования. "СёрчИнформ SIEM" выявит и оповестит о резком скачке количества событий.

События, подходящие под правила корреляции, будут собраны во вкладке "Инциденты" и рассортированы по правилам за выбранный период (вчера, неделю назад). Это поможет ИБ-специалисту удобно и быстро получить информацию и отреагировать на подозрительные активности.

ris1-Sep-29-2023-07-31-11-7747-AM
Рис. 1. Вкладка "Инциденты"

В SIEM от "СёрчИнформ" есть дашборд с редактируемыми виджетами (в системе 12 типов шаблонов). Их можно тонко настроить: выбрать отчетный период, частоту обновлений, источник данных, коннекторы, правила и/или пользователей, по которым система показывает данные, а также вид графического представления (круговая диаграмма, график, гистограмма и т.п.). Благодаря гибким настройкам отчетов, основываясь на имеющихся шаблонах, можно настроить сотни уникальных виджетов для каждой ситуации, требующей отдельного мониторинга. И в итоге ИБспециалист увидит полную картину в удобном для него формате.

ris2-Sep-29-2023-07-31-44-5520-AM
Рис. 2. Дашборд с настраиваемыми виджетами

В 2023 г. в "СёрчИнформ SIEM" появился функционал, который позволяет не только выявлять, но и устранять угрозы, – запуск автоматической реакции на инциденты. ИБ-специалист может прописать сценарий действий, который запустит в SIEM устранение угрозы. Эта возможность встроена прямо в интерфейс системы.

Например, если идет брутфорс (подбор методом перебора) пароля значимой учетной записи (главбуха или директора), SIEM может автоматически запустить скрипт, который осуществит блокировку данной учетной записи, давая время службе ИБ выяснить обстоятельства и принять адекватные меры.

ris3-Sep-29-2023-07-32-14-5593-AM
Рис. 3. Блокирование учетной записи по скрипту

Выполнить требования регуляторов

Есть целый ряд требований регуляторов, которые обязывают организации отслеживать определенные события в ИТ-инфраструктуре. Одно из таких требований – мониторинг входов в учетную запись и распределения прав доступа. "СёрчИнформ SIEM" осуществляет подобный мониторинг в автоматическом режиме, основываясь на готовых (предустановленных, комплектных) правилах корреляции – в системе их встроено около 400.

К таким требованиям относятся, например, технические меры, перечисленные в ГОСТ Р 57580.1–2017. В данном ГОСТе указана необходимость контроля незаблокированных учетных записей, установления фактов неиспользования прав на осуществление логического доступа, регистрация данных о событиях защиты от различных ИС (информационных систем) и пр. Для реализации значимой части списка данных требований "СёрчИнформ SIEM" выступает в качестве основного инструмента, а для многих прочих – в качестве дополнительного.

Кроме того, "СёрчИнформ SIEM" отвечает требованиям регуляторов в части готовности к контролю импортозамещенной инфраструктуры – поддерживает множество отечественных источников, ПО и оборудования.

Из последних обновлений: "СёрчИнформ SIEM" интегрирована в систему с сетевым шлюзом безопасности VipNet от отечественного производителя "ИнфоТекс", а также совместима с промышленным компьютером ELEUM 02.450.2U.R от "РАДИУС IT".

Проводить расследования и составлять отчетность

Таск-менеджер с "СёрчИнформ SIEM" – удобный функционал для расследования инцидентов: специалист по безопасности может координировать процесс, не подключая дополнительные инструменты, такие как Jira, CRM или Сonfluence. Таск-менеджер позволяет отследить жизненный цикл инцидента, объединить в одно расследование несколько событий, назначить ответственных сотрудников ИБ-отдела, а также присвоить статусы хода расследования, добавлять комментарии и подводить итоги. По результатам расследований можно создавать новые правила кросс-корреляции.

Из таск-менеджера "СёрчИнформ SIEM" можно экспортировать отчеты об инцидентах в ГосСОПКА. Это упрощает взаимодействие с регулятором компаниям, которые попадают под действие Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации".

ris4-3
Рис. 4. Встроенная форма отчета в НКЦКИ

Контролировать работоспособность оборудования

На одного системного администратора в компании, как правило, может приходиться 20–30 единиц оборудования, которое нуждается в постоянном мониторинге. Важно отслеживать его работоспособность, настройки конфигурации, обновления.

"СёрчИнформ SIEM" позволяет все это мониторить одновременно, а также выявлять значения, выходящие за рамки допустимого. Например, в системе есть готовые правила корреляции, которые помогают заказчику контролировать оборудование Cisco (отказ системы охлаждения, ошибки питания, ошибки маршрутизации, изменение конфигурации).

В "СёрчИнформ SIEM" встроен сканер сети, который визуализирует ИТ-инфраструктуру – компьютеры, роутеры, свитчи, принтеры и прочее оборудование. С его помощью администратор системы без труда обнаружит открытые порты и отследит попытки нелегитимного подключения новых устройств. Сканер использует данные из девяти баз уязвимостей, включая базу ФСТЭК России, и выдает информацию по актуальным угрозам, связанным с каждым элементом корпоративной сети.

ris5-3
Рис. 5. Сканер сети в «СёрчИнформ SIEM»

В "СёрчИнформ SIEM" реализован мониторинг работоспособности ПО. К примеру, многие компании возлагают большие надежды на антивирусную защиту, особенно когда необходимо снизить риски механических утечек из-за вирусов и т.п. SIEM оповещает, если антивирусная защита отключена, и таким образом снижает риски ИБ.

Попробуйте "СёрчИнформ SIEM" бесплатно: вендор предоставит ПО без ограничений по пользователям и функциональности на 30 дней.

Попробуйте «СёрчИнформ SIEM» бесплатно: вендор предоставит ПО без ограничений по пользователям и функциональности на 30 дней.

 

Темы:SearchInformSIEMГосСОПКАЖурнал "Информационная безопасность" №4, 2023

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024

Посетить
Обзоры. Спец.проекты. Исследования
Персональные данные в 2025 году: новые требования и инструменты. Что нужно знать бизнесу о защите ПДн?
Получите комментарии экспертов на ITSEC 2024
Статьи по той же темеСтатьи по той же теме

  • Скрытые расходы: как эксплуатационные затраты меняют стоимость лицензии SIEM
    Виктор Никуличев, руководитель продукта R-Vision SIEM в компании R-Vision
    Основываясь на практическом опыте работы с клиентами, мы исследовали факторы, влияющие на стоимость обслуживания SIEM-системы в долгосрочной перспективе с учетом работ инженерных специалистов. Стоимость эксплуатации складывается не только из расходов на лицензии, но и из затрат на работы, которые находятся в "серой зоне", так как их обычно не учитывают в первичных расчетах.
  • Парадокс возможностей: как развитие SIEM угрожает задачам заказчиков
    Павел Пугач, системный аналитик “СёрчИнформ”
    Когда компания закупает ИБ-систему и активно ей пользуется, аппетиты тоже начинают расти: хочется, чтобы система могла все больше, решая максимум задач в одном окне. При этом возникает риск, что дополнительные функции вытеснят основные. Рассмотрим на примере SIEM, как рынок размывает задачи систем и выводит их за рамки своего класса, и что в таком случае лучше выбрать заказчикам.
  • Тренды информационной безопасности, и как они влияют на SIEM
    Cовременные тренды в области информационной безопасности: явное смещение фокуса к облачным решениям, сервисным моделям и интеграции искусственного интеллекта. Это ставит новые требования к системам SIEM. Архитектура решения становится критически важной для обеспечения гибкости и масштабируемости, необходимых для успешной защиты инфраструктуры.
  • SIEM – это ядро системы информационной безопасности
    Максим Степченков, совладелец компании RuSIEM
    Что сегодня представляет угрозу данным и информации, сильно ли изменил ситуацию уход западных вендоров, насколько успешно импортозамещаются продукты ИБ и на что способна одна из первых в России SIEM-система – рассказал основатель и совладелец компании RuSIEM Максим Степченков.
  • UserGate представила новые модели устройств, услуги и поделилась другими достижениями
    Как обычно, в конце апреля в рамках V ежегодной конференции UserGate 2024 компания представила новинки – устройства, сервисы, услуги, а также отчиталась о других достижениях.
  • Большое обновление экосистемы решений UserGate SUMMA. Релиз-кандидат 7.1
    В релиз-кандидате UGOS версии 7.1 появится интересная функциональность, и на рынок выйдут новые решения компании UserGate класса SIEM и EDR + NAC

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Защищенный удаленный доступ: как обеспечить контроль работы внешних сотрудников
Узнайте на ITSEC 2024!

More...
Обзоры. Исследования. Спец.проекты
Защита АСУ ТП и объектов КИИ: готовимся к 2025 году
Жми, чтобы участвовать

More...