Контакты
Подписка 2024

Современная SIEM: важное для эффективного выявления инцидентов

Виктор Никуличев, 05/10/23

В реалиях сегодняшнего дня кибербезопасность является одним из ключевых аспектов эффективного развития бизнеса, а построение надежной защиты организации практически невозможно без технологии класса SIEM.

Автор: Виктор Никуличев, руководитель продукта R-Vision SIEM в компании R-Vision

Для ИБ-отрасли и рынка SIEM-систем прошедший год был непростым, но интересным. Существенное влияние на развитие этого ИБ-сегмента оказали трансформация рынка производителей средств защиты и появление новых отечественных игроков. На протяжении долгого времени российские компании подвергались активным хакерским атакам, сталкиваясь с большим потоком событий кибербезопасности, что, в свою очередь, бросило мощный вызов разработчикам SIEM, заставив многих задуматься о повышении уровня зрелости их решений.

Как правило, базовый функционал SIEM включает в себя сбор, нормализацию и детектирование, но в условиях постоянно меняющихся угроз, требующих адекватного и оперативного реагирования, не все системы способны делать это одинаково хорошо. Поэтому развитие и расширение функционала SIEM становятся неизбежными задачами, цель которых – соответствие решения актуальным потребностям рынка.

Что важно при выборе SIEM?

Если SIEM работает неэффективно, то в первую очередь это сказывается на полноте сбора событий и возможности дальнейшей работы с ними. Сложности с правилами корреляции могут приводить к росту количества ложных срабатываний (false positive), что размывает фокус внимания аналитиков SOC и повышает риск пропуска реальной угрозы. Эти факторы только усугубляются из-за отсутствия гибкости развертывания SIEM и отсутствия возможности масштабирования вслед за потребностями организации. Дополнительно проблемы с SIEM провоцируют высокую нагрузку на аналитиков SOC, вследствие чего возникает быстрое "выгорание" сотрудников и текучка кадров.

При выборе и оценке SIEM пользователям необходимо учитывать ряд важных параметров, которые будут не только отвечать текущим потребностям компании, но и помогут эффективно выстроить процессы управления событиями и инцидентами в соответствии с возросшими потребностями бизнеса, особенностями инфраструктуры и ее масштабом. Несколько факторов, на которые стоит обратить внимание: возможности подключения новых источников информации, инструменты для работы с правилами нормализации и корреляции, а также масштабируемость системы и способности ее интеграции с другими системами. Такой проактивный подход предполагает ряд расширенных требований к традиционному функционалу SIEM. Некоторые, наиболее важные из них, будут представлены далее.

ris1-Oct-05-2023-07-50-24-7891-AM

Сбор и обработка событий

Основной характеристикой SIEM-систем является возможность работы с большим потоком событий в процессах сбора, нормализации и корреляции.

Значительное удобство использования этих систем обеспечивает продвинутый функционал Log Management. Он незаменим для более обширного анализа данных, получения полного представления при разборе инцидентов, а также выявления дополнительных трендов, проблем производительности или улучшения операций.

Важной составляющей современной SIEM является способность собирать любые события, а также возможность свободно их нормализовать в зависимости от потребностей аналитиков SOC, то есть определить, какие поля необходимы для поступившего события. Благодаря этому можно работать не только с событиями аудита безопасности, но и с такими данными, как эксплуатация ПО, аудит финансовых транзакций и бизнес-операций. Функционал SIEM, позволяющий аналитикам SOC формировать модели событий, похожие на те, с которыми они уже ранее работали, является одним из преимуществ системы.

В условиях большого разнообразия систем-источников максимально эффективным сценарием будет применение различных настроек по условиям и длительности хранения.

Инструменты детектирования

После этапа сбора и нормализации событий наступает этап их анализа, который основан на применении правил обнаружения. Обычно в SIEM-системах предоставляются наборы экспертных правил от производителей, однако эти стандартные решения не всегда являются эффективными. Подготовленные правила зачастую плохо учитывают уникальные особенности каждой организации, поэтому всегда требуется разрабатывать собственный детектирующий контент. Для этого важно, чтобы в SIEM были инструменты для разработки такого контента на качественно новом уровне. Актуальной тенденцией является подход к конфигурированию "как код" (as code) для всех объектов SIEM.

С помощью языка программирования можно создавать правила нормализации, корреляции, обогащения, работать с активными списками, совершать настройку моделей данных, конвейеров, дашбордов и интеграций. Но, используя конфигурирование as code, важно помнить, что язык программирования, который предлагается для использования, должен быть максимально удобным и обладать простым синтаксисом.

Масштабирование

Казалось бы, наличие продвинутых функций сбора, обработки и анализа событий вполне достаточно для продуктивной работы по управлению событиями ИБ... Но бизнес не стоит на месте, он растет и развивается, а это значит, что SIEM должна развиваться и масштабироваться в ответ на его потребности. Поэтому системам такого класса с высоким уровнем зрелости необходимо поддерживать гибкие модели развертывания, например облачные, гибридные или виртуализированные архитектуры, чтобы своевременно реагировать на запросы, не пропуская критически важные угрозы.

Интеграция

Помимо функционала, который уже заложен в систему, важно обратить внимание на возможность интеграции SIEM с системами других классов, которые наиболее часто работают в связке, – SOAR, TI, UEBA. Комплексное функционирование и тесная интеграция этих технологий позволит обеспечить максимальный уровень защищенности информационной инфраструктуры организации.

В то время как SIEM собирает и анализирует события, выявляя инциденты ИБ, SOAR использует полученные данные об инциденте для принятия ответных ИБ-мер и в автоматическом режиме выполняет сценарии реагирования.

Использование инструментов TI обеспечивает поиск индикаторов компрометации в потоке событий от SIEM-сиcтем и обогащение информацией по выявляемым IOC.

Взаимодействие SIEM с UEBA-системами, которые при помощи инструментов ИИ могут проводить более глубокую аналитику событий, обеспечивает более быстрое выявление аномалий на ранних этапах.

Немного о практическом опыте

В большинстве случаев SIEM-системы являются основополагающим элементом, вокруг которого выстраиваются процессы мониторинга и реагирования на инциденты и создаются SOC. При этом хорошей практикой современной SIEM является использование передовых методов обработки и обнаружения угроз, в том числе инструментов постоянного обогащения и актуализации данных.

Обладая достаточно зрелой экспертизой и опытом в области построения SOC, при создании нашего продукта мы постарались учесть все текущие трудности при работе с SIEM и акцентировали внимание на максимальной адаптивности платформы к потребностям клиента.

В R-Vision SIEM заложен современный функционал Log Managеment с визуальным конструктором потоков обработки событии, который помогает в удобном формате выстроить последовательность работы с входящими данными. Еще один важный маркер эффективности решений этого класса: гибкость работы с моделями событий. Поэтому в R-Vision SIEM была реализована функция, позволяющая аналитикам SOC самостоятельно конфигурировать модели событий.

Кроме того, мы не ограничились предустановленным контентом, а подготовили инструменты, позволяющие создать полностью кастомизированный контент для учета любых угроз. Такая возможность появилась благодаря конфигурированию объектов по модели as сode для более полноценного анализа при разборе инцидентов. При этом функционал R-Vision SIEM позволяет применять различные настройки по условиям и длительности хранения, что особенно эффективно в ситуациях с большим разнообразием систем-источников.

Чтобы своевременно реагировать на динамику развития бизнеса, необходимо заложить в SIEM умение масштабироваться и изменяться вслед за потребностями организации – такая возможность уже учтена в нашем решении, что позволяет своевременно, без приостановки работы систем организовать обновление.

ris2-Oct-05-2023-07-51-24-8564-AM

Принимая во внимание возрастающие запросы заказчиков на комплексный подход к обеспечению безопасности, создание R-Vision SIEM стало еще одним шагом на пути развития собственной экосистемы в ходе эволюции SOC – R-Vision EVO. В ее основе лежит использование расширенного спектра взаимосвязанных между собой технологий, компонентов и экспертизы R-Vision.

Темы:SIEMR-VisionЖурнал "Информационная безопасность" №4, 2023R-Vision SIEMR-Vision EVO

Отечественные ИT-платформы
и ПО для объектов КИИ:
готовность к 1 января 2025
Конференция | 24 июля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Кибербезопасность
30 июля. Кибербезопасность предприятия: защита от современных угроз
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать

More...