SIEM системы используются, чтобы анализировать данные, поступающие в них из различных источников, например, антивирусов, маршрутизаторов, IDS и прочего. Многие ошибочно полагают, что SIEM используется для защиты, но это не так. Сама по себе эта система ни от чего защитить не может. Она только анализирует состояние сети, выявляя отклонения от нормы. Для чего нужны SIEM системы, что они могут, какие бывают и как выбрать подходящую рассказано далее в статье.
Что такое SIEM система
Программа используется не для защиты инфраструктуры, но играет в этом процессе достаточно важную роль.
Собирать информацию со всех источников вручную достаточно сложно, долго и неудобно. Если интегрировать программу SIEM, то она автоматически будет анализировать сведения, поступающие с множества мест:
- Контроллеры доменов;
- Маршрутизаторы;
- Сервера;
- Файрволы;
- И прочие устройства, задействованные в сети.
Важно! Это позволяет быстро получать и структурировать большое количество информации, вовремя реагируя на самые разные изменения, способные нанести серьезный ущерб компании.
Сама программа работает на основе статистики и чистых цифрах, чтобы отследить необычные действия в сети. Это позволяет ей находить проблему в тех случаях, когда событие внешне выглядит вполне безобидно, но может нанести серьезный вред.
Например, у сотрудника есть доступ к секретным данным, и он может пересылать их определенному кругу лиц. Или если он отправит информацию на какой-то другой адрес, система DLP этого не заметит, а SIEM зарегистрирует отклонение от нормы и обратит на инцидент внимание системного администратора.
Еще одно важное предназначение SIEM — предоставление доказательной базы. Это пригодится, если работник, по вине которого произошла утечка, свою причастность отрицает. Тогда программа сможет быстро отследить все его действия и доказать вину. Эта информация подойдет как для внутреннего расследования, так и для судебного разбирательства.
К тому же SIEM позволяет получить максимальное количество информации о внутренней сети компании в удобном формате. Это будет полезно, когда понадобится провести аудит на соответствие стандартам.
Как работает система
Принцип работы SIEM достаточно прост. Программное обеспечение интегрируется в корпоративную IT-сеть, подключается ко всей инфраструктуре. Таким образом, все действия и информация в системе попадают ее под контроль. Самостоятельно программа ничего с ними сделать не может.
Зато SIEM собирает все данные, делит их по категориям и анализирует. Все отклонения от нормы фиксируются в качестве инцидентов. Они автоматически проверяются, чтобы выявить масштабы и реальность угрозы. В итоге получаются полноценные отчёты по всей IT-деятельности в компании. Они направляются в IT-департамент, который и принимает решение.
Благодаря этому, системные администраторы могут своевременно реагировать на инциденты и предотвращать их. Процесс интерпретации событий автоматизирован, а информация представлена в удобном формате. IT-департамент доносит все данные до руководства компании, которые в таком случае могут эффективно управлять ресурсами и понимать, что требуется для развития фирмы в сфере IT.
Важно! Внедрение SIEM приводит к общему повышению эффективности работы компании и позволяет устанавливать причины утечек и устранять их.
Возможности SIEM
Это программа, дающая множество разных возможностей. При этом она имеет и свои недостатки, например, иногда некорректно реагирует на события в электронной почте. SIEM не может полностью выполнять всю работу по информационной безопасности.
Однако она играет важную роль в её системе, решая следующие задачи:
- Создавать наглядный и красивый отчёт. Его можно гибко настраивать под собственные нужды. Например, делать документ с информацией по работоспособности устройств или подборку 10 главных нарушителей за неделю.
- Контролировать события от серверов и устройств, своевременно уведомляя заинтересованных сотрудников.
- Анализировать происходящие в системе события и фиксировать отклонения при любых изменениях.
- Собирать доказательную базу для расследований и судебных разбирательств.
- Проверять сеть на соответствие определенным стандартам.
Выбор и использование SIEM
Такие системы подходят не всем. Это достаточно сложное программное обеспечение, которое нецелесообразно использовать в маленькой компании.
Поэтому установка SIEM востребована:
- крупных компаниях, в которых создаётся множество событий ежедневно;
- банковской сфере;
- фирмах, которые часто сталкиваются с нарушением в сфере информационной безопасности.
SIEM решения
Чтобы система работала корректно, нужно подобрать подходящий пакет программных решений. Сейчас существует множество компаний, предлагающих интегрировать свою SIEM в корпоративную сеть. Далее предлагается обзор на самые популярные предложения.
PT MaxPatrol SIEM
Вариант от Positive Technologies — распространённое программное решение, позволяющее получить полную видимость корпоративной инфраструктуры.
Оно работает сразу в трёх плоскостях:
- Превентивные мероприятия. Все системы регулярно проверяются, фиксируются отклонения от нормы.
- Детективные мероприятия. Позволяют легко установить, на каком этапе произошла утечка, в чём причина и кто виноват.
- Корректировочные мероприятия. Рекомендации по повышению защищенности системы.
Kaspersky KUMA
Преимущество SIEM системы от Kaspersky заключается в том, что вместе с ней «из коробки» идут и другие программные решения от производителя. Они направлены на обеспечение максимальной информационной безопасности.
При этом все компоненты системы будут сразу же интегрированы друг с другом и работать слаженно. Например, SIEM будет выявлять отклонение, а другая система предотвращать сомнительное действие.
Эшелон KOMRAD Enterprise SIEM
Эффективное решение от российских разработчиков, обладающее всем необходимым функционалом для мониторинга информации. Кроме того, обладает следующими преимуществами:
- Встроенные конструктор правил с визуализацией.
- Низкие требования к мощностям устройств.
- Можно интегрировать с системой ГосСОПКА.
SIEM позволяет собирать и анализировать большое количество данных. Если компания часто страдает от нарушений в сфере информационной безопасности или имеет множество устройств в системе, то SIEM позволит не допустить утечки данных.
Добавить комментарий