Security Information and Event Management (SIEM)
- Анализ данных сети, мониторинг аномалий для выявления подозрительной активности в реальном времени.
- Централизованное управление безопасностью в предприятии, обнаружение и устранение потенциальных уязвимостей.
- Сбор данных из различных источников для обеспечения соответствия законодательным и регуляторным требованиям.
- Обработка инцидентов безопасности, их идентификация, классификация, расследование, а также предоставление инструментов для быстрого реагирования на угрозы.
- Глубокий анализ данных, предоставление отчетов для оценки состояния безопасности, выявления уязвимых мест и принятия необходимых мер.
В век цифровой трансформации и неустанно развивающихся угроз информационной безопасности, организации сталкиваются с необходимостью мониторинга, анализа и реагирования на множество событий и инцидентов. В этой борьбе за защиту данных и систем на передний план выходит SIEM (Security Information and Event Management) – мощное оружие в арсенале информационной безопасности. В данной статье мы рассмотрим, что такое SIEM, каковы его функциональные задачи, преимущества и недостатки, а также как он вписывается в современный ландшафт кибербезопасности. Демо SIEM
Как работает SIEM?
SIEM – это интегрированная система, разработанная для обнаружения, анализа, уведомления и реагирования на инциденты в области безопасности информации. Основная задача SIEM заключается в сборе и агрегации данных из различных источников, таких как журналы событий, системы обнаружения вторжений, антивирусные программы и другие средства мониторинга.
Давайте рассмотрим более подробно, как работает SIEM:
Сбор данных: Источники и логи
SIEM начинает с сбора данных из различных источников в сети организации. Это могут быть логи систем, приложений, устройств, сетевых устройств (маршрутизаторы, брандмауэры), антивирусные программы и многие другие. Логи представляют записи о событиях, таких как входы и выходы пользователей, аутентификация, действия в системе и многое другое.
Нормализация и агрегация данных
После сбора данных, SIEM выполняет их нормализацию и агрегацию. Это процесс, в результате которого данные приводятся к единому формату и структуре. Например, IP-адреса и имена пользователей могут быть преобразованы в удобочитаемый вид. После нормализации данные объединяются и хранятся в центральном хранилище.
Корреляция событий: Обнаружение паттернов
Следующий этап — это корреляция событий. SIEM анализирует данные, ищет связи и паттерны между различными событиями. Например, несколько неудачных попыток аутентификации с одного IP-адреса может свидетельствовать о потенциальной атаке. Корреляция помогает выявлять сложные атаки, которые могли бы остаться незамеченными при простом анализе отдельных событий.
Анализ и детекция угроз
Система SIEM использует заранее заданные правила, которые определяют, какие события могут указывать на угрозу. Эти правила могут включать в себя обнаружение подозрительных действий, например, несанкционированный доступ, аномальную активность пользователя или обнаружение вредоносных программ. При обнаружении нарушения правила, SIEM генерирует алерт.
Алерты и уведомления
Генерируемые алерты могут быть различной степени серьезности в зависимости от нарушения. Эти алерты отправляются администраторам информационной безопасности через разные каналы связи, такие как электронная почта, SMS или интегрированные инструменты мониторинга. Администраторы могут оперативно реагировать на угрозы и принимать меры по решению проблемы.
Хранение и анализ алертов
Алерты и связанные с ними данные хранятся в SIEM для дальнейшего анализа и исследования инцидентов. Это позволяет администраторам проводить более глубокий анализ, выявлять последствия атак и предпринимать шаги по предотвращению будущих инцидентов.
Обучение модели и постоянное усовершенствование
SIEM также имеет возможность обучения на основе опыта. Если алерт был подтвержден как реальная угроза или опровергнут как ложное срабатывание, система учитывает это для будущего анализа. Такая обратная связь позволяет постоянно усовершенствовать детекцию и адаптироваться к новым видам угроз.
Ретроспективный анализ инцидентов и поиск индикаторов компрометации – это неотъемлемая часть обеспечения информационной безопасности в современном мире. В условиях постоянно меняющейся киберугрозы и усиления кибератак, понимание прошлых событий становится ключевым элементом обеспечения защиты. Давайте рассмотрим, почему ретроспективный анализ так важен и как можно выявить индикаторы компрометации в прошедших событиях.
Система управления информационной безопасностью и событий (SIEM) работает на основе сбора, нормализации, корреляции и анализа данных для обнаружения угроз и аномалий. Она позволяет организациям быстро реагировать на потенциальные угрозы и эффективно обеспечивать безопасность информационных ресурсов.
Источник событий безопасности Среднее количество EPS
Антивирусная программа 5
Служба доменных контроллеров (DC) 8.33
Электронная почта (SMTP) 16.67
Аутентификационный сервер 3.33
Веб-сервер 13.33
Межсетевой экран (Firewall) 25
Active Directory (AD) 6.67
Сервер баз данных 10
Система обнаружения вторжений (IDS) 16.67
Прокси-сервер 11.67
Сервер приложений 13.33
Передача данных сетевого оборудования 20
Сервис виртуализации 15
Облачные сервисы 25
Elasticsearch представляет собой мощный поисковый и аналитический движок, широко применяемый в системах безопасности информации (SIEM). Он служит для хранения, индексации и поиска обширных объемов данных журналов и событий безопасности.
Logstash представляет собой инструмент для сбора, обработки и передачи данных журналов. В контексте SIEM, Logstash играет важную роль в структурировании данных перед их индексацией в Elasticsearch. Этот компонент обеспечивает централизованную платформу для обработки разнообразных форматов данных, что позволяет эффективно адаптироваться к различным источникам журналов.
Kibana предоставляет веб-интерфейс для визуализации и анализа данных, хранящихся в Elasticsearch. Этот инструмент дает пользователям возможность создавать графики, дашборды и отчеты, делая процесс мониторинга и анализа событий безопасности более интуитивным и доступным. Kibana улучшает взаимодействие с данными, позволяя быстро выявлять аномалии и тренды.
Beats представляют собой легкие агенты, предназначенные для сбора данных журналов с хостов и отправки их в хранилище данных, такое как Elasticsearch. Эти агенты спроектированы для минимального воздействия на производительность системы, обеспечивая эффективный сбор и передачу данных для последующего анализа в SIEM.
Sysmon в контексте SIEM
Sysmon – это инструмент, предоставляющий расширенную информацию о событиях, происходящих в операционных системах Windows. Он работает на уровне ядра операционной системы и записывает информацию о различных событиях, таких как создание и удаление файлов, сетевая активность, изменения реестра, запуск процессов и другие действия, которые могут быть индикаторами компрометации или несанкционированной деятельности.
В контексте SIEM, Sysmon действует как дополнительный источник данных, позволяя более подробно отслеживать и анализировать события в операционной системе. SIEM агрегирует и анализирует данные из различных источников, включая журналы событий Windows, логи сетевых устройств, приложений и другие источники. Добавление Sysmon позволяет SIEM получать дополнительные сведения, что повышает возможности обнаружения и реагирования на инциденты безопасности.
Рассмотрим, например, ситуацию с угрозой внутри сети. Предположим, что внутри организации действует злоумышленник, использующий валидные учетные данные для доступа к системе. Журналы событий Windows могут не зафиксировать несанкционированную деятельность, так как она осуществляется при помощи действительных учетных данных. Однако Sysmon, благодаря своей способности детально регистрировать действия, может помочь выявить аномалии, такие как необычная сетевая активность, запуск нестандартных процессов или изменения в реестре. Эти данные, встроенные в SIEM, могут создать более полную картину происходящего и помочь выявить потенциальные угрозы.
Security Information and Event Management (SIEM) technology is used in many organizations to provide real-time reporting and long-term analysis of security events, as shown in the figure.
SIEM combines the essential functions of security event management (SEM) and security information management (SIM) tools to provide a comprehensive view of the enterprise network using the following functions:
- Log collection – Event records from sources throughout the organization provide important forensic information and help to address compliance reporting requirements.
- Normalization – This maps log messages from different systems into a common data model, enabling the organization to connect and analyze related events, even if they are initially logged in different source formats.
- Correlation – This links logs and events from disparate systems or applications, speeding detection of and reaction to security threats.
- Aggregation – This reduces the volume of event data by consolidating duplicate event records.
- Reporting – This presents the correlated, aggregated event data in real-time monitoring and long-term summaries, including graphical interactive dashboards.
- Compliance – This is reporting to satisfy the requirements of various compliance regulations.
A popular SIEM is Splunk, which is made by a Cisco partner. The figure shows a Splunk Threat Dashboard. Splunk is widely used in SOCs. Another popular SIEM solution is Security Onion with ELK, which consists of the integrated Elasticsearch, Logstash, and Kibana applications. Security Onion includes other open-source network security monitoring tools.
As we know, security orchestration, automation, and response (SOAR) takes SIEM and goes beyond into automating security response workflows and facilitating incidence response. Because of the importance of network security, numerous companies have brought excellent products to the security tools market. However, these tools lack compatibility and require monitoring multiple independent product dashboards in order to process the many alerts that they generate. Because of the lack of cybersecurity professionals to monitor and analyze the large volume of security data, it is important that tools from multiple vendors can be integrated into a single platform. Integrated security platforms go beyond SIEM and SOAR to unify multiple security technologies, processes, and people into a unified team whose components build on rather than impede each other. Security platforms such as Cisco SecureX, Fortinet Security Fabric, and Paloalto Networks Cortex XDR promise to address network security monitoring complexity by integrating multiple functions and data sources into a single platform that will greatly enhance alert accuracy while offering robust defense.