Безопасность бизнеса включает в себя большое количество различных отраслей. И одна из самых важных – защита информации. Для этого есть разные решения, и SIEM системы – одно из них.
Они представляют собой систему, в которой объединены две группы продуктов – управление информационной безопасностью и управление событиями безопасности.
На сегодня одной из передовых SIEM является полностью облачное решение Azure Sentinel, которое практически не имеет аналогов, и масштабируется автоматически в зависимости от потребностей конкретной организации.
Некоторые отмечают, что SIEM работает так же, как и охранная система. И это отчасти правда. В ее основе лежит генерация данных о событиях. Но, в отличие от SIEM, системы охраны не систематизируют сгенерированную информацию, предоставляя пользователю целостную картину происходящего. А это – преграда для выстраивания эффективной системы кибербезопасности.
Чтобы получить целостную картину происходящего в IT-сфере, и созданы SIEM, которые собирают и систематизируют данные о событиях в разрозненных IT-системах, выявляя угрозы для безопасности.
Информация, которая впоследствии консолидируется, поступает из нескольких источников:
• сетевые устройства;
• базы данных;
• сетевой экран;
• информация о пользователях и угрозах;
• приложения.
Кроме этого система предусматривает наличие приложений, позволяющих управлять доступом и идентификацией.
Составляющие элементы SIEM
Чтобы выполнять функции для бизнеса, в системы SIEM входят следующие компоненты:
- Коллекторы. Отвечают за сбор общей или, так называемой, “сырой” информации в автоматическом режиме, а также по запросу.
- Хранилище данных. Сюда попадает собранная коллекторами «сырая» информация.
- Коррелятор. Обрабатывает и коррелирует уже нормализованные события.
- Консоль управления – элемент для настройки и визуализации.
Кроме указанных компонентов SIEM системы, в зависимости от архитектуры, могут иметь дополнительные элементы. Например, TI-модули, сервисы управления информационной безопасностью бизнеса, сбор Flow.
Возможности SIEM
Функциональные задачи систем SIEM позволяют:
- Следить за процессом аутентификации, выявляя компрометации аккаунтов пользователей.
- Выявлять вредоносное ПО и заражения из данных внутренних журналов и сетевых ресурсов.
- Наблюдать за подозрительным исходящим трафиком, находить опасные внешние соединения.
- Выявлять системные изменения и проверять их соответствия установленным разрешениям.
- Отслеживать кибератаки и их последствия.
- Анализировать конфигурации сетевых устройств. Это возможно благодаря такому компоненту SIEM, как Risk Manager. Он позволяет определить ошибки конфигурации и несоответствия требованиям системе ISO 27001.
Системы SIEM не являются защитой от хакеров, но дают возможности для мониторинга с последующим подключением и настройкой систем реагирования на угрозы и атаки. А настройка под клиента и потребности бизнеса делает SIEM эффективным инструментом защиты безопасности данных.