Журнал "Information Security/ Информационная безопасность" #4, 2023

В условиях беспрецедентного роста кибератак одна из главных задач служб ИБ – выявление событий безопасности в цифровой инфраструктуре. Отслежи- вать эти события в ручном режиме про- блематично, ведь даже в небольшой компании ИТ-инфраструктура генери- рует миллионы событий. Поэтому боль- шинству организаций сегодня не обой- тись без мощной системы "наблюдения", которая в режиме реального времени будет выявлять подозрительные собы- тия, атаки и неполадки в ИТ-инфра- структуре. Что такое SIEM? SIEM (Security Information and Event Management) – система для обработки потока событий, выявления ИБ-инци- дентов и реагирования на них. SIEM- системы собирают данные из таких источников в корпоративной сети, как ПК сотрудников, серверы, СХД, марш- рутизаторы, роутеры, принтеры – словом, почти с любого оборудования и ПО, установленных в организации. Логика работы "СёрчИнформ SIEM" "СёрчИнформ SIEM" аккумулирует информацию из различных источников, анализирует ее, фиксирует подозритель- ные события, атаки, сбои и оповещает о них ответственных лиц. SIEM постоянно "сканирует" ИТ-инфраструктуру на уязви- мости, дыры в защите, риски в безопас- ности, выявляет эти и подобные им угро- зы, чтобы ИБ-специалист мог оперативно на них реагировать. Сложный механизм работы системы сводится к нескольким действиям простого алгоритма 1. Сбор информации и событий. По умолчанию в "СёрчИнформ SIEM" доступно больше 30 коннекторов, кото- рые получают информацию из самых распространенных источников данных, от железа до ПО: l ОС (Windows, Linux); l почтовых серверов (Exchange, Domino); l баз данных (PostgreSQL, MS SQL, Oracle); l антивирусов (Kaspersky, McAfee, ESET, Symantec, DrWeb и др.); l оборудования (Fortigate, PaloAlto, Cisco и пр.); l виртуальных сред (VMware); l ПО для бизнеса (DLP, 1C); l сканеров уязвимостей (RedCheck); l систем физической безопасности (СКУД RusGuard); l EventLog, Syslog и др. Если же заказчику не хватает пред- установленных коннекторов, то в "Сёрч- Информ SIEM" есть пользовательский Custom Connector для донастройки систе- мы и подключения дополнительных устройств. 2. Приведение разнородных данных к общему виду. Для этого в SIEM исполь- зуются стандартные операторы, при этом система обогащает события недостаю- щей информацией, выделяет значимую информацию о произошедшем в отдель- ные поля. 3. Анализ данных и выявление потен- циальных угроз. Система делает это автоматически, с помощью встроенных правил корреляции. 4. Фиксация инцидентов и оповещение в реальном времени. "СёрчИнформ SIEM" оповещает ответственных лиц об инцидентах и дает информацию, необхо- димую для проведения расследования. Какие задачи помогает решить "СёрчИнформ SIEM"? Выявить угрозы информационной безопасности и предупредить о них Система определяет инциденты в потоке событий благодаря предустановленным правилам корреляции. Администратор SIEM уже на этапе внедрения получит информацию о ситуации в ИТ-инфраструк- туре. Встроенное описание поможет опре- делить события, которые действительно являются инцидентами и требуют допол- нительного расследования. "СёрчИнформ SIEM" выявит и оповестит о резком скачке количества событий. События, подходящие под правила корреляции, будут собраны во вкладке "Инциденты" и рассортированы по пра- вилам за выбранный период (вчера, неделю назад). Это поможет ИБ-спе- циалисту удобно и быстро получить информацию и отреагировать на подо- зрительные активности. 16 • СПЕЦПРОЕКТ SIEM – мастхэв в защите организации: разбираем на примере задач IEM – мастхэв-инструмент для обнаружения потенциальных угроз. Система полезна крупному бизнесу, субъектам КИИ, операторам ПДн и другим организациям. В некоторых отраслях внедрение SIEM-системы – требование регуляторов. На примере “СёрчИнформ SIEM” расскажем, какие задачи поможет решить внедрение этого класса защитных решений. S Павел Пугач, системный аналитик “СёрчИнформ” Рис. 1. Вкладка "Инциденты" Рис. 2. Дашборд с настраиваемыми виджетами