A biztonsági információk és az eseménykezelés (SIEM) a biztonság kezelésének olyan megközelítése, amely egyesíti a SIM (biztonsági információkezelés) és a SEM (biztonsági eseménykezelés) funkciókat. biztonsági irányítási rendszer. A SIEM rövidítést “sim” -nek nevezik csendes e-vel.

Minden SIEM-rendszer alapelve az, hogy több forrásból származó releváns adatokat összesítsen, azonosítsa a normától való eltéréseket és megtegye a megfelelő intézkedéseket. Például, ha potenciális problémát észlel, a SIEM rendszer további információkat naplózhat, riasztást generálhat, és más biztonsági vezérlőket utasíthat a tevékenység előrehaladásának leállítására.

A legalapvetőbb szinten egy SIEM rendszer lehetnek szabályalapúak, vagy statisztikai korrelációs motort alkalmazhatnak az eseménynapló bejegyzések közötti kapcsolatok létrehozására. A fejlett SIEM rendszerek úgy fejlődtek ki, hogy magukban foglalják a felhasználói és entitás viselkedéselemzését (UEBA), valamint a biztonsági hangszerelést, az automatizálást és a választ (SOAR).

A fizetésikártya-ipar adatbiztonsági szabványának (PCI DSS) való megfelelés eredetileg a SIEM bevezetését ösztönözte a nagyvállalkozásokban, de a fejlett tartós fenyegetésekkel (APT) kapcsolatos aggodalmak arra késztették a kisebb szervezeteket, hogy megvizsgálják a SIEM által kezelt biztonsági szolgáltatók (MSSP) előnyeit. Ha az összes biztonsággal kapcsolatos adatot egyetlen nézőpontból tekintheti meg, akkor a különböző méretű szervezetek könnyebben megtalálhatják a szokásostól eltérő mintákat.

A SIEM rendszerek többféle rendszer telepítésével működnek. Gyűjtési ügynökök hierarchikus módon gyűjthetik a biztonsággal kapcsolatos eseményeket a végfelhasználói eszközökről, szerverekről és hálózati berendezésekből, valamint speciális biztonsági berendezésekből, például tűzfalakból, antivírusokból vagy behatolásmegelőző rendszerekből (IPS). A gyűjtők továbbítják az eseményeket egy központosított felügyeleti konzolba, ahol a biztonsági elemzők szitálják a zajt, összekapcsolják a pontokat és rangsorolják a biztonsági incidenseket. , csak bizonyos eseményeket visznek át egy központosított felügyeleti csomópontba. Ily módon csökkenthető a közölt és tárolt információk mennyisége. Bár a gépi tanulás fejlődése segíti a rendszereket az anomáliák pontos megjelölésében, az elemzőknek továbbra is visszajelzést kell adniuk, folyamatosan oktatva a rendszert a környezettel kapcsolatban.

Az alábbiakban bemutatjuk a SIEM termékek értékelésekor áttekintendő legfontosabb jellemzőket:

• Integráció más vezérlőkkel. Tud-e parancsokat adni más vállalati biztonsági ellenőrzéseknek a folyamatban lévő támadások megelőzése vagy leállítása érdekében?
• Mesterséges intelligencia (AI). Javíthatja-e a rendszer saját pontosságát a gépi tanulás és a mély tanulás révén?
• A fenyegetések intelligenciája táplálkozik. Támogathatja-e a rendszer a szervezet által kiválasztott fenyegetés-hírcsatornákat, vagy kötelező-e egy adott hírcsatorna használata?
• Kiterjedt megfelelőségi jelentés. Tartalmaz-e beépített jelentéseket a közös megfelelési igényekhez, és biztosítja-e a olyan szervezet, amely képes az új megfelelési jelentések testreszabására vagy létrehozására?
• Az igazságügyi szakértői képességek. Tud-e a rendszer további információkat rögzíteni a biztonsági eseményekről azáltal, hogy rögzíti az érdekes csomagok fejlécét és tartalmát?

Hogyan működik a SIEM?

A SIEM eszközök úgy működnek, hogy összegyűjtik az esemény- és naplóadatokat, amelyeket a gazda rendszerek, alkalmazások és biztonsági eszközök, például víruskereső szűrők és tűzfalak hoztak létre a vállalat infrastruktúrájában, és ezt hozzák létre. adatokat együtt egy centralizált platformon. A SIEM eszközök azonosítják és rendezik az adatokat olyan kategóriákba, mint sikeres és sikertelen bejelentkezések, rosszindulatú programok és egyéb valószínűleg rosszindulatú tevékenységek.

A SIEM szoftver ezután biztonsági riasztásokat generál, amikor azonosítja a lehetséges biztonsági problémákat. Előre definiált szabályok használatával a szervezetek alacsony vagy magas prioritásúként állíthatják be ezeket a riasztásokat.

Például egy felhasználói fiókot, amely 25 perc alatt 25 sikertelen bejelentkezési kísérletet generál, gyanúsnak lehet megjelölni, de a alacsonyabb prioritású, mert a bejelentkezési kísérleteket valószínűleg az a felhasználó tette, aki valószínűleg elfelejtette a bejelentkezési adatait.

Azonban egy olyan felhasználói fiókot, amely öt perc alatt 130 sikertelen bejelentkezési kísérletet generál, kiemelt fontosságúként jelölnék meg. esemény, mert valószínűleg durva erő támadás van folyamatban.

Miért fontos a SIEM?

A SIEM azért fontos, mert a tömeges szűréssel könnyebbé teszi a vállalkozások számára a biztonság kezelését. mennyiségű biztonsági adat és a szoftver által generált biztonsági riasztások rangsorolása.

A SIEM szoftver lehetővé teszi a szervezetek számára az olyan események észlelését, amelyek egyébként észrevétlenek maradhatnak. A szoftver elemzi a naplóbejegyzéseket, hogy azonosítsa a rosszindulatú tevékenység jeleit.Ezen túlmenően, mivel a rendszer különböző forrásokból gyűjti össze az eseményeket a hálózaton keresztül, újrateremtheti a támadás idővonalát, lehetővé téve a vállalat számára, hogy meghatározza a támadás jellegét és az üzleti vállalkozásra gyakorolt hatását.

A SIEM A rendszer azáltal is segíthet egy szervezetet, hogy megfeleljen a megfelelési követelményeknek azáltal, hogy automatikusan jelentéseket állít elő, amelyek tartalmazzák az összes naplózott biztonsági eseményt ezen források között. A SIEM szoftver nélkül a vállalatnak naplóadatokat kell összegyűjtenie és manuálisan össze kellene állítania a jelentéseket.

A SIEM rendszer az eseménykezelést is javítja, mivel lehetővé teszi a vállalat biztonsági csapatának, hogy feltárja a támadás által a hálózaton keresztül vezetett útvonalat. , azonosítsa a veszélyeztetett forrásokat, és biztosítsa az automatizált eszközöket a folyamatban lévő támadások megakadályozására.

A SIEM előnyei

A SIEM néhány előnye a következő:

• lerövidíti a fenyegetések jelentős azonosításához szükséges időt, minimalizálva az ilyen fenyegetésekből származó károkat;
• holisztikus képet nyújt a szervezet információbiztonsági környezetéről, megkönnyítve ezzel az összegyűjtést és az elemzést biztonsági információk a rendszerek biztonsága érdekében – a szervezet összes adata egy központi tárolóba kerül, ahol tárolják és könnyen hozzáférhetők;
• a vállalatok felhasználhatják az adatok körül forgó különféle felhasználási esetekre vagy naplók, beleértve a biztonsági programokat, az audit és a megfelelőségi jelentést, lp asztali és hálózati hibaelhárítás;
• nagy mennyiségű adatot támogat, így a szervezetek tovább bővíthetik és növelhetik adataikat;
• fenyegetések észlelését és biztonsági figyelmeztetéseket nyújt; és
• részletes törvényszéki elemzést végezhet súlyos biztonsági megsértések esetén.

A SIEM korlátai

Előnyei ellenére még mindig vannak olyanok a SIEM korlátozásai, beleértve az alábbiakat:

• Általában hosszú időbe telik, mert a támogatásra van szükség ahhoz, hogy sikeresen integrálódjanak egy szervezet biztonsági ellenőrzéseivel és az infrastruktúrájában található sok gazdagéppel. A SIEM üzembe helyezése általában 90 napig vagy tovább tart.
• Ez drága. A SIEM kezdeti befektetése több százezer dollár lehet. És a kapcsolódó költségek is összeadódhatnak, ideértve a SIEM megvalósításának kezelésével és figyelemmel kísérésével járó személyzet költségeit, az éves támogatást, valamint az adatok gyűjtésére szolgáló szoftvereket vagy ügynököket.
• A jelentések elemzése, konfigurálása és integrálása megköveteli a tehetséget. szakértők. Éppen ezért egyes SIEM rendszereket közvetlenül egy biztonsági műveleti központon (SOC) belül irányítanak, amely egy központi egység, amelynek információbiztonsági csoportja dolgozik, és amely a szervezet biztonsági kérdéseivel foglalkozik.
• A SIEM eszközök általában attól függenek, hogy szabályok az összes rögzített adat elemzésére. A probléma az, hogy egy vállalat hálózata nagyszámú – általában napi 10 000 – riasztást generál, amelyek pozitívak lehetnek vagy nem. Következésképpen a nem releváns naplók száma miatt nehéz azonosítani a lehetséges támadásokat.
• Egy rosszul konfigurált SIEM eszköz kihagyhatja a fontos biztonsági eseményeket, így az információs kockázatkezelés kevésbé hatékony.

SIEM eszközök és szoftverek

Néhány eszköz a SIEM térben a következőket tartalmazza:

• Splunk. A Splunk egy teljes helyszíni SIEM rendszer. A Splunk támogatja a biztonsági megfigyelést és fejlett fenyegetés-felderítő képességeket kínál.
• IBM QRadar. A QRadar telepíthető hardver-, virtuális- vagy szoftvereszközként, a vállalat igényeitől és kapacitásától függően. A QRadar on Cloud egy felhőalapú szolgáltatás, amelyet az IBM Cloud nyújt a QRadar SIEM termék alapján.
• LogRhythm. A LogRhythm, egy jó SIEM rendszer kisebb szervezetek számára, egyesíti a SIEM-et, a naplókezelést, a hálózati és végpont-figyelést és az igazságügyi szakértelmet, valamint a biztonsági elemzéseket.
• Exabeam. Az Exabeam SIEM terméke számos lehetőséget kínál, többek között UEBA, egy adat-tó, fejlett elemzés és fenyegetésvadász.
• RSA. Az RSA NetWitness Platform egy fenyegetés-felderítő és -reagáló eszköz, amely magában foglalja az adatok gyűjtését, továbbítását, tárolását és elemzését. Az RSA a SOAR-ot is kínálja.

Hogyan válasszuk ki a megfelelő SIEM terméket

A megfelelő SIEM eszköz kiválasztása számos tényezőtől függ, beleértve a szervezet költségvetését és biztonsági testtartás.

A vállalatoknak azonban olyan SIEM eszközöket kell keresniük, amelyek a következő képességeket kínálják:

• megfelelőségi jelentés;
• események elhárítása és kriminalisztika;
• adatbázis és szerver hozzáférés figyelése;
• belső és külső fenyegetés észlelése;
• valós idejű fenyegetés figyelése, összefüggés és elemzés a legkülönbözőbb alkalmazásokban és rendszerekben;
• behatolás-felderítő rendszer (IDS), IPS, tűzfal, eseményalkalmazás-napló és egyéb alkalmazás- és rendszerintegrációk;
• fenyegetés-intelligencia; és
• felhasználói tevékenység-figyelés ( UAM).

A SIEM története

A 2000-es évek közepe óta létező SIEM technológia kezdetben a naplókezelési fegyelemből, az adminisztrációhoz és az adminisztrációhoz használt kollektív folyamatokból és házirendekből fejlődött ki. megkönnyíti az információs rendszerben létrehozott nagy mennyiségű napló adat előállítását, továbbítását, elemzését, tárolását, archiválását és végső elhelyezését. Informatikai biztonság a biztonsági rés kezelésével. ” A jelentésben az elemzők egy új, a SIM-en és az SEM-en alapuló biztonsági információs rendszert javasoltak.

A régi naplógyűjtés-kezelő rendszerekre építve a SIM bevezette a hosszú távú tároláselemzést és a naplóadatok jelentését. A SIM emellett fenyegetés-intelligenciával integrálta a naplókat. A SEM a biztonsággal kapcsolatos események azonosítására, összegyűjtésére, megfigyelésére és jelentésére irányult a szoftverekben, a rendszerekben vagy az informatikai infrastruktúrában.

Ezután a szállítók létrehozták a SIEM-et a SEM ötvözésével, amely valós időben elemzi a napló- és eseményadatokat, fenyegetés-figyelést biztosít , az események korrelációja és az eseményekre adott válasz, a SIM-lel, amely összegyűjti, elemzi és jelentést készít a naplóadatokról.

A SIEM jövője

A SIEM jövőbeli trendjei a következők:

• Továbbfejlesztett hangszerelés. A SIEM jelenleg csak a vállalatok számára biztosítja az alapvető munkafolyamat-automatizálást. A szervezetek növekedésével azonban a SIEM-nek további képességeket kell kínálnia. Például az AI és a gépi tanulás fokozott forgalmazása miatt a SIEM eszközöknek gyorsabb hangszerelést kell kínálniuk, hogy a vállalat különböző részlegei számára azonos szintű védelmet biztosítsanak. Ezenkívül a biztonsági protokollok és azok végrehajtása gyorsabb, valamint hatékonyabb és eredményesebb lesz.
• Jobb együttműködés a felügyelt észlelési és válaszkészítési (MDR) eszközökkel. Mivel a hackelés és az illetéktelen hozzáférés fenyegetése továbbra is növekszik, fontos, hogy a szervezetek kétszintű megközelítést alkalmazzanak a biztonsági fenyegetések észlelésére és elemzésére. A vállalat informatikai csapata házon belül megvalósíthatja a SIEM-et, míg a felügyelt szolgáltató (MSP) ) képes megvalósítani az MDR eszközt.
• Továbbfejlesztett felhőkezelés és -figyelés. A SIEM-gyártók fejleszteni fogják eszközeik felhőkezelési és felügyeleti képességeit, hogy jobban megfeleljenek a felhőt használó szervezetek biztonsági igényeinek.
• A SIEM és a SOAR egyetlen eszközzé alakul. Keresse meg a hagyományos SIEM termékeket, hogy kihasználhassa a SOAR előnyeit; a SOAR-gyártók azonban valószínűleg válaszolni fognak termékeik képességeinek bővítésével.