SIEM — система управления информационной безопасностью
SIEM — это решение, обеспечивающее сбор и анализ сведений от средств защиты информации в режиме реального времени.
SIEM-решения собирают и систематизируют данные из различных источников:
- системы контроля и управления доступом;
- DLP-системы;
- IDS-системы и IPS-системы;
- антивирусные приложения;
- журналы событий серверов и рабочих станций;
- межсетевые экраны;
- сетевое активное оборудование;
- сканеры уязвимостей;
- системы инвентаризации и управления активами;
- системы веб-фильтрации.
Внедрив SIEM, вы сможете быстро реагировать на угрозы информационной безопасности и принимать необходимые меры для предотвращения инцидентов. Решение позволяет экономить время на сборе и анализе данных — логи, журналы действий, оповещения — от разных программ и устройств, объединяя все эти действия в одном инструменте.
Задачи, которые решает SIEM
SIEM — это компонент защиты ИТ-инфраструктуры, который собирает и систематизирует сведения, необходимые для обеспечения информационной безопасности. Может предоставлять рекомендации по обеспечению защиты информации, в зависимости от функционала.
С помощью SIEM-системы могут решаться задачи:
- Мониторинг событий в ИТ-инфраструктуре и их анализ. События могут быть любыми. Например, изменение активности пользователя, отправка почты с корпоративного компьютера сомнительному адресату, изменение конфигурации оборудования или программного обеспечения, сетевые атаки по внешнему или внутреннему периметру, существенное изменение объёмов трафика.
- Расследование инцидентов в сфере информационной безопасности. В системе управления информационной безопасностью сосредотачиваются данные от множества компонентов ИТ-инфраструктуры. Благодаря этому сбор доказательной базы упрощается.
- Анализ инфраструктуры на предмет соответствия определённым стандартам и требованиям. При помощи этих данных её легче поддерживать в требуемом состоянии.
- Подготовка отчётов, в том числе для принятия решений по обеспечению защиты информационной безопасности и для контролирующих органов.
Принципы работы и архитектура SIEM
В основе функционирования таких систем лежит математика и статистика. Решения разворачиваются поверх информационных систем, в защите которых участвуют. Архитектура SIEM зависит от архитектуры защищаемой ИТ-инфраструктуры. В ней выделяют компоненты:
- Коллекторы (или источники данных). Собирают события от компонентов информационных систем. Сбор осуществляется в пассивном режиме или «по запросу».
- Хранилище данных. Хранит собранные события.
- Обработчики данных (корреляторы). Обрабатывают собранные коллекторами сведения.
- Элементы управления. Управляют работой SIEM.
SIEM-решения
Системы управления информационной безопасностью представлены решениями российских и зарубежных компаний:
MaxPatrol SIEM
MaxPatrol SIEM — отечественная разработка, сертифицированная ФСТЭК. Особенность — «знание» наиболее актуальных для России угроз информационной безопасности организаций. Решение включено в реестр российских программ Минкомсвязи РФ. Продукт ориентирован на все секторы и любые масштабы бизнеса.
RuSIEM
RuSIEM — отечественная SIEM-система, предназначенная для мониторинга и управления событиями информационной безопасности в режиме реального времени. Особенности RuSIEM: поддержка на русском языке, собственные модульные агенты, масштабируемость системы (вертикальная, горизонтальная, поддержка «горячего» расширения) и отсутствие ограничений при выборе источников событий.
KOMRAD Enterprise SIEM
Первая российская разработка в этой сфере. Совместима с отечественными решениями в области защиты информации и операционной системой Astra Linux. Есть сертификаты Министерства обороны и ФСТЭК, решение включено в реестр отечественного программного обеспечения.
«СёрчИнформ SIEM»
Решение разработано компанией «СёрчИнформ», сертифицировано ФСТЭК. Ориентировано на корпоративные системы любого масштаба. Считается простым в развёртывании и дальнейшей настройке.
IBM QRadar SIEM
Международное решение, ориентированное на банковский и государственный сектор, средний и крупный бизнес.