Задачи внедрения SIEM

SIEM

Среди всех факторов, определяющих внедрение SIEM, специалисты Gartner выделяют два основных: соответствие требованиям (compliance) и управление угрозами (threat management). И хотя соответствие требованиям часто является ключевым требованием к SIEM и остается его главной функцией, во многих организациях фокус смещается в сторону управления угрозами (см. рисунок).

Задачи внедрения SIEM
Факторы внедрения SIEM

Управление угрозами (Threat Management)

Управление угрозами может включать много задач и сценариев. Например, выявление брутфорс-атак и вредоносного ПО, мониторинг сторонних или привилегированных пользователей на предмет изменения полномочий. В зависимости от конкретных целей, управление угрозами может охватывать сетевые устройства безопасности (межсетевые экраны), брандмауэры веб-приложений (web application firewalls, WAFs), приложения для оценки уязвимостей, системы предотвращения утечек конфиденциальной информации (DLP), а также логи безопасности, аудита, приложений с системных серверов или серверов баз данных.

Примерами сценариев в области управления угрозами могут быть следующие: мониторинг внешних сетевых угроз в режиме реального времени, ошибки аутентификации, интеграция данных о киберугрозах и нарушителях (фидов threat intelligence), а также проверка и отслеживание действий и поведения пользователей. Все это будет сопровождаться процессами реагирования на инциденты, автоматической корреляцией данных и оповещением.

Подключение Threat Intelligence существенно усиливает возможности SIEM-решений в части интеграции контекста о внешних угрозах и его наложения на имеющиеся данные. Настоятельно рекомендуется при внедрении SIEM использовать хотя бы встроенный функционал импорта Threat Intelligence фидов как дополнительный источник данных. Кроме того, специалисты Gartner рекомендуют также использовать и другие источники данных, например, открытые стандарты STIX/TAXII. В более сложных сценариях может использоваться Threat Intelligence платформа (TIP) для сбора, обработки и удаления дублирующейся информации для больших объемов данных об угрозах, которые затем могут быть импортированы в SIEM через встроенные инструменты интеграции.

Соблюдение требований (Compliance)

Когда основной задачей является соблюдение требований, масштаб развертывания зависит от самих требований регуляторов и стандартов, например PCI DSS 10. Кроме того, новое европейское законодательство о защите персональных данных (GDPR) скоро станет еще одним требованием, способствующим инвестициям в такие технологии мониторинга как SIEM.

Как правило, требования стандартов подразумевают управление логами или мониторинг деятельности пользователей путем просмотра регулярных отчетов и отслеживания случаев нарушений политик. Основная цель в данном случае – соблюсти соответствие стандартам, что обуславливает мониторинг безопасности, но организация в данном случае не обязана контролировать конкретную инфраструктуру и приложения.

Базовые сценарии соответствия требованиям включают сбор и хранение логов, как того требуют регуляторы, и периодическое формирование и просмотр отчетов о действиях пользователей. Более сложные сценарии варьируются от автоматического аудита нарушений политик до ежедневных проверок логов. SIEM-решения, где уже отлажены основные сценарии соответствия требованиям, могут объединять текущие отчеты с теми, которые были созданы специально для соблюдения режима соответствия. Важно обратить внимание на эту возможность, когда SIEM внедряется для целей комплаенса.

Частные случаи

Так же существуют частные случаи внедрения SIEM с их собственным масштабом. Например, мониторинг точки продажи (point of sale, POS), мониторинг производственных технологий (operational technology, OT) или мониторинг honeypot — ресурсов, представляющих собой приманку для злоумышленников. Honeypot применяется для привлечения внимания злоумышленников и изучения их стратегии и методов, и активно используется SIEM-решениями для расширения возможностей мониторинга событий безопасности.

Статья подготовлена по материалам Gatner.

Поделиться записью: