SIEM: управление информацией и событиями безопасности - что это такое на самом деле?

05.07.2021 13:06

Что такое SIEM-система?

Системы SIEM играют важнейшую роль в экосистеме безопасности данных. Они объединяют данные из различных систем и решений, анализируют и сопоставляют их для обнаружения аномального или подозрительного поведения, которое может указывать на кибератаки.

Инструменты SIEM обеспечивают единое решение для сбора событий безопасности и оповещений от различных технологий, используемых в сети, включая антивирусные приложения, брандмауэры, решения для предотвращения вторжений и т.д.

SIEM хранит, нормализует, агрегирует и применяет аналитику к собранным данным, обеспечивая полную видимость для выявления аномалий в режиме реального времени, что помогает обнаружить текущие атаки или даже предвидеть будущие, тем самым обеспечивая защиту организации.

Выбор системы SIEM в России

1. Kaspersky Security Center: Это российская компания, предлагающая комплексные решения в области кибербезопасности, включая систему SIEM. Их решения позволяют обнаруживать и реагировать на инциденты безопасности в режиме реального времени.

2. Infosecurity Group: Эта компания предлагает широкий спектр решений в области информационной безопасности, включая систему SIEM. Их решения позволяют мониторить и анализировать события безопасности в режиме реального времени.

3. Positive Technologies PT Security Intelligence Platform: Positive Technologies является российской компанией, специализирующейся на обеспечении информационной безопасности. Их платформа SIEM предоставляет возможности по сбору, анализу и корреляции данных о безопасности для обнаружения и предотвращения инцидентов.

4. Lanit-Tercom: Компания Ланит-Терком является ведущим поставщиком решений в области информационной безопасности в России. Их система SIEM позволяет мониторить и анализировать данные о безопасности, предоставляя обширные возможности по обнаружению и реагированию на угрозы.

Это только несколько примеров популярных систем SIEM, доступных на рынке России. При выборе системы SIEM для вашей компании рекомендуется провести детальное исследование, сравнить функциональность, надежность и соответствие ваших требований перед принятием решения.

Почему важно иметь SIEM-систему?

Отчеты и анализы постоянно подчеркивают постоянный рост угроз безопасности, которые могут быть направлены на организации всех размеров и типов, как из внутренних, так и из внешних источников.

Технология SIEM облегчает обнаружение внешних и внутренних угроз, включая вредоносное ПО, атаки типа "отказ в обслуживании" (DoS) и многое другое. Собирая и объединяя информацию в центральной системе, SIEM обнаруживает и предотвращает различные типы угроз. Благодаря огромному объему доступных данных она позволяет проводить детальное расследование нарушений безопасности.

Некоторые ключевые функциональные возможности включают:

• Централизованное представление потенциальных угроз.
• Определение угроз, требующих немедленного вмешательства, и выявление ложных срабатываний.
• Своевременное оповещение сотрудников ИБ/ИТ о возникшей угрозе.
• Регистрация информации, потенциально связанной с инцидентами.
• Контекстная информация о событиях безопасности.
• Документирование обнаруженных событий и их решений в журнале аудита.
• Соответствие отраслевым нормам и стандартам (например, PCI DSS, защита персональных данных, GDPR, ГОСТ 57580.1-2017).

Основные преимущества систем SIEM

SIEM – система соотносит и анализирует данные о событиях безопасности из всей сети с помощью управления журналами, корреляции событий, реагирования на инциденты, а также отчетов и аварийных сигналов. Из основных преимуществ можно выделить:

• Обнаружение активности: Обнаружение вредоносного трафика в сети с помощью IPS/IDS – систем и мониторинга целостности файлов (FIM), пассивного мониторинга сети и программного обеспечения.
• Оценка уязвимостей: Выявление уязвимостей в сетевых системах посредством непрерывного мониторинга уязвимостей.
• Поведенческий мониторинг: Обнаружение подозрительного поведения и потенциальных компрометаций системы с помощью анализа Netflow, мониторинга доступности сервисов.

Стоимость SIEM

Если вы заинтересованы в заказе SIEM, то стоит знать, что стоимость системы может значительно варьироваться в зависимости от различных факторов, таких как масштаб и сложность вашей среды, количество узлов сети, объемы данных, требования к функциональности и режиму работы. Кроме того, стоимость может зависеть от конкретных поставщиков SIEM-решений и их лицензионных моделей.

Дополнительные расходы могут возникнуть на оборудование, настройку, обучение персонала, поддержку и обновления системы. 

Рекомендуется связаться с различными поставщиками SIEM-решений, чтобы получить предложения и оценить их стоимость на основе ваших конкретных требований.

Заключение

В целом, SIEM позволяет отделам безопасности обнаруживать, определять приоритеты и реагировать на угрозы в масштабах предприятия. Объединяя и анализируя данные журналов и потоков от множества устройств, конечных точек и приложений в сети, система обеспечивает приоритетные оповещения, которые ускоряют анализ инцидентов и их устранение. Решения SIEM доступны как для локальных, так и для облачных сред.